お知らせ

ランサムウェアによるファイルサーバ被害からの復元

このテクノロジートピックも長らく間が開いてしまいましたが、またボチボチと新しく
追加された機能のご紹介や、その時々の旬な話題について FOBAS の視点から記事に
していきたいと思います。

先日、IT系のイベントに伺う機会がありました。IoT やセキュリティの話題が大きな
盛り上がりを見せていたように思います。

FOBAS が関連しそうなホットな話題で言えば、ランサムウェア対策でしょう。
感染すると、知らないうちにファイルを暗号化してしまい、ファイル複号の身代金と
して金銭を要求するというマルウェアの一種で、ここ最近は被害が爆発的に増えて
います。

FOBAS が得意とするファイルサーバの領域も、ランサムウェアの影響は甚大です。
社内に感染したPCが一台あれば、ネットワーク経由でファイルサーバのファイルを
暗号化し利用出来なくしてしまいます。

イベントでは、多くのセキュリティベンダがランサムウェア対策のソリューションを
出展していましたが、ファイルサーバのランサムウェア対策はどうすれば良いかを
いくつかの展示ブースで尋ねてみました。

残念ながら、ソリューションのほとんどはエンドポイント(端末のPC)への感染を
可能な限り防ぐもので、ファイルサーバの被害を防ぐものはありませんでした。

いずれのブースでも仰っていたのは、ランサムウェアのように次々と新しい種類や
攻撃方法が生まれてくるマルウェアは、完全に感染を防ぐ方法は無いので、感染して
しまった時に被害を拡大しないためのの善後策や、データを失わないための事前の
備え(バックアップ)が重要だという事でした。

まさしくその通りで、バックアップ製品のベンダもここぞとばかりに、きめ細かい
バックアップを取るソリューションや、素早くバックアップをリストアするソリュー
ションをランサムウェア対策としてアピールしていました。

FOBAS CSC もこの部分では非常に強力なソリューションを備えていますのでご紹介
したいと思います。

FOBAS CSC のバックアップの考え方は非常にユニークです。

一般的なバックアップソリューションは、特定時点のファイルシステム全体、あるいは
一部を複製して保存します。例えて言えば、写真を撮るイメージです。

FOBAS CSC では、非常に乱暴な言い方をすれば、バックアップを目的としたデータの
複製はしません。代わりに全てのファイル更新履歴を一定期間保持しています。
例えて言えば、常に動画を録画し続けているイメージです。

これらの更新履歴は、FOBAS CSC の実際のデータ格納場所であるオブジェクト
(クラウド)ストレージで、トリプルミラーなどの方法でデータが冗長保存され
その安全性が担保されています。

Windows のボリュームシャドーコピー(VSS)や、NetApp Snapshot は更新履歴を保持
するという観点では、よく似た機能を提供しています。ファイルに更新があった場合、
既存のデータブロックを上書きするのではなく、新規ブロックに書く事で履歴データを
保持しています。しかしながら、バックアップという視点では特定時点のデータ
ブロックのポインタだけを複製して保存する仕組みであるため、写真を撮るイメージ
である事に代わりはありません。

そのため、本当にきめの細かいバックアップが取得できる仕組みではありませんし、
取得可能な世代数も上限 (255世代など) があるため、きめ細かく取得すれば長期間
保存には限りがでてきます。

また、バックアップデータを保持したブロックが同一ボリューム上に存在する点も
ランサムウェア対策としては、少々不安な部分です。

さて、実際にランサムウェアの被害に遭った場合、これらのバックアップから必要な
ファイル、あるいはファイルシステム全体をリストアする訳ですが、従来のバック
アップ手法では大きく2つの問題があります。

ひとつめは、対象のファイルがいつ暗号化されてしまったのか分からないため、どの
バージョンのバックアップからリストアすれば良いか手当たり次第調べる必要がある点。

もうひとつは、必ずしも暗号化されてしまった直前のバージョンをリストアできる
保証が無いという点です。

ひとつめの課題に関しては、取得したバックアップから対象ファイルがランサムウェア
感染しているか否かを容易に調べる事ができる仕組みなどが提供されている製品も
あるようです。

あるいは、アクセスログの仕組みを持っていれば、当該ファイルのアクセス履歴から
どのタイミングで感染したのかを読み取る事ができるかもしれません。

FOBAS CSC ではファイル毎に、更新履歴の世代が表示され任意にリストアする事が
可能です。アクセスログ機能ももちろんありますが、管理者がそれを調べる事なく、
ユーザ自身で必要なファイルの過去バージョンをリストアする事が可能です。

VSS (NetApp SnapshotもVSSを経由して) でも、ユーザ自身が過去のファイルをリストア
する事ができますが、二つ目の課題は解決できません。一定間隔で保存されている
特定点のバックアップからその時点のファイルを取り出せるだけです。

FOBAS CSC はファイル単位で全ての更新履歴を保持しているので、感染する直前の
ファイルをユーザ自身で取りだす事ができます。

ご利用のPC環境がランサムウェアに感染しないよう、エンドポイントセキュリティは
おろそかにはできませんが、FOBAS CSC でファイルサーバを構築していれば、
万が一の感染でも、ユーザ自身でファイルをリストアし、感染したファイルを削除
すれば復旧が完了します。ユーザ自身の手間を除けば、ファイルの被害はありません。

少し視点を変えて、ファイルサーバが機能不全に至る程の深刻な感染に陥った場合
どの様に復旧できるかを考えてみます。

本来、適切なアクセス権限管理が施されていれば、この様な事態に至る事は稀ですが、
基盤ソフトウェアの脆弱性などを突いたマルウェアであれば、可能性が無い訳では
ありません。

一般的なファイルサーバでは、サーバの完全な初期化を行い、外部媒体に取得した
バックアップから全てのデータをリストアするという手順で復旧する事になります。

ここでは先ほどの2つの課題に加えて、リストアに非常に長時間を要するという
課題が発生します。バックアップ媒体の速度にも依存しますが、10TB程の規模の
ファイルサーバであれば、相当に高価なバックアップソリューションを用いても
24時間程度はリストア時間が必要でしょう。

FOBAS CSC はこの部分でも良いソリューションを持っています。

まず、サーバ全体のリストアですが、元々が仮想マシンイメージなのでテンプレート
から仮想マシンを再構築します。もちろん構築済みの仮想マシンイメージのバック
アップをリストアしても良いかもしれません。

あとは、オブジェクト(クラウド)ストレージからバックアップデータをボタン
ひとつでリストアします。FOBAS CSC のリストアは、メタデータを優先してリストア
しますので、10TB規模のファイルシステムであっても、30分程度でリストアが完了
します。

また、どの時点のファイルサーバの状態に戻すかという問題ですが、最初のファイルが
感染したタイミングをアクセスログ等で確認できれば、例えばその1分前の状態を指定
してリストアする事も可能です。(ポイントインタイムリストア機能)

10TB規模のファイルサーバも、アクセスログの調査を含めて2、3時間あれば、復旧
可能でしょう。

容量が増える一方のファイルサーバのバックアップ、そろそろ方法を考え直す良い
機会ではないでしょうか。

今回は、ランサムウェアによるファイルサーバ被害からの復元というテーマで
お送りしました。

それでは、また次回。


ページトップへ戻る