みなさま、こんにちは、VMware の知久です。
今まで私のブログでは、ストレージや VMware Cloud Foundation についての投稿をメインにしてきましたが、今回はインフラレイヤーを少し離れて、ランサムウェア対策について触れていきたいと思います。
ご存知の通り、昨今のランサムウェアの脅威は止まる所をしれず、ある統計データによると令和の初期の頃と比較して、昨今では5倍以上の高い被害件数で高止まりしており、さらに最近では、大企業よりも中小企業の被害件数が多くを占めている傾向になっています。
この事からも、今やランサムウェア被害は対岸の火事ではなく、どの企業もきちんとした対策が必要不可欠な時代になっていると考えます。
ランサムウェアの被害が拡大する中、世の中には多くの対策ソリューションが存在しますが、今回は、弊社の技術を利用した仮想化環境に特化したランサムウェア対策ソリューションをご紹介したいと思います。
1. VMware Cloud Foundation でのランサムウェア対策へのアプローチ
みなさまがご存知の通り、弊社では迅速で効率的な運用を実現する次世代のプライベートクラウドを簡単に導入出来る VMware Cloud Foundation という製品を提供しています。
この VMware Cloud Foundation では、二つの切り口でランサムウェア対策用の Add-on サービスを提供しています。
図1-1: VMware Cloud Foundation Add-on サービスで実現する二つのランサムウェア対策
一つは vDefend と呼ばれるネットワークセキュリティ製品で、分散 Firewall と呼ばれる通常の Firewall では制御が難しい横への通信、いわゆるラテラルムーブメントの抑制、そして分散IDPSによる侵入検知と防止、さらには NDR によるAI技術による振る舞い検出&対応など、サイバー攻撃に対して高度なセキュリティを実装できます。
もう一つが感染後の復旧対策として提供している VMware Live Recovery という製品になりますが、本日はこちらのVMware Live Recovery のご紹介をメインにさせて頂きます。
2. VMware Live Recovery とは
実はこの VMware Live Recovery という製品は最近リリースされたものではなく、従来から存在する仮想化環境に特化した災害対策ソリューションの Site Recovery Manager とクラウドを活用したランサムウェア対策の VMware Cloud DR の二つの製品を統合してリブランディングした名称となっており、VCF やVVF という弊社の仮想化製品の Add-on として提供しています。
特徴としては、本製品は災害対策を目的としてオンプレやクラウド環境に必要リソースを確保した環境を事前に準備しておき、迅速にワークロードを切り替える VMware Live Site Recovery とランサムウェア被害を受けた際に定期的にクラウドにバックアップしていたデータをベースにクラウド環境で即座にリストアし、被害のチェックを実施して被害を受けていない環境を元の環境に戻す VMware Live Cyber Recovery の二つで構成されており、お客様の要件に基づいて利用するものを選択することが出来ますし、双方を利用することも可能です。
本日はランサムウェア対策の VMware Live Cyber Recovery の方に焦点を当てていきます。
図2-1: プライベートクラウドのレジリエンシーを強化する VMware Live Recovery
先述した通り、VMware Live Cyber Recovery は旧 VMCDR の後継製品となっていて、VMC on AWS を活用した DRaaS サービスに専用の EDR エンジンによるスキャンを組み合わせたランサムウェア復旧対策ソリューションという位置付けになっています。
VMCDR 自体元々は DRaaS としてのみの提供開始だったため、通常の災害対策ソリューションとしても活用は出来ますが、災害対策に関しては先ほどお話した VMware Live Site Recovery の方が色々と機能は特化しているため、災害対策環境を構築したいなら VMware Live Site Recovery、ランサムウェア対策に特化したいなら、VMware Live Cyber Recovery という棲み分けで使うのを推奨しています。
図2-2: クラウドを活用したランサムウェア復旧ソリューション VMware Live Cyber Recovery
VMware Live Cyber Recovery の主な動きとしては、オンプレミス環境のバックアップをクラウドストレージ( AWS S3 )に定期的に取得しておき、もしランサムウェア被害を被ったら、感染前のバックアップデータからIREと呼ばれる VMC on AWS 上の隔離環境で一時的に仮想マシンを復元します。
復元時には仮想マシンに専用の EDR エンジンを導入し、スキャンを実施して全ての安全性を確認することが出来たら、そのまま VMC on AWS 上に戻すことも出来ますし、元のオンプレミス環境ににリカバリすることも可能となっています。
図2-3: VMware Live Cyber Recovery 一連の動作
3. VMware Live Cyber Recovery の4つの特徴
3-1. 改ざん不可の堅牢なバックアップ
もしランサムウェア被害を受けた場合、バックアップを取得していれば、そこからデータを戻すのが一般的な手法となりますが、実はこのバックアップデータから復元出来ない被害ケースというのが多く見られます。
侵入型のランサムウェアの場合、VPNやサーバの脆弱性を突いて組織内に侵入した後、水平方向へのラテラルムーブメントで攻撃を拡大していきます。
そしてより脅迫の度合いを増すために、より高度な機密情報が入ったサーバ群を狙いますが、その際にバックアップサーバに関しても攻撃して暗号化する傾向があります。
そうなってしまうと、バックアップデータも使い物にならないため、従来のバックアップではランサムウェア対策としては不十分で、きちんとランサムウェア対策に特化したバックアップの導入が必要になってきます。
VMware Live Cyber Recovery では AWS の S3 をベースとした VMware 独自の技術で構成されたクラウドストレージにバックアップを取得します。
このクラウドストレージはオンプレミスのデータセンターからは NFS/CIFS のようなプロトコルでマウントする事は出来ません。
さらにこのクラウドストレージに書き込まれたデータは後からの変更や破壊が出来ない仕様となっているイミュータブルバックアップとなっているため、データセンターに侵入されたランサムウェアからバックアップデータを攻撃される可能性を限りなくゼロにする事が可能です。
図3-1: AWS S3 を活用した独自のクラウドストレージ
3-2. 復旧ポイントの特定を補助するスナップショット管理
ランサムウェアの被害を受けた場合、気づいた時には既に多くのデータは暗号化されてしまっている可能性が高く、そのため EDRなどのサイバー攻撃を検知する仕組みがない場合には、侵入されたタイミングを特定することが出来ないため、どの時点のバックアップデータが健全なのかを特定するのが非常に困難な作業となります。
VMware Live Cyber Recovery のスナップショットの管理画面では取得しているスナップショットに対して前回の取得からの更新率を表示することが出来ます。こちらの画像では、大きくデータの更新率が上昇しているタイミングがあることが見られます。
図3-2: 復旧ポイントの見極めを支援するスナップショット管理
ランサムウェアによって暗号化される場合には大きくファイルの変更が発生するため、このタイミング前で感染していると推測することができます。
そのため、その直前のデータをまずは復旧ポイントの目安として復旧作業に取り組むといった作業が可能になります。
これによって EDR などで侵入検知をしなくても、ある程度復旧ポイントの目安をつけることが容易になります。
3-3. 迅速で効率的な復旧作業
実際にランサムウェアの被害を受け、それを復旧するとなると、復旧までに膨大な時間を有するケースも珍しくありません。
ランサムウェア被害を受けた場合、まずは攻撃されて影響が出ている範囲を特定します。
その特定が出来たら、その後は直近のバックアップデータを復元し、システムを復旧します。
そして復旧したシステムが影響を受けていないかを確認し、もし復旧した環境も影響を受けていたら、さらに過去のデータから復旧をし、完全に影響を受けてない状態になるまで永遠にそれを繰り返す形になります。
1回の復旧作業や安全確認自体もそれなりの時間を要するため、それを繰り返すとなると莫大な時間を要してしまうというのが大きな理由です。
一般的なバックアップ製品ではバックアップデータから復元コピーでリストアを実施するため、データの転送時間そのものに時間を要します。
それに対して VMware Live Cyber Recovery では、バックアップが取得されているクラウドストレージを隔離された復旧環境の仮想環境にNFSマウントして直接起動する仕組みになっているため、データ移動に掛かる時間を丸々割愛して復旧することが出来ます。
いわゆるインスタントリカバリーと呼ばれる機能になりますが、一度に掛かる復旧時間を短縮することによって、繰り返し作業を実施した場合でも総時間を大幅に短縮することで、迅速で効率的な復旧を実現出来ます。
図3-3: 迅速な復旧を実現するインスタントリカバリ
3-4. 専用 EDR エージェントによる復旧後の安全性の確保
昨今のランサムウエアは、脆弱性を悪用してあらゆる場所から組織に侵入し、その後はシステム全体を調査し、管理者権限を奪い、ターゲットを特定し、バックアップデータを削除してから本格的な攻撃へと移るのですが、この時、ユーザーや管理者が普段から使用しているアプリや管理ツールを利用したり、プロセスの実行や呼び出しにメモリ空間を利用するので、従来のアンチウイルスソフトでは検知が難しいのも事実です。
VMware Live Cyber Recovery では、外部から完全に隔離された環境で過去のデータから復元した仮想マシンに専用の EDR エージェントを導入し、本当にその仮想マシンが安全かの以下の複数の検査を実施し、検査結果をリアルタイムで確認する事が出来ます。
過去データから復旧した仮想マシンはこれらの検査をパスすることによって、安全な状態として確認出来たタイミングで、再度その状態のスナップショットデータを取得し、そのデータからデータセンターやクラウド上にリカバリする流れとなるため、完全にクリーンな環境を復旧させることが出来ます。
- 脆弱性分析 OS とアプリケーションの脆弱性を検査
- 振舞い分析 OS 上のソフトウエアやプロセスの不審な行動を検査
- マルウエアスキャン 既知のマルウエアやウィルスをスキャン
図3-4: 完全に隔離された環境で復旧と安全性の確認を実現
4. まとめ
今回は仮想環境に特化したランサムウェアの感染後の復旧対策ソリューションである VMware Live Cyber Recovery についてお伝えしましたが、弊社の VMware Cloud Foundation を利用してお客様が次世代のプライベートクラウド基盤を構成した場合、当然統合基盤としての位置付けが強くなり、システムの停止が会社の業務全体の停止へとつながってしまうため、停止しないための予防策はもちろんですが、万が一停止してしまった際の速やかな復旧についても準備しておく必要があります。
特に昨今のランサムウェア被害の拡大により被災率は自然災害を遥かに上まる確率になっており、対策を検討している方も多いのではないかと思いますので、その際の選択肢の一つとしてご参考にして頂ければと思います。
なお、VMware Live Cyber Recovery ではロードマップとして様々な機能が追加されていく予定になっていますので、お伝え出来るタイミングで定期的にご紹介していこうと思います。
