左:ルーブリック・ジャパン セールスエンジニア 中井大士、中央:ネットワールド SI技術本部 吉田大樹 右:ネットワールド セールスコンサルティング部 宮本隆史
情シスのみなさん。ランサムウェア対策に自信はありますか?
「ランサムウェア」という言葉が当たり前になり、“脅威はすでにそこに潜む”時代。
あらゆる企業が対策を練り、データ保護に奔走していますが…
ひとつとして同じシステムはない中、製品特長を紹介するばかりで、実例に沿った具体的なセキュリティ対策を教えてくれるベンダーさんが少ないのも悩みどころ。
大事なデータを守りたい気持ちはあっても、「なにから始めればいいの?」と悩む方も多いのではないでしょうか。
そこでNetworldでは、バックアップソリューションとして今人気急上昇中のRubrik社ご協力のもと、「『必ずやるべきランサム攻撃対策』を実例交え大公開!」セミナーを開催!
Rubrik機能を活用した7つの具体的なランサムウェア対策を、実際に効果検証しながら教えてもらいました。
本記事では、そんなセミナーのようすをぎゅっと要約。要点だけ押さえたい人向けにまとめています。
動画でランサムウェア対策を学びたい人はこちら
Networld 宮本
「バックアップソリューションでありながら、”ランサムウェア対策に強いRubrik”という位置づけも認知されだした印象がありますが、実際のところいかがでしょうか?」
Rubrik中井さん
「ありがたいことに、特にランサムウェア対策要員として、弊社でも多くのお問合せをいただいております。お客様自身がランサムウェアに感染してしまったケースや、同業他社が感染したニュースも多く取り上げられているため、対策を強化しようと検討を進める企業様が多いようです」
Networld 宮本
「実際にNetworldでもお問合せはもちろん、実績もかなり増えています。バックアップ製品として展開されるRubrikですが、肝心のバックアップ機能のアップデート状況はどうでしょう?」
Rubrik中井さん
「新興系のバックアップベンダーとして2014年に設立して9年、日本進出から5年以上が経過していますが、かなり進歩していると自負しています。バックアップにおける国内実績も順調ですね。
中でもセキュリティおよびランサムウェア対策機能に関しては、早い段階から取り組んできましたから、特に最近ではその点が多くのお客様に評価され始めているという認識です」
※日本進出から順調にRubrik実績が伸びていると語る中井氏
Networld 宮本
「”ランサムウェア対策に強いRubrik”を実案件からも掘り下げていきますと、吉田さんとわたしで担当した案件の中には、まさにランサムウェア感染真っ最中!な対応事例なんかもありましたよね?」
Networld 吉田
「ありましたね。お客様のファイルサーバーがランサムウェアによって暗号化されてしまって、データ復旧中にRubrikを導入した事例でした。復旧したそばですぐにバックアップおよび、データ保護を実施できるとして、お客様にはすぐに導入を決定していただきましたね」
Networld 宮本
「もし暗号化される前に導入していたら、また違った対処ができたかもしれないと思っていたのですが、このあたりのRubrikの優位性を教えていただけますか?」
Rubrik中井さん
「暗号化に対するRubrikの強みですね。そのようなケースでは、Rubrikの『ふるまい検知』が有効です。Rubrikでは、日々のバックアップを時系列に沿って分析できます。あるファイルが編集、追加されたなどの挙動を機械学習による分析で比較し、今までにない異常な動きがあればアラートを出したり、具体的にファイルを特定・一覧化・対処したりすることが可能です」
Networld 宮本
「この図を見ると、RubrikさんのSaaSサービス上でデータが分析されるようですが…実データをSaaSに送る必要があるのでしょうか?」
Rubrik中井さん
「SaaS環境では、あくまでふるまいだけを分析しています。いわゆるメタデータ(属性情報)は送りますが、実データをクラウド上に送る必要はないので、安心してお使いいただけます」
Networld 宮本
「実は『クラウドにアップロードしなきゃいけないの?』と誤解されるお客様も多いのですが、メタデータのみなら安心ですね」
Networld 宮本
「ちなみに吉田さん、『ふるまい検知機能』って検証できるのでしょうか?」
Networld 吉田
「はい。今回はファイルを暗号化するツールを特別に利用して、ふるまい検知機能の検証をしてみました」
Networld 宮本
「ファイル暗号化…大丈夫ですか?」
Networld 吉田
「この暗号化ツール…実はRubrikさんから提供していただいたものなんです」
Rubrik中井さん
「Rubrikでは、過去のランサムウェアの攻撃方式を検証し、Rubrikの機能がただしく動作するかを常にシミュレートしています。本ツールはシミュレート結果をもとにし、ユーザーに提供するために作成したシミュレーターです」
Networld 宮本
「なるほど、ちょっとドキッとしちゃいました(笑)PoC環境にも役立ちそうなシミュレーターも提供されているんですね」
Rubrik中井さん
「はい。実際の攻撃に寄せることで、対策準備も本番と同じ感覚で進められるので、皆さんよく活用されていらっしゃいます」
Networld 吉田
「ではさっそく検証の中身を見ていきましょう。まず、検証環境ですが、このようにファイルサーバーの中にオフィス系のファイルが複数入っています」
※実際に暗号化する複数ファイルが入ったファイルサーバー
Networld 吉田
「今回は、このファイルサーバーのバックアップを、暗号化の前後で取得(仮想マシン単位)して、ふるまい検知機能を検証します。
という3工程で、ふるまい検知がどう働くかを見ていきます」
Networld 宮本
「暗号化前後の差異、つまりファイルが暗号化されていることを、暗号化前と後のバックアップでただしく比較検出できるかどうかを確認するというわけですね。結果はどうなったのでしょう?」
Networld 吉田
「はい、結果はこちらです」
※Rubrik SaaS管理画面でふるまい検知を確認する3人
【セミナー動画内ではさらに…】
などをデモ解説しています!
【ここまでのRubrikまとめ】
Networld 宮本
「先ほどのデモで、暗号化される前のデータをあっさり探し出してくれたかと思うのですが、これは管理者にとって非常にありがたい機能ですね」
Networld 吉田
「はい。今回はデモとして1台のサーバーだけでしたが、複数のサーバーを利用しているときなどはデータの検索がとても大変です。どのファイルをいつの地点まで戻せばいいのかを自動で提示してくれるのは、すばらしい機能かと思います」
Networld 宮本
「あまり他社さんでは見かけない機能ですが、Rubrikさん独自の機能でしょうか?」
Rubrik中井さん
「そうですね。先ほどの画面ではファイル単位で戻す例でしたが、たとえばVMをまるごと戻すケースでも、どの地点まで戻せばいいかを一覧で提示してくれます。RECOVERY FULL SNAPSHOTリンクから進んでいただけると…」
※RECOVERY FULL SNAPSHOTの画面
Rubrik中井さん
「ここでは過去に取得したバックアップの一覧が表示されます。最新のバックアップはオレンジのマークがついていますが、これはランサムウェアによって暗号化されたファイルを含んでいるというしるしです」
※赤枠は17日より前のものであれば安全なデータを復旧できることを示している
Rubrik中井さん
「17日のところに勲章のようなベンチマークがついていますが、17日以降が危険性をはらんでいるということで、17日より前のものであれば安全なデータを復旧できることを示しています。これをRubrikでは『サジェスティッドリストア』と呼んでいます。つまり有効リストアの提案ということですね」
Networld 宮本
「これならファイル単位でなくVMまるごとリストアしたほうが早い場合などでも、どの地点から復旧すべきかがすぐにわかるというわけですね」
Rubrik中井さん
「そうですね。もちろんこれだけですべて安心というわけではありませんが、一つの判断材料としていただいてよいかと思います。特に台数が増えれば増えるほど有効なので、大規模環境などにも役立つ機能です」
【ここまでのRubrikまとめ】
Networld 宮本
「スピーディにリストアするという意味では、インスタントリカバリという機能もあるとお聞きしています」
Rubrik中井さん
「はい。リストア対象かどうかを判断するまでの時間短縮は、先ほどのふるまい検知で行っていただきます。そこから先の、実際の復旧までの時間短縮に関しては、インスタントリカバリ機能が有効です。これは、Rubrikを一時的にストレージに見立てて、直接VMを起動させることができる機能です」
Networld 宮本
「あるべきところにデータを戻す前に、まず復旧させてサービスを継続させたいときに活用できる機能ですね」
Rubrik中井さん
「そうです。その後、落ち着いたタイミングで、ストレージvMotion機能などを使ってデータをあるべき場所に戻します。インスタントリカバリ機能によって、サービスを停止させることなく、VMを数分で起動させることができます」
Networld 宮本
「ちなみに、Rubrikをストレージとして見立てたあとも、データが更新されることもあるかと思いますが、その更新差分データはどこに書き込まれるのでしょうか?」
Rubrik中井さん
「Rubrik内のSSD領域に書き込まれていきます」
※インスタントリカバリ機能解説
Rubrik中井さん
「データをあるべき場所に戻す場合には、更新分も反映した状態で戻すことが可能です。ただし、バックアップデータは取得した状態を保持することが大切なので、バックアップデータ自体は更新されません」
Networld 宮本
「なるほど…もう少し踏み込んだところを聞かせてください。SSD領域に差分データが書き込まれるとのことですが、実際何台分くらいのVMを同時に立ち上げられるのでしょうか?複数のVMを同時に起動させているユーザーも多いと思いますが」
Rubrik中井さん
「Rubrikでは2つのモデルを展開しており、SSD小モデルで同時起動台数…」
【セミナー動画内ではさらに…】
などを解説しています!
【ここまでのRubrikまとめ】
Rubrik中井さん
「ここからは、具体的にRubrik内にどのように保存されるかというお話ですが、たとえば我々がパッチファイルと呼んでいる、追記のみ可能(削除・編集不可)な独自ファイルを作成してそこにバックアップデータを保存するという方式も可能です」
※パッチファイル機能解説の図
Rubrik中井さん
「このパッチファイルはRubrikが特許を取っているものですが、一度書いたデータは上書きされず、別のファイルとしてデータを追記し、それを参照して最終的に合致させるという手法がとられています」
Networld 宮本
「なるほど…その手法だと、容量が足りなくなったりしませんか?」
Rubrik中井さん
「ポリシーに沿ってデータの保存期間(日数単位)を設定可能なので、ユーザー様に合った形で設定していただければと思います」
Networld 宮本
「サイジング次第ということですね」
Rubrik中井さん
「そういうことですね。さらにパッチファイルで保存したデータを取り出す際の整合性も、フィンガープリントという仕組みで保証しています」
※フィンガープリント機能解説の図
Rubrik中井さん
「フィンガープリントとは英語で『指紋』のことを指しますが、要するにデータの並びを数値化するチェックサムと、中のデータを比較し、整合したらデータ取り出し、万が一不整合なら修正(ロールバック)するという仕組みになっています」
Networld 宮本
「そもそもイミュータビリティな環境を作れるかつ、データの整合性も担保できると」
Rubrik中井さん
「はい。パッチファイルによる独自ファイルシステムで改ざん防止を図っているので、入ってきたデータと外に出るデータで変更が生じていることはそうそうないかと思いますが、万が一の対策として整合性を担保しています」
【ここまでのRubrikまとめ】
Networld 宮本
「最近のランサムウェアは、パスワードやIDを盗み取り、まるで人間のようにふるまって、正面から堂々と侵入してくるケースも多いと聞きます。Rubrikさんでは、どのような認証方式を採用しているのでしょうか?」
Networld 吉田
「一番簡単なのは、スマホと連動したOTP(ワンタイムパスワード)ですね。スマホに送られてくる一時的にしか利用できないパスワードを入力してからでないと、ログインできない方式も採用されています」
※MFAのデモを行うネットワールド吉田氏
Rubrik中井さん
「あとはSSO(シングルサインオン)連携も可能です。SSO機能をもったサードパーティツールと連携することで、シングルサインオンによるボーダーフリーなログインを実現できます」
【ここまでのRubrikまとめ】
Networld 宮本
「なるほど、認証機能も充実しているというわけですね。一方で、たとえばわたしがRubrikの管理者だったとして、ワンタイムパスワードやシングルサインオンなども容易に突破した場合、かんたんに悪事を働けてしまうと思うんですね。
もはやランサムウェア対策やウイルス対策の域を超えた話になるかもしれませんが、そのような悪意ある管理者にはどうすることもできないのでしょうか?」
Networld 吉田
「Rubrikには、2パーソンルールというものが存在します。2パーソンルールを有効にすることで、1人ではデータ削除や設定変更ができないような仕様にすることが可能です。手順も簡単で、2パーソンルールを承認するか否認するかだけのアカウントに対してリクエストを送り、承認者はそれを許可あるいは禁止するだけです」
Rubrik中井さん
「承認者は必ずしもIT部門である必要はなく、自由に選定していただいて構いません。Rubrikでは人員教育なども考慮して、ランサム対策を実施していただきたいと思っています」
Networld 吉田
「実際に2パーソンルールのようすを、検証動画で確認していきましょう」
【セミナー動画内ではさらに…】
などをデモ解説しています!
【ここまでのRubrikまとめ】
Networld 宮本
「ここまですればクリーンな状況を保てると思いますが…最悪も最悪な状況を考えたとして、2パーソンルールも突破されてデータを削除されてしまったら、さすがにどうすることもできない…ですよね?」
Rubrik中井さん
「最後の砦ですが、Rubrikでは、削除されたデータを一定期間保持しており、またそれを要請によって復旧させることが可能です」
Networld 宮本
「なるほど。ただそれって管理者が実行できてしまっては意味がないのでは…?」
Rubrik中井さん
「はい。なので、この作業でリカバリを実行できるのはRubrikによるメーカーサポートのみです。権限を持っている人でも実行することはできません」
Networld 宮本
「それなら安心ですね。これはどういったフローで実行されるのでしょうか?」
Networld 吉田
「今回はデータを完全削除してからRubrikさんのサポートによって復旧するまでも検証しているので、こちらの動画で…」
【セミナー動画内ではさらに…】
などをデモ解説しています!
【ここまでのRubrikまとめ】
「そんなところまで検証してるの!?」と思ったみなさん。
ぜひ上のリンクから、さまざまな検証内容をチェックしてみてください。
動画では、実例を交えながら、より詳細にRubrikを活用したランサムウェア対策を講じています。
バックアップをより企業運営に活用するには
が大切です。
Rubrikを活用すれば、この2点をしっかり守りながら、ランサムウェアに立ち向かえるはずです。
「ランサム対策をしっかりしたいけど、どこから手をつければいいかわからない!」という人はぜひ、本記事とセミナー動画の内容を押さえて、『必ずやるべきランサムウェア対策』の一歩を踏み出してみてはいかがでしょうか!