PureとVeeamが手を組んだらどうなった?
~ランサム対策編~
ありそうでなかった、事例急増の組み合わせソリューション
近年、企業のみならず教育機関や医療機関、行政機関など、さまざまな組織で被害が再拡大しているランサムウェア。その脅威は今後も勢いを増すことが考えられ、対策が急務となっている。
本セミナーレポートでは、それぞれに強力なランサム対策機能をもつ、オールフラッシュストレージを取り扱うPure Storageと、バックアップベンダーのVeeamの「組み合わせソリューション」を実際の機能検証をもとに紹介し、ランサムウェア対策手段を講じる。ランサムウェアの実態を知るとともに、「イチ押し」とされる組み合わせソリューションの実力を知り、ぜひランサム対策のアイデアとして活用してほしい。本Webページは検証動画のサマリーを作成したもので、より詳しい内容を知りたい方は下記URLより動画をご確認いただきたい。
実はあの企業にも、もう潜んでいる?
ランサムウェアの実態-1
被害額最多はオーストラリア、でも防御失敗率では…?
ランサムウェアの純粋な被害額が最も多い国はご存じだろうか。2021年の国別総計においては、オーストラリアが最も被害額が多く、次いでベルギー、シンガポールと続いている。日本は被害総額では第11位となる。
(※出典元:The State of Ransomware 2021)
被害総額TOP10に入っていないという結果から、若干の安堵を覚える人もいるだろう。一方で、ランサムウェア成功率が最も高い国、つまり最も狙いやすいとされる国を見てみると…
実はあの企業にも、もう潜んでいる?
ランサムウェアの実態-2
日本の企業は今、ターゲットにされている
実は、日本が最もランサムウェア暗号化が成功しやすいとされている。防御成功率は最低の5%で、復旧にかかる費用も世界2位の高額となる。
(※出典元:The State of Ransomware 2020)
日本がランサムウェアに狙われる要因はいくつか考えられるが、たとえば下記が挙げられる。また、プライドの高い国民性や、潤沢な資金を持っていることから、身代金要求に容易に応えてしまうこともランサムウェア成功に起因しているとされる。
実はあの企業にも、もう潜んでいる?
ランサムウェアの実態-3
データをあるべき場所に戻すための「復元対策」が重要に
IPA(Information-technology Promotion Agency:独立行政法人情報処理推進機構)公表によるセキュリティ脅威ランキング(右図)では、2021年から2年連続で「ランサムウェアによる被害」が1位(ランサムウェア関連の攻撃もTOP10に5つランクインしている)になるなど、その脅威はますます企業や組織を脅かすものとなっている。
また、警察庁データ(下図)によれば、バックアップを取得していたにもかかわらず、データを復元できたのは、取得していた全体の22%にしかのぼっていない。ランサムウェアの脅威が最大化する中では、被害を最小限に抑えるために、いかにデータを速やかに安全に戻せるかが重要視される。
実はあの企業にも、もう潜んでいる?
ランサムウェアの実態-4
参考事例
自社は万全!だったはずが…
近年では企業だけでなく、医療機関なども標的となっており、社会問題に発展している。某総合医療センターの被害事例では、自院のセキュリティは十分にとられていたはずだったが、関連会社を経由してランサムウェア攻撃の被害に遭ってしまった(サプライチェーン攻撃)。結果的に、一般救急患者受け入れ停止期間は17日間にものぼってしまい、社会に影響を及ぼす事例となった。
上記事例では、院外保管されたバックアップからデータを復旧できたものの、完全な再稼働までにはおよそ3か月の期間を要するとされている。事業を滞りなく継続していくためには、RTOやRPOを設定し単純なシステム復旧を目的とする従来のDR(Disaster Recovery)から、CR(Cyber Recovery)、つまりサイバー攻撃を考慮したBCPの策定が求められるようになっている。そのためのセキュリティ・監視運用、およびデータ隔離や即時復旧が必要となるが、製品に対しては具体的にどのような機能が求められるのか。次項から解説する。
ランサムウェア対策製品に求められる機能-1
ランサムウェアの実態を踏まえて、これからの対策製品に求められる機能要件は、大きく以下の2つに分類される。さらに細分化すると、以下の7つに必要機能が集約される。
次ページからは、Pure&Veeamの組み合わせソリューションにおいて、それぞれがもつ機能を、あてはまる項目ごとに解説する。
ランサムウェア対策製品に求められる機能-2
【Veeam】書き換え不可能なイミュータブルデータ(Immutable:不変の)として、データを保存。期間や権限レベルを設定し、一度書き込んだデータを一定期間守れる機能。レベルによっては管理者もデータを触れないように設定することも可能。
【Veeam】Active Directoryに侵入し、IDとパスワードを抜いてから、まるで人間のように認証情報を使ってバックアップサーバーに侵入されるケースが増えている。
Veeam Backup & Replication v12からセキュリティ機能もよりアップデートされ、複数の認証強化機能が設定された。
ランサムウェア対策製品に求められる機能-3
【Veeam】アンチウイルスソフトによって、バックアップしたファイルをスキャンする。万が一ウイルスが検知された場合は、リストアを中止するか、いくつかの安全なリストア設定に応じて、制限付きでリストアする。
【Veeam】Virtual Labとよばれるサンドボックス内にて、リストアをテスト検証。終了後は状態レポートが作成され、管理者にメール送信される。問題がなければ本番リストアを実行。
ランサムウェア対策製品に求められる機能-4
【Pure Storage】管理者ですらアクセスできないSnapshotデータを所持できる機能。データを戻す場合には、Safemode有効時にユーザー・サービスプロバイダ立会いのもとメーカーから通知され、ユーザーのSafemode管理者が保持する一意の「PINコード」を活用し、Pure Storageが実施する。人が介在する安全性の高さと、他社ストレージベンダーにはないという理由から、非常に注目を集める機能。
【Veeam】バックアップデータを直接マウントするので、従来のリストアと比較して、リストア時のデータ転送時間を短くできる。また、トラフィックも軽減するので、トラフィック占有やデータ転送失敗などの二次障害を防ぐ効果も見込める。
ランサムウェア対策製品に求められる機能-5
【Veeam】ランサムウェア特有の異常なふるまいを、全環境に対して一元的に検知・監視。いつ頃、どのような異常値を発生させたのかなどが一目でわかるため、原因特定から対策までをスピード感をもって実行できる。
【Pure Storage】オールフラッシュストレージゆえの非常に高速なバックアップ・リストアを実現。万が一の際も組織の事業スピード・サービスレベルを下げないので、ユーザー満足度を高い水準で保てる。
ランサムウェア対策製品に求められる機能-6
コラム
「オールフラッシュストレージって、高いのでは?」
「オールフラッシュストレージ(AFA:オールフラッシュアレイ)って、普通のストレージより高いよね?」
Networldには、このような意見が届くこともある。SSDのみで構成されたストレージは、従来のHDDストレージに比較して高速な動作で、かつ安定していることから、このような先入観を持つケースも多い。事実、これまでのオールフラッシュは、パフォーマンスを重視する特定ユーザーだけのものというイメージがあり、その使用は限定的であった。
しかし、ストレージ市場もコモディティ化が進んでおり、多くの企業で、価格に十分手の届くと感じられるレンジまで下がっているといえる。性能要件としてはHDDストレージでも十分にもかかわらず、値段から見てオールフラッシュストレージを選択するケースも出てきているという。特に、ある程度の容量規模であれば、安価な構成を組める場合も多いので、オールフラッシュストレージを提供するPure Storageを、バックアップストレージとして活用するユーザーは増えているようだ。
Veeam×Pure Storageを「意外な組み合わせのソリューション」だと驚く人もいるが、実はニーズは急拡大している。Networldではユーザーの案件に従って柔軟に提示できるので、ぜひお気軽にお問い合わせを。
検証-1
大前提
最悪の場合を想定した機能検証を実施
Pure Storage×Veeamの組み合わせソリューションについて、ここからは「全データが暗号化・削除される」というシナリオに対して、データ保護機能の実検証結果をレポート。
※通常はVeeamの機能である「不変ストレージ=Immutability」「認証強化=Admin Security」などで守られており、バックアップも本シナリオで紹介する7世代ではなく永久増分で管理する
ケースが多いため、すべてのデータを失うリスクは低い。今回は、考え得る最悪の事態が起こっても、本組み合わせソリューションなら問題なく環境を運用できることを検証する。
検証の概要
検証環境(Pure SafeMode & Veeam Instant Recovery)
- ESXを複数台用意
1台のESXには、バックアップ用の仮想マシンをデプロイ
1台のESXには、Veeam環境を構築
1台のESXには、有事の際のSafeMode SnapshotからのInstant Recoveryで、データをリカバリする - Pure StorageのFlashBlade(ブレード式のフラッシュストレージ)をバックアップリポジトリとして用意
本Webページは検証動画のサマリーを作成したもので、
検証を動画で確認したい方は下記URLより動画をご確認いただきたい。
検証-2
検証の目的
Pure Storage SafeMode機能を検証
- Immutable(不変)データ確認
- Recovery(Restore)手順確立
- Veeam Instant Recovery手順確立 の動きを合わせて確認。
検証シナリオ
標的型攻撃
【シナリオの流れ】
- Active Directoryの乗っ取り、管理者権限を強奪
- Veeamサーバー管理者権限強奪、バックアップデータ削除
- ストレージ管理者権限強奪、ストレージデータ削除
- 全データ暗号化
検証-3
検証の手順環境の準備
- Pure Storage FlashBladeーバックアップ先のターゲットボリュームを作成
- Veeamーバックアップリポジトリを作成
- Veeamーバックアップジョブを作成
※今回の保持期間設定は、検証のため1週間としているが、ランサムウェア対策を考慮すると、実環境では数週間~数か月の保管が望ましい。
- Pure Storage FlashBladeーバックアップのSnapshotを取得する設定
右図のEradicate TimerがSafeModeによる保護日数を表している(右図は365日絶対に削除できない場所に保管されることを意味している)
検証-4
攻撃の流れと検証結果
結論:SafeModeが効き、完全削除を実行できない
- 攻撃者がVeeamサーバーからバックアップデータを削除
- FlashBladeのGUIも乗っ取り、全Snapshotを削除
- Snapshotが見つからないというウィザードが表示されるが、その下階層にDestroyed(177)の表記があり、展開すると削除したはずのSnapshotが残っている。Eradicate(根絶)という完全削除を実行しようとしても、グレーアウトしてクリックできない
- Snapshotは完全削除できなかったが、全ファイルを暗号化(復旧は後述)
POINT
SafeModeによって守られているSnapshotは、Pureのサポートでしかリストアができない。
そのため、ストレージのAdmin権限を奪われたとしても、完全削除は不可となる。
検証-5
SafeMode詳細
SafeModeの無効化は、手順を踏む必要がある
SafeMode無効時では、ファイルシステムのSnapshotを削除すると、いったんEradication QueueとよばれるトラッシュボックスにSnapshotが格納される。一定の保持期間経過後、あるいはストレージ管理者による操作後に、Snapshotは完全に削除される。
SafeMode有効の場合、Eradication Queueに格納されたSnapshotは、設定した保持期間が経過しない限り、管理者でも削除は不可になる。
SafeModeを無効化するには、あらかじめ3~5人の関係者に渡されるPINコードをそれぞれが出し合って、メーカーサポートが受け取って初めて実行される(右図)ため、攻撃者が簡単に無効化できない仕様になっている。
検証-6
SafeModeにもいくつかの注意点が存在する。大きく3点を紹介する。特に③について、なんらかのアクションを起こしたい場合でも、管理者3~5名全員およびPINコードがそろっていないと実行に移せないため、運用に関しては注意が必要となる。
検証-7
復旧の手順①
SafeModeでデータを安全に復旧
Veeamのバックアップデータおよび、ストレージ内のSnapshotもすべて削除されてしまっていることを確認したら、SafeMode利用にてEradicate BucketにSnapshotが残っていることを確認。ユーザー自身だけではSnapshotデータを戻せないので、下記のとおりに復旧する。リストアが完了したら、新たにVeeamサーバーを立て直し、FlashBladeのリストアデータをファイルシステムにマウントする。
検証-8
復旧の手順②
Instant Recoveryで即時復旧
新規で立ち上げたVeeamサーバーにImportしたバックアップデータから、仮想マシン1つに対しInstant Recoveryを実施。
仮想マシン自体の起動であれば、およそ10秒で立ち上げが可能(データ自体を戻すという観点では、バックアップデータ容量に依存する)。起動はできるので、アプリケーションは即時復旧しながら、裏で実際のデータ復旧を試みることになる。
効率的に復旧作業を実施できるのが、Instant Recoveryの特長だ。Instant Recovery利用時の差分データに関しては、復旧先のデータストアに書き込まれ、最後にマージされるので心配ない。
Instant Recovery機能の注意点としては、バックアップ保存先の処理能力に依存することが挙げられるが、本組み合わせソリューションでは、圧倒的なI/O性能を誇るPure Storageのオールフラッシュを使用しているため、遅延なく復旧を実現可能となる。また、Veeamにはマルウェアスキャンやサンドボックス機能もあるため、万が一すでにバックアップデータが感染していたとしても、事前にデータの状態を確認することもできる。ただし、そもそもの予防法として、バックアップの世代数を長くとり、リストアポイントをできるだけ広げることは意識しなければならない。
組み合わせれば、守れるデータがある。
各領域のリードベンダーとして急成長するVeeamとPure Storage。それぞれに強固なセキュリティ機能が備わっており、2つを組み合わせることで、脅威を増すランサムウェアにも非常に効果的なソリューションとなることがわかった。本組み合わせソリューションひとつでランサムウェア対策のすべてを解決できるわけではないが、効果的な手段として、ぜひ検討してみてほしい。
※本検証データは、お客様システム(お客様の導入システム、お客様の検証環境含むシステム)や、メーカーの製品性能(当社独自検証の為、メーカー見解は含まれません)を保証するデータではありません。試験実施環境や試験実施シナリオ・手順、ツールバージョン、ハードウェア構成・種類・世代・バージョン、ツールの特性、データ取得タイミング などに応じて、結果は異なる可能性がございます。上記をご留意頂き、参考資料として、ご利用・ご活用頂ければと存じます。