VMware Cloud on AWS クラウド

VMware Ransomware Recovery とは?

今回は、VMware が提供するランサムウェアの復旧対策サービス「VMware Ransomware Recovery for VMware Cloud Disaster Recovery(以下 Ransomware Recovery)」の概要や仕組み、採用メリットなどについてお伝えします。Ransomware Recovery は、VMware が提供する DRaaS のインフラを活用して安全かつ確実に復旧できるユニークなサービスです。ランサムウェア対策の強化を目的として製品やサービスを検討している方々にとって、採用判断のヒントになる情報もありますので、ぜひご一読ください。

 

 

目次

 

 

 

VMware Ransomware Recovery とは

Ransomware Recovery は、ランサムウェア攻撃からの復旧対策として活用できるクラウドサービスです(図1)。VMware が提供する DRaaS である「VMware Cloud Disaster Recovery(以下 VCDR)」を利用して、被害を受けたワークロードをクラウド上で復旧させるサービスです。復旧する際には、ランサムウェア攻撃によるマルウェアの痕跡の有無などをチェックしながら復旧できます。これによって、セキュリティ面の安全性を確認した上でビジネスの再開可否を的確に判断できます。

図1 VMware Ransomware Recovery for VMware Cloud Disaster Recovery の概要

 

Ransomware Recovery には、バックアップ機能やリカバリサイトのクラウドのインフラ、自動リカバリ機能(フェイルオーバー)、マルウェアスキャン機能などが含まれています。これらの機能がインフラサービスと連動して効率良く復旧処理を行います(図2)。復旧対策で複数の異なるソリューションを採用してしまうと、互いにうまく連携しないため管理や操作が煩雑になりがちです。有事の際にできるだけ素早くビジネス再開させなければならない状況において、複雑な操作を強いられるソリューションは避けるべきです。そのような事態を回避できる点も Ransomware Recovery 独自のメリットです。

図2 Ransomware Recovery における有事の対応フロー

 

この後、Ransomware Recovery の主な特徴や採用メリットについてもう少し掘り下げてご紹介します。尚、過去のブログ「ランサムウェアの復旧対策が重要な理由」では、復旧対策の重要性と対策の要点を整理してお伝えしています。こちらも併せてご覧ください。

 

 

 

暗号化攻撃からバックアップデータを保護できる

Ransomware Recovery では、クラウドストレージ上にバックアップデータを保持します。このクラウドストレージは、一度書き込んだデータに対して後から変更できない仕様(イミュータブル)になっています。そのため、ランサムウェアの暗号化攻撃を回避してバックアップデータを守ることができます(図3)。

図3 イミュータブルで安全なクラウドストレージ

 

このクラウドストレージは本番サイトから隔離された場所に準備されています。これは、エアギャップ(物理的に隔離された空間や場所を作ること)を用いたバックアップ専用ストレージと表現することができます。さらに、このストレージは、本番サイトとは全く異なる認証・管理機構の元で VMware によって運用されています。万が一、本番サイトがランサムウェアに被害を受けても、その攻撃の延長でクラウドストレージやクラウドサービスインフラが被害を受けることはありません。

 

 

 

安全なリカバリポイントを推測できる

ランサムウェア攻撃に備えて「検知」や「防御」の役割を果たすセキュリティソリューションを導入していれば、攻撃が開始された時期が特定しやすくなります。しかし、それらのソリューションが導入されていない場合、攻撃時期や攻撃範囲などを特定するのは非常に困難です。攻撃時期が特定できなければ、過去のどの時点のバックアップデータが安全なのか判断できません(図4)。マルウェアに感染している状態で復元してしまうと、複雑で手間のかかる復旧作業を何度も繰り返す羽目になります。

図4 安全なバックアップを見極める手段が必要

 

ランサムウェアの攻撃で不正にファイルが暗号化されると、データに大きな変更が発生します。Ransomware Recovery は、定期的にクラウドへ送られるバックアップデータの変化を分析して、普段とは異なる変化をエントロピー(不規則性の値)としてインフラ管理者に示すことができます(図5)。リカバリサイトにワークロードを切り替える際、インフラ管理者はそこから攻撃させた時期を推測して、バックアップデータの中から安全なリカバリポイントを特定できます。

図5 安全なバックアップの見極めに役立つ Ransomware Recovery のリカバリポイント操作画面サンプル

 

 

 

隔離されたクリーンなクラウドで復旧できる

Ransomware Recovery では、リカバリサイトに「VMware Cloud on AWS」のクラウドインフラを利用します。このクラウドインフラは、設計および構成次第で本番サイトとは完全に隔離された場所として活用できます。VMware Cloud on AWS のインフラは VMware がサービス事業者として管理・運用しており、独自にセキュリティ対策が施されています。万が一、本番サイトがランサムウェアに攻撃されても、その延長でクラウドインフラに侵入されることはありません(図6)。

図6 VMware が管理・運用するクラウドインフラ(VMware Cloud on AWS)

 

 

 

本番サイトの復旧に集中できる

Ransomware Recovery のリカバリサイトは、VMware Cloud on AWS のクラウドインフラを採用しています。このインフラはサービス事業者である VMware が管理・運用しています。有事の際、リカバリサイト側にワークロードをフェイルオーバーさせてビジネスを再開した後でも、リカバリサイト側のインフラ自体の運用は VMware に任せられます。その結果、インフラ管理者は攻撃を受けた本番サイトの復旧に集中できます(図7)。この点も災害対策でクラウドを活用すべき大きなメリットと言えます。

図7 クラウドインフラを活用すれば、本番サイトの復旧作業に集中できる

 

 

 

復元と同時に安全性をチェックできる

Ransomware Recovery は、リカバリサイト側でワークロード(実体としては仮想マシン)を復元する時に、OS を起動した直後にセキュリティ面での安全性をチェックできます(図8)。具体的には、OS やアプリケーションの脆弱性検査や振る舞い分析による不審なプログラムの検知、既知のマルウエア検知が可能です。

これによって、リカバリサイトにワークロードを復元する段階で安全性をチェックし、安全性が確認できてから本番ネットワークに接続するという復旧が可能になります。このような仕組みを利用することで効率よく復旧作業を進めることができるため、復旧時間を大幅に短縮できます。

図8 Ransomware Recovery の安全性チェック機能により効率の良い復旧が可能

 

 

 

簡単操作でワークロードを本番サイトに復元できる

本番サイトのインフラの復旧が完了したら、クラウド上で動いているワークロードを戻すことができます(図9)。VCDR のフェイルオーバー機能を利用することで、簡単な操作で最新の状態を維持したまま本番サイトに戻すことができます。クラウド側にワークロードを復元する「フェイルオーバー」の操作と本番サイト側にワークロードを復元する「フェイルバック」の操作は、どちらも非常にシンプルです。有事の際こそオペミスを発生させないようなシンプルな手順や操作が必要です。このソリューションを活用すれば、それが実現できます!

図9 VCDR のシンプルな操作で一斉にワークロードをフェイルバック可能

 

 

まとめ

Ransomware Recovery を活用すれば、ランサムウェア被害を受けても非常に効率良くスムーズに復旧できることがお分かりいただけたら幸いです。昨今、BCP の観点でもサイバー攻撃を意識した取り組みが必須と言われるようになりました。ここでご紹介した復旧対策と併せて、検知や防御対策で活用できる VMware のセキュリティソリューション「VMware Carbon Black」や「VMware NSX」も是非ご検討ください。

 

 

 

関連情報リンク

 

吉田 尚壮

プリンシパル ソリューション アーキテクト|ヴイエムウェア にて VMware Cloud Foundation の技術担当として営業支援活動に従事しています。

関連記事