ネットアップ販売支援サイト

DISのとよぢぃと申します。

ただでさえ遅筆なのに、ここのところちょこっと忙しい日々が続いたもんで、気が付けば10月、11月と2ヶ月も四方山話を吹っ飛ばしてしまいました。別に時間ができたわけではないんですが、なんとか12月中に一本は書いておこうと思い立った今日このごろ。
ということで、『ねっとあっぷ四方山話・ネットアップの技術紹介（3）』をお届けします。

9月に技術紹介（2）でご紹介したのはADP（Advanced Drive Partitioning）と言うドライブの利用効率を上げる仕組みでした。
今回ご紹介するのはARPです。ADPとARP、名前はなんとなく似てますが、全然違う機能です。ARPと言うのは昨今非常に大きな問題になっているランサムウェアへの対策を実装した仕組みでAutonomous Ransomware Protectionの略となります。日本語にすると「自律型ランサムウェア保護」とでもなるんでしょうか。
そぉそぉ、それから、技術紹介の一つとして取り上げてますが、ARPの技術的な詳細がネットアップから公開されているわけではないので、技術と言ってもあくまでも動作上のものとなります。あしからず。

ARPの説明の前にランサムウェアについて少し触れておこうと思います。

ランサムウェアで被害を受けた企業と言うと直近ならアスクルやアサヒグループホールディングス、昨年のKADOKAWA（ニコニコ動画）などを思い浮かべる方が多いかと思います。いずれも企業規模的にはかなり大手の部類に入るわけですが、実際にランサムウェア被害にあわれている企業や団体はこういった大企業や大きな団体ばかりではありません。地方の中小企業でも被害にあわれているケースはかなり多くあるようです。ただ、こう言ったケースはあまりニュースにならないので世間ではランサムウェアに狙われるのは各業界大手の大企業と思われがちなようです。ランサムウェアを使って攻撃をしかけるような悪玉にしてみればこういった大手大企業はいろいろな観点でいわば「投資対効果が高い標的」と言えるのは間違いないので狙い目ではあるのですが、防御もそれなりにしっかりしてたりするので必ずしも攻撃が成功するとは限りません。一方で中小の企業や団体だとコストの問題や、大手でも大企業でもない自分たちが狙われるわけがないと言った思い込みから対策がおろそかになっていて、狙われたら防げないというのが実情のようです。このあたりの実情については警察庁がウェブページでレポート（ランサムウェア以外のサイバー空間の脅威も含む）を公開しているので、ぜひ見てみてください。最新のレポートは令和7年上半期版で以下のURLで参照できます。

ところで、皆さんはランサムウェアがどんな悪さをするものかはだいたいわかっているんじゃないかと思います。ざっくり言えば、基本的には何らかの手段で企業や団体内のシステムに侵入してそこにあるデータ（ファイル）を暗号化してしまうことで、データへのアクセスをできなくし、企業活動をできなくするものです。暗号化されたデータを元に戻したければ（これを「復号」と言います）金を出せと、そぉしたらランサムウェアで暗号化したデータを復号するための鍵をくれてやる、という形で身代金を要求するわけです。また、最近のランサムウェアはデータを暗号化するだけでなく外部に持ち出して、身代金を出さなければダークウェブ（リークサイト）に重要なデータを晒すぞ、と言って二重に恐喝してくるものが多くなっているようです。

さて、皆さんすでにお気づきかも知れませんが、ここで完全に主導権を握っているのは悪玉の方です。身代金を払ったとしても復号のための鍵が送られてくるかどうかはわかりません。仮に鍵を入手できたとしても完全に復号できて、システムが元の状態に戻る保証もありません。奪われたデータだってリークサイトに公開されない保証もありません。
と言うことは、やはりランサムウェアをシステム内に入れないことが重要なポイントになるわけです。ランサムウェアはコンピュータウイルスの一種ですからEPP（End Point Protection）やEDR（Endpoint Detection and Response）と言ったエンドポイント、すなわちクライアント上での対策が有効そうに見えます。一般的にコンピュータウイルスはEPP（俗にウイルス対策ソフトと呼ばれるもの）が有効であり、最近ではさらにEDRを併用することでウイルス感染後の対応もかなりなレベルになっていることは間違いないようです。なんですが、先に紹介した警察庁のレポートにもありますが、ランサムウェアに関してはEPPで検出できなかった例が非常に多く報告されています。このレポートによるとランサムウェアの侵入経路はエンドポイントではなくて、ネットワーク機器、特にVPN装置であることが多いとのこと。そうなるとEPPやEDRによるエンドポイントの保護だけではランサムウェア対策としてはまったく不十分ということになります。

さて、ではなぜVPN装置が狙われるのでしょうか？　理由は実はとてもはっきりしています。VPN装置はその性質上インターネットに直接接続しているので、インターネット側から見えている機材になります。しかも日常的にユーザが使用するような機器でもないので、ファームウェアのアップデート（セキュリティパッチ）のようなメンテナンスもおろそかになりがちだったりします。ちゃんとVPNが張れて通信ができてるから問題ないだろうという発想ですね。また、VPN装置導入時に管理用のアカウントに振られているデフォルト（メーカー出荷時設定）のパスワードがそのままになってたりするケースもけっこうあるようです。これではインターネット内を徘徊している悪玉に侵入のためのドアを鍵もかけずに全開にしているようなもんです。危険極まりない状態をインターネットに晒していることになります。

ということで、EPPやEDRを導入して運用することは当然必要だし重要なんですが、VPN装置の定期的なメンテナンスはもっと重要ということになります。VPN装置はどうしてもメンテナンスがおろそかになりがちですが、管理者の方には是非きちっとした定期的なメンテナンスを実施していただきたいところです。

さて、ランサムウェアもマルウェアの一種なのはご理解いただけと思います。そうなるとこれの侵入を100%防ぐことができないのも想像に難くないですね。と言うことは、ある程度の感染リスクは避けられないことになりますから、ランサムウェア感染後の被害を如何に小さくして、復旧にかかる時間やコストを小さくできるかが非常に重要であることがわかります。また侵入経路を突き止めるための調査手段があることも大きなポイントになります。

前置きがすごく長くなってしまいましたが、

であるネットアップストレージのOS「ONTAP」が標準で提供するARPをご紹介します。

ランサムウェアは先ほどもご紹介したようにエンドポイントに侵入してそこで活動するわけではありません。もちろんそういうケースもあるでしょうが、ランサムウェアはVPN機器などから侵入してサーバーやストレージ上でデータの暗号化や搾取と言った活動を行います。ネットアップのONTAPというOSはネットアップ社の独自OSであり、ONTAP上で直接ソフトウェアを実行することはできません。なので、ネットアップのストレージを使用している環境ではネットアップのボリュームやLUNをマウントしているサーバー上に侵入したランサムウェアがネットアップ内に格納されているデータの暗号化を行うような動作になります。

一般的にランサムウェアだけでなくマルウェアはいろいろな保護機能をすり抜けて感染するわけですが、感染した段階では感染したことを知ることはできません。知ることができるならそもそも感染を防ぐことができます。感染したマルウェア、ここではランサムウェアが何らかの悪さ（データの暗号化）をして初めてランサムウェアの感染に気付くことになります。ではネットアップのARPはその悪さをどうやって検出しているのでしょう。ARPは次の3つのポイントで悪さされたかどうかを判断しているようです（ほんとにこれだけかどうかはわかりません。ARPの内部仕様は公開されていないので）。

エントロピーは日本語で言うと「無秩序さ」みたいな言葉になります。エントロピーはある範囲の値（例えば、0～1とか）をとりますが、完全に秩序だった状態が0で、完全に無秩序な状態が1になります。例えば、水の入ったコップにお湯をそぉっと注ぎ入れると、入れた直後は下の方が冷たくて上の方があったかいお湯の状態になります（これがエントロピーが低い状態です）が、時間とともに混ざり合ってコップ内の水の温度がほぼ均一（エントロピーが高い状態）になります。一般的に自然界ではエントロピーが低い状態にあるものはエントロピーが増大する方向に変化しますが、その逆は自然には起こりません。
コンピュータの世界ではデータ（ファイル）に対してエントロピーを求めることができます。テキストファイルや明確に構造を持ったデータのエントロピーは低く、画像データのようにランダム性の高いデータのエントロピーは高くなります。通常コンピュータ上ではデータが勝手に変化することはないので自然界のようにエントロピーが勝手に増大することはありませんが、例えば、ファイルをZIPのようなソフトウェアで圧縮したり、ファイルを暗号化したりすると一気にそのファイルのエントロピーが増大します。

コンピュータ（Windows）上に保存されているファイルにはファイルの種類に応じた拡張子が付いてます。例えば、テキストファイルなら「.txt」、パワーポイントなら「.pptx」、PDFなら「.pdf」のように。これらのファイルに対して別のアプリケーションで何らかの操作をするとその拡張子が変化します。例えば、ZIPで圧縮すると「.zip」が付与されたりするように。

今さら言うまでもないとは思いますが、IOPSと言うのは1秒間に行われる入出力（I/O）の回数です。一般的に人間がオフィス系のアプリケーション（例えば、暗号化とか）を使って作業しているときのIOPSはとても小さいものですが、ソフトウェアを使ってまとめて大量のファイルに対して何らかの変更を加えたりすると、人間が行うオペレーションでは絶対に不可能なくらい大きなIOPS値になったりします。
まぁ、ソフトウェア開発エンジニア（プログラマー）がプログラムのコンパイルとかを行うと、一時的にIOが増えることはありますが、それが長く続くことはないですよね。

さて、ランサムウェアに感染してそいつが活動を始めるとどういうことが起こるでしょう？
ファイルの暗号化によってエントロピーが大きくなるファイルが、短時間に急速に増えます。暗号化されることで、それまではなかったような拡張子を持ったファイルが急増します。当然それらのファイルに対するI/Oが大きく増加します。ARPはこれらの変化を見逃すことなく、ほぼリアルタイムでひっかけて、それをトリガにしてSnapshot（設定されていればImmutable Snapshot）を取り、管理者に異常と思われるアクセスが発生していることを伝えます。ONTAPのSnapshotはもともとシステム管理者でも中身を書き換えることができないのですが、Immutableだと設定した期間は削除もできなくなります。なので、バックアップとしてのSnapshotが削除されて、なくなってしまうこともなければ、その後の調査に必要なログが改ざんされたり消されてしまうこともありません。まぁ、ランサムウェアの活動をトリガにしてるわけですから、いくつかのファイルが暗号化されてしまうのは避けようがありませんが、ほぼほぼリアルタイムでSnapshotを生成するので被害ファイルの数はとても少なくてすみます。また、被害後の復旧においてもFlexCloneやSnapRestoreと言ったONTAPの機能を利用することで短時間で安全な状態のSnapshotを見つけ出してデータを復旧することができます。

ONTAPが優れているのは最近実装されたARPというランサムウェア対策の仕組みだけでなく、もともとONTAPに実装されている
SnapshotやSnapRestore、FlexCloneと言った仕組みと、さらにONTAP実装後20年くらいの実績があるSnapLockというWORM（Write Once/Read Many）の仕組みを実にうまいこと組み合わせることで、防御面だけでなく、そこからの復旧もスムーズに行えるようにしている点にあるんだろうなぁ、と私は考えます。

そぉそぉ、実はリリース当初のARPはストレージの機種や規模に関係なく800万円くらいかかるとぉっても高価なオプションソフトウェアだったんです。SnapRestoreやFlexClone、SnapLockも実は以前はぜーんぶ有償のオプションソフトウェアでした。
これが今はONTAP Oneの標準機能として取り込まれています。追加費用無し、ONTAP Oneポッキリで全部使えちゃうんです。別にその分ONTAP Oneが高く設定されているわけでもないですし。ネットアップさん、珍しく太っ腹な対応です。

あんまり技術ネタっぽくないですし、文字ばかりになってしまい、すみません。ネットアップから提供されているARPの紹介資料にスクリーンショットとかも入ってたりするので視覚的にわかりやすいかも知れませんね。Supportサイトのアカウントをお持ちの方はPartnerHubで探してみてください。