0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

Day 13

Amazon FSx for NetApp ONTAP Advent Calendar 2025

@kanako_kodera_16inネットアップ合同会社

ランサムウェア対策をしたい!と思っている方へ~Amazon FSx for NetApp ONTAPの「Autonomous Ransomware Protection」~

0
Posted at

こんにちは、NetAppでSales Specialistをしている小寺です。
振り返りとして、2025年に発表されたアップデートAmazon FSx for NetApp ONTAP(以下、FSx for ONTAP)でAutonomous Ransomware Protection(以下、ARP)がサポートされた点について、触れてみたいと思います。

ARPがGAになった2025年4月時点ではARP/AIと呼ばれる機械学習モデルには対応していませんでした。
本記事執筆時点ではONTAPバージョン9.16.1以上となり、ARP/AIに対応しています。

FSx for ONTAPで提供されているセキュリティ対策

image.png

FSx for ONTAPで実装可能な機能の中で、特にランサムウェア対策として有効な4つを紹介します。

(1) ARP(Autonomous Ransomware Protection/自律型ランサムウェア対策)
ファイルシステムに異常なアクティビティがないかプロアクティブにモニタリングし、攻撃の可能性が検出されると ONTAP スナップショットを自動的に生成し、EMS メッセージまたは ONTAP CLI および REST API を経由してモニタリング可能なアラートが生成

(2) SnapLock機能:
一度書き込んだデータを改ざんや削除できない状態にすることで、コンプライアンスやランサムウェア対策として有効です。

(3) NetApp FPolicy
NFS v3/v4およびSMBプロトコルによるファイル操作(作成・削除・リネームなど)をリアルタイムに監視し、条件に応じて処理を制御できる仕組みです。
ウイルス感染と疑わしいファイルの書き込みを防ぐことができます。

(4) NetApp Data Infrastructure Insightsとの連携
ユーザから急激にファイル変更リクエストが実施されている等の攻撃を検知した際は、最新のSnapshotを自動取得し、管理者へ通知を行います。加えて、AD連携し、感染源となったユーザの自動ブロックが可能です。

FSx for ONTAPのARPの仕組み

Autonomous Ransomware Protection(ARP)は、NetApp ONTAPのAIを活用したランサムウェア対策機能で、WindowsやLinuxクライアントが侵害された場合に異常なアクティビティを検出し、データを保護します。
実際のファイルアクセスのアクティビティをベースにしています。

ARPは、包括的なデータセットでトレーニングされたAIを用いて、FlexVolボリュームで即時にアクティブモードで稼働します。監視対象は、ファイルのランダム性(エントロピー)の変化、未知のファイル拡張子、IOPSの急増などで、これらは暗号化や攻撃の兆候を示します。異常を検出すると、ONTAPは「Anti_ransomware_backup」というプレフィックス付きのスナップショットを自動作成し、攻撃発生時点に近い復旧ポイントを確保します。また、攻撃の確率や影響範囲を示すEMSアラートを生成し、管理者に通知します。

誤検出の場合は、レポートを確認し、ユーザ側で誤検出と判断してラベル付けをするとスナップショットは自動削除されます。

パフォーマンスの影響は

ARPはパフォーマンスへの影響が最小限ですが、読み込み負荷が高い場合は150ボリューム以下、書き込み負荷が高い場合は60ボリューム以下を推奨しています。これを超えるとIOPSが最大4~10%低下する可能性があります。

ARPスナップショット

ARPは、攻撃の初期兆候を検出すると即座にスナップショットを作成し、その後詳細な分析を行って攻撃の有無を判断します。ラベル付けされたものをみて判断します。

ARPスナップショットは、攻撃が完全に確認される前でも生成されることがあるので、特定の正当なアプリケーションによって定期的に作成される場合がありますが、これは異常とはみなされません。攻撃が確認されると、攻撃確率が「Moderate」と評価され、通知が生成されます。
EMSの通知メッセージから通知を見逃さない仕組みづくりも重要ですね。

ARPを有効化するには

ONTAP CLI または REST API を使用して、ARP をボリュームごとに有効化することも、SVM 内のすべての新しいボリュームにおいて、デフォルトで有効化することもできます。

ARP/AIって実際どうなの?

NetAppのプレスリリース(2024年6月26日)によると、NetApp ONTAPに搭載されたAI駆動のランサムウェア検知機能「Autonomous Ransomware Protection(ARP/AI)」が、独立評価機関SE Labsによるテストで業界初のAAA評価を獲得しています。

・99%の検出率
過去に確認されている多数のランサムウェアに対して、極めて高い検出性能を示しました。
・リアルタイムでの検出と対応
一次ストレージ上で直接、即時の検出と対応を行うため、従来のバックアップベースの対策より迅速な応答が可能です。
・AIによる継続的な適応
ARP/AIは常に最新のランサムウェアに対応するよう継続的に学習・更新されており、長期にわたる保護を提供します。

image.png
SE Labsレポート

次回は実際ARPを有効にして試してみたところをお伝えします。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?