ランサムウェア攻撃は収束するどころか、ますます戦いは苛烈を極める状況になっています。
凶悪化する一方のこの脅威に対抗するため、IBM はストレージ領域のソリューションに AI を活用した新機能を次々と発表しています。
それが、IBM Storage FlashSystem における「第4世代FlashCore Module(以下 FCM4)」であり、IBM Storage Defender です。
被害を拡大させないためには早期検知が何よりのカギといえます。
本記事では新機能の概要とともに、関連ソリューションの相互活用により脅威検知とデータ復旧がどのように迅速化できるかをご紹介します。
目次 |
---|
すべての企業が“自分ごと”として考えるべきランサムウェア攻撃
ランサムウェア攻撃との戦いは、まだまだ収束には至っていないようです。
独立行政法人 情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2024」の組織編において1位となったのは「ランサムウェアによる被害」でした。
2016年にランキングに登場して以降10大脅威に入り続け、今年で9年連続になると言います。
もはや “運の悪い企業がたまたま遭う災難” という次元ではなく、ランサムウェア攻撃のリスクはすべての企業が自分ごととして考えなければならないところまで来ています。
ひとたび被害に遭うと、大幅なシステム侵害に見舞われます。
事業停止に追いこまれたり、全面システム復旧に数週間から半年もかかってしまうということが過去の事例からわかっています。
現代の企業には、ランサムウェア攻撃を受けないよう予防するだけでなく、万が一攻撃を受けたとしてもそこから迅速にシステム復旧を遂げ、もとの企業活動に戻るという能力、レジリエンスが求められるようになっています。
IBMはランサムウェア対策のためAI活用をハード/ソフトで推進
脅威者が人質に取ろうと狙うのはデータです。
そのデータが格納されているストレージは、彼らにとって格好の標的のひとつです。
IBM では凶悪化する一方のランサムウェア攻撃に対抗するため、ハードウェアとソフトウェアの両面からストレージ領域でこの課題によりよく対処できるよう、支援を強化しています。
まずはハードウェアです。
先日、IBM Storage FlashSystem に新しい FlashCore Moduleテクノロジーが導入されました。
これは FCM4 と呼ばれ、IBM Storage FlashSystem と共に新たなランサムウェア検知に貢献する AI機能(機械学習モデル)を実装しています。
すべての I/Oデータに関する統計情報(エントロピー、圧縮率、暗号化レベル、アクセスパターンなど)を FCM4 が継続的に監視しており、取得したデータをサマライズし、IBM Storage FlashSystem上の AI機能により1分未満でランサムウェアの脅威を検知できるようにします。
昨年から提供している IBM Storage FlashSystem でのソフトウェアによる書き込みデータの監視やエントロピーなどの統計情報の収集および処理機能と IBM Storage Insights Pro での脅威の検知を組み合わせた方法と比較すると、より正確かつ早期に検知することが可能になります。
また、この新しいランサムウェア検知機能ではボリューム単位で脅威を検知できるため、疑わしい箇所をピンポイントで特定し、より早くデータ復旧にむけたアクションに入れます。
ランサムウェア対策において、被害を最小限に抑える早期検知は大きな進歩となります。
続いて、データ・レジリエンスのためのソフトウェアソリューション IBM Storage Defender での進化について説明します。
こちらには、IBM Defenderセンサーという新機能が加わりました。
これは、ランサムウェアの脅威を高い精度で迅速に検出するよう設計された、IBMリサーチ開発の AI搭載センサーです。
ストレージのリソースを消費しないライトウェイト設計のエージェントを使用し、ファイルのメタデータや I/O への攻撃パターンを分析、数秒から数分で異常を検出します。
IBM Storage Defender にはすでに、IBM Storage FlashSystem のセーフガード・コピー機能で作成された改変不可なスナップショットをアプリケーションデータとして不整合な点はないか検証できる IBM Storage Sentinel というラインナップソフトウェアがあります。
IBM Defenderセンサーが加わったことで、さらに精度高く脅威を検知できるようになります。
一層の早期検知が可能になった脅威検知フロー
それでは、上記のような新機能を包含するとランサムウェアの脅威検知はどのような流れになるでしょうか。
まず動きだすのは IBM Storage FlashSystem上の FCM4 です。
これが I/Oデータを常にモニターし、ランサムウェア検知に必要なデータを IBM Storage Virtualize に送ります。
IBM Storage Virtualize ではボリュームごとに情報を集約し、自身が持つ推論エンジンで脅威検出を行います。
ランサムウェアの脅威を検知するとその情報を IBM Storage Insights Pro へ通知し、IBM Storage Defender などと連携し次のアクションへ繋げます。(図1)
図1. FlashSystem:FCM4を使ったランサムウェア検知
これによってランサムウェア攻撃を受けた日時を絞りこめるため、データ復旧に用いるべきセーフガード・コピーのバックアップ世代にただちに当たりをつけることができます。
そこで Copy Service Manager などからリカバリー指示を出し、当該世代をボリュームグループ単位でリカバリー・ボリュームに移します。
ここでマウントを行うことで、IBM Storage Sentinel でただデータとしてクリーンであるというだけでなく、アプリケーションデータとしても不整合がないことを検証します。
晴れて良好な結果が出れば、安心してデータをシステムに戻せるというわけです。(図2)
図2. セーフガード・コピーのワークフロー
お客様環境や予算に応じて柔軟に構成可能なIBM Storage Defender
IBM Storage Defenderソリューションのおもしろいところは、さまざまな機能を持つソフトウェアを1つの Defenderライセンスの下で利用できる点です。
まるでツール・ボックスから道具を選ぶように、必要に応じて必要なものを柔軟に利用することができます。
ここが、ライセンスにすべてのコンポーネントが含まれるパッケージとは大きく異なります。
ランサムウェア対策をご検討中のお客様の中には、予算や既存システムの活用を優先するなどの理由で対策の優先度があるかと思いますが、
“すでに実装されているデータコピーの健全性を素早く特定する検知に取り掛かるため、今期は Sentinel への投資をする”
“来期は Flash の更改時期のため、SGC機能込みのモデルの Flash と共に CSM にも投資する”
など、シチュエーションに合わせた対応が可能です。
IBM には「IBM Sales Configurator」(IBMサイト/要IBMid)という構成見積りツールが用意されています。
これを使って、お客様環境における IBM Storage Defender の構成をざっくりシミュレーションすることができます。
「無償セキュリティー・リスクWEB診断」でお客様に気づきを
いかがでしょうか。
ランサムウェア攻撃が日常になった今日、この攻撃に焦点を合わせて着々と機能強化を図っている IBM Storage FlashSystem、IBM Storage Defender は、一度じっくり検討してみる価値があります。
すでにこのストレージをお持ちのお客様にも、これから堅牢なストレージを求めたいというお客様にも、ぜひお勧めください。
中には、「何も起きていないからうちは大丈夫」と、最初からセキュリティに関心の薄いお客様もおられるかもしれません。
そのときは、IBM が新しく用意した「無償セキュリティー・リスクWEB診断診断」(IBMサイト)を紹介して試していただきましょう。
上記の診断では、(重要データの)「特定」「防御」「検知」「対応」「復旧」という5つのプロセスからなる22の質問があり、解答者は「はい」「どちらかと言えばはい」「部分的に」「どちらかと言えばいいえ」「いいえ」のいずれかにチェックをつけていきます。(図3)
図3. 無償セキュリティー・リスクWEB診断
正式な診断結果を確認するには連絡先情報を入力する必要がありますが、回答していくだけでも現在実現しているセキュリティレベルに対する “気づき” が得られます。
エヌアイシー・パートナーズでは、IBM Storage FlashSystem や IBM Storage Defender に関して潜在ニーズを含めたシステム構成の検討支援から、お客様システム全体に対する提案支援や構成作成支援を提供しています。
お客様の課題を解決するための方法をリセラーの皆様とともに、お客様の視点、リセラーの視点を大事にしながら一緒に検討していきます。
お気軽に、なんなりとご相談ください。
お問い合わせ
この記事に関するお問い合せは以下のボタンよりお願いいたします。
関連情報
NI+C Pサイト情報
- データを守り抜く鍵は「IBM Storage Defender」にあり(コラム)
– IBM Storage Defender の構成要素や、それぞれの構成要素を企業がどう採り入れていくことで堅牢な守りを形にできるのか、を見ていきます。