ランサムウェアの脅威に備えるセキュリティ対策

昨今の高度化・巧妙化するサイバー攻撃を100％防ぐのは不可能であり、万一侵害された際の対策を事前にしっかり立てておくことが重要です。ランサムウェアの脅威も同様です。仮に重要なシステムのデータが暗号化攻撃に遭ったとしても、侵害される以前の安全な時点のデータを保持しておき、システムを復旧する仕組みを整えておけば、犯行グループに身代金などを支払うことなく迅速に業務継続を図り、ビジネスの機会損失や自社の信用低下を防ぐことができます。この復旧対策の鍵を握るVMware Ransomware Recovery for VCDRについて解説します。

ランサムウェア被害からの復旧を支援する
VMware Ransomware Recovery for VCDR

ランサムウェア被害から復旧する際の悩み

ランサムウェアの被害に遭った場合、復旧のための最後の砦となるのがバックアップデータからのリストアです。しかしこの作業も容易ではなく、いざという時に企業は次のような悩みに直面します。

バックアップデータが利用できない

ランサムウェアにバックアップサーバまで侵害された場合、バックアップデータもすべて暗号化されてしまうため復元できません。
復旧先の安全性確保が難しい

以前と同じ場所（基盤）に復元したとしても、残存するマルウェアから再び攻撃される可能性があります。残存するマルウェアの完全な除去と復旧作業を同時に実行することは非常に困難です。
復旧ポイントの特定が難しい

攻撃前の安全なバックアップデータを特定するのは容易なことではありません。適切なバックアップデータの復旧に失敗すると、復旧作業のやり直しするが発生して復旧期間が大幅に遅延してしまいます。
データの復元に時間がかかる

本番環境から隔離された遠隔地にバックアップデータを保管することで、ランサムウェアの被害を防ぐことができます。しかしながらそのデータ量は膨大で、リストアに数日またはそれ以上の時間を要する場合があります。そのぶんシステム全体の復旧が後押しして長期間に及んでしまいます。
復旧後の安全性確保が難しい

復元する環境に対して、単なる憶測ではなくマルウェア有無のチェックなど安全性を確保する仕組みが備わっているでしょうか。安易に復旧した場合、残存マルウェアからの攻撃を受けるリスクが残ったままとなってしまいます。

クラウドを活用したランサムウェア被害からの復旧対策

上記の悩みを解決するソリューションとして、VMwareではVMware Ransomware Recovery for VCDRを提供しています。災害対策を目的としたDRaaS（Disaster Recovery as a Service）基盤であるVMware Cloud Disaster Recovery（VCDR）にオプションとしてVMware Carbon Black CloudのEDRエンジンを活用した脆弱性スキャン機能を組み合わせたもので、クラウドを活用したランサムウェア被害からの復旧を支援します。

隔離されたクラウド基盤など安全な場所での復元、復旧直後からの安全性の確保、完全復旧までの大幅な期間短縮といったメリットを提供します。

なお、VCDRのフェイルオーバー処理によってワークロードを復旧させるクラウド基盤として、VMware Cloud on AWSを利用します。VMwareとアマゾンウェブサービス（AWS）が共同開発したクラウドサービスであり、Amazon Elastic Compete Cloud ( EC2 ) のベアメタルサーバ上でオンプレミスと同じvSphere環境を利用することができます。

VMware Ransomware Recovery for VCDRによる悩みの解決

暗号化されないバックアップでデータを保護
「バックアップデータが利用できない」問題の解決策。

VMware Ransomware Recovery for VCDRはランサムウェアの暗号化攻撃に耐える仕組みを有しており、バックアップデータをクラウドストレージ上で安全に保管します。バックアップデータを独自の暗号化によって保持するほか、Log-Structured Filesystem（LFS）を採用し、一度書き込まれたデータは上書きができない仕様（WORM）となっているため、ランサムウェアによる改変はできません。また、データの配置場所が隠されており、外部からの直接アクセスは不可能となっています。

隔離されたクラウド基盤で復旧を実現
「復旧先の安全性確保が難しい」問題の解決策。

クラウドストレージをそのままデータストアとして活用することが可能です。復旧に際して、バックアップデータを他の場所に復元（コピー）する操作は不要。VMware Cloud on AWS上のホストからクラウドストレージを「NFS データストア」として直接マウントすることで、迅速に仮想マシンを復元・起動することができます。

もちろんオンプレミスのデータセンターで復元することも可能です。この場合は最小限のデータ同期（差分レプリケーション）でフェイルバックを行います。

感染時期を容易に推測できる情報を提供
「復旧ポイントの特定が難しい」問題の解決策。

バックアップデータの更新率から感染時期を容易に推測できるツールを提供します。アノマリーに基づいてマルウェア感染した可能性が高い時期（範囲）を可視化し、最適な復旧ポイントを見極めることができます。

即時にリカバリできるクラウドインフラを提供
「データの復元に時間がかかる」問題の解決策。

バックアップデータの復元コピーが不要であるため、即時に仮想マシンを起動することが可能で、きわめて迅速な復旧を実現します。

これはVMware Ransomware Recovery for VCDRならではのメリットで、VCDRの管理画面から「フェイルオーバー」を実行すると、自動的に仮想マシンが次々に起動しはじめます。起動する仮想マシンの順序や規模（台数）を設定することも可能です。

復元と同時に安全性スキャンを実行可能
「復旧後の安全性確保が難しい」問題の解決策。

次世代アンチウイルス（NGAV）による振舞い分析を実施し、ゲストOS上のアプリケーションやプロセスの不審な行動を検査します。これにより既知のマルウェアはもとより、未知のマルウェアやゼロデイ攻撃などから保護します。

まとめ

NIST（米国国立標準研究所）では、重要インフラのサイバーセキュリティを向上させるためのフレームワークとして、「識別（Identify）」「防御（Protect）」「検知（Detect）」「対応（Respond）」「復旧（Recover）」の5つの項目からなるNIST Cybersecurity Frameworkを定義しています。

ランサムウェア対策を強化する観点からVMwareでは、この5つの項目に対して網羅的に対策を実現するセキュリティ機能/サービスを提供しています。

具体的には「識別」から「防御」「検知」「対応」にいたる4つの対策を、本特集のエンドポイント編で紹介したVMware Carbon Black Cloudと、ネットワーク編で紹介したVMware NSX Securityが担います。そして「対応」と「復旧」をサポートするのが、今回の復旧編で紹介したVMware Ransomware Recovery for VCDRです。

ランサムウェアとその対策について詳しくは、以下の記事をご覧ください。

事業を停止に追い込み巨額の身代金を要求するランサムウェアの被害が日本でも拡大しています。ランサムウェアとはいかなるものなのか・・・そしてこの脅威から重要システムやユーザーを守り、被害を最小限に抑えるためにはどんな対策が必要なのか・・・について詳しく解説します。
この記事を読む