ExaGrid の多層型バックアップ ストレージ:リテンション タイムロックでランサムウェア対策を徹底

リテンション タイムロックでランサムウェア対策を徹底

ランサムウェアの被害が増加しています。ランサムウェアの攻撃を受けてしまうと、ビジネスが中断され、大損害を被る可能性があります。どんなに組織内で慎重に対策を講じ、ベストプラクティスを実践して機密データを保護しても、残念ながらハッカー集団は最新テクノロジーの悪用に長けており、防御をすり抜ける手口を次から次へと編み出していくようです。ランサムウェアの侵入を許すと、主要データが不正に暗号化され、バックアップ アプリケーションが乗っ取られ、バックアップ データも削除されてしまいます。ランサムウェア対策は今日すべての企業にとって、セキュリティの最重要課題となっています。

バックアップ データをランサムウェアの攻撃から守るために、ExaGridは他に類を見ない効果的な方法を採用しています。鍵となるのは、バックアップ データの不正な削除を防ぎながら、保持期間が過ぎた（リテンション ポイントに到達した）バックアップは予定どおりに削除するしくみです。すべてのデータをリテンション ロックで削除不可にすれば、データは守られますが、リテンション ポイントに到達した古いデータも保持しなければならず、ストレージの容量やその費用がいくらあっても足りません。逆に、リテンション ポイントの削除をオープンにしてストレージ費用を節約すると、ハッカーにすべてのデータを削除されてしまう危険があります。

そこで、ExaGridが開発したのが、リテンション タイムロック（Retention Time-Lock）という独自のアプローチです。リテンション タイムロックは、ハッカーや悪意ある攻撃者からバックアップを守ると同時に、リテンション ポイントのパージ（データの破棄）を可能にします。これにより、盤石のデータ保護とリカバリ ソリューションを、ストレージ費用を低く抑えながら実現できます。

ExaGridは、フロントエンドのディスクキャッシュ ランディングゾーン（Disk-cache Landing Zone）とリポジトリ層（Repository Tier）で構成される多層型バックアップ ストレージ（Tiered Backup Storage）です。データはネットワークに接続されたディスクキャッシュ ランディングゾーンに直接書き込まれます。さらに、そのコピーがネットワークに接続されていない第2層の長期リテンション リポジトリに保存されます。長期リテンション リポジトリのデータ オブジェクトは重複排除によってストレージ費用の節約を可能にします。つまり、更新されたデータがリポジトリ層にコピーされる際に、重複排除によって更新部分のみがオブジェクトとメタデータの連鎖として保存されます。ExaGridのオブジェクトとメタデータは、他のオブジェクト ストレージ システム同様、一切の変更を受け付けず、新しいオブジェクトの作成のみが可能です。そして、リテンション期間が終了した場合のみ、古いオブジェクトが削除されます。

このExaGrid独自のランサムウェア対策では、企業がタイムロック期間を設定して、リポジトリ層の削除リクエストを制御することができます。リポジトリ層は前述のとおり、ネットワークに接続されておらず、いわゆる「エアギャップ」でハッカーのアクセスを決して許しません。エアギャップがあり、削除を特定期間遅らせることができ、そしてオブジェクトが不変（イミュータブル）であるという、この三拍子が揃っていることで、ExaGridリテンション タイムロックソリューションの盤石性が担保されます。

たとえば、リポジトリ層のタイムロック期間を10日に設定した場合、バックアップ アプリケーションからExaGridに削除リクエストが送信されると、実際の削除は10日後に実行されます。そのバックアップ アプリケーションがCIFSや他の通信プロトコルをハッキングされ、不正にアクセスされた場合でも、リポジトリ層のデータは10日間のタイムロックにより、不正リクエストでただちに削除されることはありません。ランディングゾーンのデータが削除または暗号化されてしまっても、リポジトリ層のデータはあらかじめ設定された期間、外部からのリクエストで削除／変更されることはありません。

ランサムウェア攻撃が確認されたら、ExaGridシステムをリカバリ モードに切り替えるだけで、すべてのバックアップ データを主要ストレージに復元できます。タイムロック期間は、バックアップ アプリケーションで設定されているデータの保持期間とは別に設定され、リテンション リポジトリで管理されるので、バックアップ アプリケーションのいかなる保持期間（日数、週数、月数、年数）にも上乗せ適用されます。

リテンション タイムロックは、調整可能な指定の期間だけ削除を遅らせるしくみであり、永続的にリテンションを凍結することはありません。永続的なリテンション ロックには膨大なストレージ費用がかかってしまいます。ExaGridには、すでに長期バックアップリテンションが用意されているので、リテンション ロックによって新たにデータを長期保存する冗長性は有効ではありません。タイムロック期間はデフォルトでは10日間に設定されており、これによるストレージの追加消費はたったの10%にすぎません。タイムロック期間のポリシーは変更でき、削除リクエストを1日から最長で30日まで遅らせることができます。

リカバリ プロセスの簡単5ステップ

1. リカバリ モードをオンにします。

リテンション タイムロックのシステム クロックが一時停止となり、すべての削除プロセスはデータ リカバリ オペレーションが完了するまで保留されます。

2.  ExaGridカスタマーサポートのレベル２専任エンジニアと連携します（クライムにご連絡ください）。 

バックアップ管理者はExaGridのグラフィカル ユーザーインターフェース（GUI）を使用してリカバリを実行することができます。ただし、リカバリは非常時の特別なオペレーションなので、ExaGridカスタマーサポートと密に連携することが推奨されます。

3. イベントの発生時刻を特定し、リストア プランを調整します。

4. ExaGrid上のどのバックアップがイベント発生前に重複排除済みであるかを識別します。

5. バックアップ アプリケーションを使用して、リストアを実行します。

ExaGridを使用する理由：

• – バックアップ ストレージとランサムウェア リカバリの両方を、複数のシステムを介さず、単一システムで管理できます。
• – ExaGrid独自技術による第2層のリテンション レイヤーは、ExaGridソフトウェアでのみ表示され、他のネットワークには表示されません。
• – データは削除リクエストによってただちに削除されることはなく、指定の期間、削除が保留されるので、ランサムウェア被害に遭っても、そのままリカバリに使用できます。
• – リテンション ポリシーにもとづく週次、月次、年次などのデータ削除は予定どおりに行われるので、ストレージ費用を節約できます。
• – 削除リクエストの遅延設定によってストレージ費用が嵩むことはなく、デフォルトの10日間によるストレージ消費の増加は5～10%のみです。
• – ストレージ消費が肥大化することはなく、バックアップ リテンション ポリシーに沿って管理され、ストレージ費用がきちんと制御／節約されます。
• – リテンション ポリシーによる保持対象のデータ（および最新のバックアップ）は削除されることなく、確実に保管されます。

サンプルケース：

ExaGridディスクキャッシュ ランディングゾーンのデータがバックアップ アプリケーションまたはハッカーが不正アクセスした通信プロトコルからのリクエストによって削除されたとします。リポジトリ（リテンション）層のデータ削除はタイムロックによって遅延されるので、オブジェクトが影響を受けることはなく、リストア用に利用可能な状態が維持されます。ランサムウェアを検知したら、ExaGridをリカバリ モードに切り替え、リストアを開始するだけです。つまり、通常はランサムウェア攻撃を受けたと気づいたときには手遅れの場合がありますが、ExaGridの場合、タイムロックの設定期間内に攻撃を認知すれば問題ありません。タイムロックが10日間に設定されている場合は、ランサムウェアを検知して、リカバリ モードに切り替えるまでに10日間の余裕が生まれます。

ExaGridディスクキャッシュ ランディングゾーンのデータが暗号化されるか、主要ストレージで暗号化されて、そのままExaGridにバックアップされる場合があります。通常、ExaGridはランディングゾーンからデータを暗号化し、重複排除を適用してからリポジトリ層に保存します。ランディングゾーンのデータが（ランサムウェアなどにより）不正に暗号化された場合でも、それまでに重複排除によって保存されたすべてのデータ オブジェクトはイミュータブルであり、一切の変更を受け付けません。したがって、その後に追加される暗号化データに影響を受けることもありません。つまり、ExaGridは、ランサムウェア攻撃を受ける前のすべてのバックアップをいつでも復元可能な状態で保持します。最新の重複排除バックアップをリカバリに使用できるほか、リテンション ポリシーに沿ったすべての過去データ バックアップも健全な状態で保持されます。

ExaGrid機能の概要：

• – データの削除リクエストは、保護ポリシーで規定された日数だけ実行を延期
• – ExaGridに暗号化済みのデータが書き込まれても、それによってリポジトリ内の以前のバックアップが削除されることも、変更されることも一切なし
• – ExaGridランディングゾーンのデータが暗号化されても、それによってリポジトリ内の以前のバックアップが削除されることも、変更されることも一切なし
• – 削除ディレイの日数は0日から30日まで1日刻みで設定可能
• – 保持対象のすべての過去バックアップは月次でも、年次でも、すべて保護（ポリシーに反して失われることは一切なし）
• – タイムロックの設定は2段階認証（2FA ）で保護
  • > セキュリティ管理者のみがタイムロック設定を変更可能
  • > 2FAによるログイン／パスワードとシステム生成QRコードですべてのアカウントを保護
• – 主要サイトとExaGridの2次的サイトに別々のパスワードを使用可能
• – バックアップ オペレーション担当とセキュリティ担当に別々のロールとパスワードを使用可能
• – 削除アラーム
  • > 大幅な削除をアラーム通知：バックアップ管理者がしきい値（デフォルトは50%）を設定でき、それを超える削除にはシステムが警告を発動。アラームを解除できるのは管理者ロールのみ
  • > しきい値は、バックアップのパターンに応じて個別の割合で設定可能（デフォルトはすべてに50%）。削除リクエストを受け取ると、ExaGridシステムは基本的にリクエストを尊重し、データを削除。リテンション タイムロックが設定されている場合、削除はそのポリシーに沿って実行（指定された日数だけ削除を遅延）。この場合、非常時にはPITR（ポイントインタイムリカバリ）でデータ復元が可能
  • > 誤検出（不要なアラーム）が多発する場合は、管理者がしきい値を1～99%の範囲内で調整可能
• – データ重複排除率の変更アラーム
  • > 主要ストレージのデータが暗号化され、バックアップ アプリケーションによってExaGridに送られる場合、あるいは、ExaGridランディングゾーンのデータがランサムウェアなどによって不正に暗号化された場合、ExaGridによって適用される重複排除の割合は著しく低下。そのような状況を通知するのがデータ重複排除率の変更アラーム。この場合でも、リポジトリ層のデータには一切の影響なし

関連トピックス

• ExaGrid Ver7のリリース：「ダブルロック」セキュリティのためのS3オブジェクトロックのサポートを含む最新アップデート
• ランサムウェア復旧のためのExaGridのリテンション・タイムロック機能
• Veeam Backup & ReplicationとExaGrid の 連携ソリューション
• Veeamでできる4つのランサムウェア対策（堅牢化バックアップ）
• ストレスフリーのバックアップストレージを求めて[ExaGridとVeeamの統合]
• [Zerto] Extended Journal Copy – 概要
• CloudBerry Backup :　バックアップ・リテンション・ポリシー
• CloudBerry BackupでのMS Exchangeバックアップ方法
• 【CloudBerry Backup v7.8新機能】Forever Forward Incremental Backup(永久増分バックアップ)について
• 簡単設定！ExaGridの導入からVeeamとの連携までの手順