- ライター:新林 辰則
- 2007年にネットワンシステムズに入社
ロードバランサー製品の製品技術担当を経て、現在はSDN・仮想化の製品・技術領域を担当し製品や技術の評価検証、お客様への提案の技術支援等を行っている。
最近はプログラマブルネットワークにも注目し、情報収集活動、セミナーでの発表などを実施。
目次
以前にこちらの記事にてクラウドを利用したシンプルな災害対策ソリューションとして、VMware Cloud Disaster RecoveryTM(以下VCDR)についてのブログ記事を紹介させていただきました。この以前の記事内でも、VCDRでバックアップデータからオンプレミスへのリカバリが可能、という点はお知らせさせていただいておりました。
今回の記事ではさらに、バックアップしたデータに対してランサムウェア等の脅威に対する検査や、そもそもどの時点からデータに脅威が潜んでいた可能性があるのか、といった情報を可視化しつつ仮想マシンをリカバリすることができる「VMware Ransomware RecoveryTM for VMware Cloud DRTM」の機能が追加されましたので、ご紹介させていただきます。
VMware Ransomware Recovery for VMware Cloud DRの特徴
ランサムウェア被害からの迅速な復旧
VMware Ransomware Recovery for VMware Cloud DRは、Cloud File Systemに保存したバックアップデータの変化を2つの指標からグラフとして可視化できます。
1つはChange Rate(KiB/s)で、前のスナップショットから現在のスナップショットの間で変更のあったデータのバイト数を秒間レート化したものになります。
もう1つはEntropy Rateで、これはデータの圧縮性が低い(すでに暗号化されているか圧縮されているデータが多い)ほど値が高くなる指標となります。
この2つの指標の変化を時系列にグラフ化することで、対象のデータが過去のものと比べて大きく変わっているものなのかが判別できるため、どの時点でランサムウェアによる攻撃を受けたのか、どの時点のデータを復旧すれば安全なのか、といった目安を得ることが可能となっています。
弊社で検証を実施した中でも、疑似ランサムウェアによって暗号化を実施した時点のグラフは山ができており、変化があったことが判別できました。(図1参照)
図1 検査するバックアップデータの選択画面
図1のように、取得したバックアップデータがピンとして時系列に表現され、すでに調査したデータについては結果をユーザ側でバッジとしてマーク(赤のバツマーク、緑のチェックマークなど)することが可能です。
安全でクリーンな分析・調査環境をクラウド上に実現
復元しようとしているバックアップデータに脅威が潜んでいるかどうかを調査するためには、実際にそのデータから仮想マシンを復元し、何かしらのツールを利用して分析していく必要があります。
二次的な被害を考えるとクリーンで隔離された環境を、本番環境とは別に用意することがベストですが、オンプレミス上でそういった環境を別途用意することはなかなかハードルの高いものになりますし、使用していない間は遊んでいるリソースということになります。
そこで、VMware Ransomware Recovery for VMware Cloud DRは選択したバックアップデータを復元する環境としてVMware CloudTM on AWSを活用しています。
クラウド上に一時的に仮想マシンをデプロイできる環境を用意することで、常にクリーンな状態の環境を本番環境とは別に用意することができます。
また、ネットワーク隔離レベルを設定することで、隔離レベルに応じたファイアウォールポリシーが自動的に適用され、復元した仮想マシンを必要最小限の通信のみが可能な状態にできます。
図2 VMware Ransomware Recovery for VMware Cloud DRで利用される各サービスの概要
図2のように、同時にVMware Carbon Black CloudTMもこのクラウド上のサンドボックス環境用に用意され、脅威のスキャン、脆弱性の分析を行います。これについては次項で紹介いたします。
復元した仮想マシンに対する脅威のスキャン・脆弱性の分析
前項の図2の通り、VMware Ransomware Recovery for VMware Cloud DRでは、VMware Cloud on AWSのSDDCとして用意したサンドボックス環境上にバックアップデータから仮想マシンを復元し、その仮想マシンに対してVMware Carbon Black Cloudを用いて脅威のスキャンや脆弱性分析を行うことで、実際にオンプレミス上などにリカバリしてよいバックアップデータかどうかを調査することが可能です。
VMware Carbon Black Cloud自体の操作を要求されるわけではなく、SDDC上に復元した仮想マシンへセンサーと呼ばれる情報収集のためのエージェントを自動的インストールし(Windowsの場合)スキャン・分析を開始します。もし完了後に脅威や脆弱性があった場合は、同じくVCDR上のUIから確認が可能ですので、一元的なUIから仮想マシンのバックアップ、復元、調査、リカバリといった一連のワークフローを行うことができます。
図3 VCDR上のUIから確認できるスキャン結果・分析結果
また、VCDRに元々備わっているバックアップデータのファイルシステムにアクセスし、ファイルをZIP形式でダウンロードする機能も使用可能となっているため、より細かな単位でのデータの復元を行うことも可能です。
VMware Ransomware Recovery for VMware Cloud DRのメリット
これまで紹介させていただきました、VMware Ransomware Recovery for VMware Cloud DRの特徴から、下記のようなメリットがあります。
ランサムウェア被害からの迅速な復旧
- バックアップデータの変化を可視化し、ランサムウェア被害があった時期の目安を得ることでどの時点のデータから復旧するべきかの判断を早めることが可能
- VMware Carbon Black Cloudを利用した調査・分析環境を迅速に用意することが可能
安全性の高いサンドボックス環境をクラウド上に
- VMware Cloud on AWSのSDDCを活用し、クリーンな仮想マシン復元環境を用意
- ネットワーク隔離レベルの設定やカスタマイズによる外部通信のコントロールが可能
リカバリによって失われるデータを最小限に
- バックアップデータの取得スケジュールは最小30分単位で設定可能
- バックアップデータからファイルをダウンロードし、ファイル単位でリカバリすることも可能
まとめ
今回の記事ではVCDRに新たに追加された機能である、VMware Ransomware Recovery for VMware Cloud DRについて特徴とメリットをご紹介させていただきました。
ランサムウェアによる被害は年々増加しており、攻撃者側も攻撃ツールを開発する開発者、ツールを販売するサイト、実際の攻撃を担当する実行者など、コミュニティとして組織化され、攻撃力が増している状況です。ファイアウォール、IDS/IPS、EDR/NDRといったランサムウェア被害を未然に防ぐソリューションとともに、VMware Ransomware Recovery for VMware Cloud DRのような、被害にあってしまった場合に迅速な対処が可能となる仕組みというものも重要性が増しております。
是非この機会にランサムウェアに対する被害をどう防ぐか、また被害にあってしまった場合にはどう対応するか、といった行動指針をご検討いただけますと幸いです。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
