ランサムウェア対策のストレージ活用法

2023 3/09

「中小企業ができるランサムウェア対策はあるのか？」の記事の中で、一度書き込んだデータを消去・変更できない追記型の記憶方式（Write Once Read Many → WORM）に対応したストレージが発売されています、と紹介させて頂きました。

ただし、その際は「書き換えできないのであれば、ランサム対策に使えるのでは？」と安易に考えていましたが、勉強不足で詳細は理解できていませんでした。

だったら分かる人に聞け！と言うことで、WORMに対応したストレージ、QNAP（キューナップ）社製製品の販売代理店の方とWeb会議で利用用途や活用事例等について聞いてみました！

結論から言うと私的には

「WORMの機能はランサムウェア対策には活用できない」

です。→残念

そればなぜか！？

WORM対応のストレージは利用用途が違う！？

M対応のストレージは利用用途が違う！？

私はこのWORMに対応したストレージをバックアップ先として利用することで、

・バックアップデータをWORM対応のストレージに書き込む
　　　↓
・端末やサーバがランサムウェアに感染する
　　　↓
・ランサムウェアは同じネットワーク内のストレージに対して暗号化処理をしていく
　　　↓
・アクセス可能なパソコンやサーバのデータは暗号される
　　　↓
・WORM対応のストレージは書き換えできないため、データは保護される
　　　↓
・WORM対応のストレージからデータを復旧させる
　　　↓
・（一部かもしれないが）業務を継続する

のイメージを持っていました。

QNAPの代理店の方に、このような使い方ができるか聞いたところ
「バックアップするソフトウェアの仕様にもよりますが、バックアップの差分や世代管理のための管理データがあり、そのデータ自体も書き換え出来なくなるため、差分や世代管理ができなくなるのでないか。つまりバックアップ用途には利用できないと思われる。」
との回答でした。

なるほど。バックアップソフトの細かい仕様は分からないものの、使えない可能性は大きいですね。

更なる情報として、WORMに設定したストレージは一度書き込んだものは書き込み可能とはできない

→本当に一度だけの書き込み、となるとのこと。

→そのような仕様なので当たり前と言えば当たり前。

WORM対応のストレージとは、企業・団体で監査に対する証憑類を保存する先

→デジタルデータは書き込んだ後に修正等行っていないことを物理的に証明する用途に利用することがメーカーとして想定しているものとの事でした。

う～ん、良いランサムウェア対策は無いものか…。？

ストレージを多段で活用すればなんとかなる！？

最近のストレージ機器は企業向けの100万円以内の機器でもネットワークインターフェイスを複数備えている定期的にデータを複製するミラーリングの機能を備えているなど装置／機能が高いものもあります。

この様な機能を持つ通常のストレージ(WORM機能を持たなくても)でも複数台活用することで、ランサムウェア対策ができると考えています。

簡単なネットワーク構成図を示します。

社員・職員が通常利用する端末やサーバのネットワークにまずはバックアップ先となるストレージ（1とします）を設置します。そして社員・職員が利用する端末のネットワークとは別なネットワークを作り、ストレージ(2とします)を設置します。

ストレージ1にはサーバからバックアップソフトなどで定期的にフルバックアップ、差分バックアップなど一般的なバックアップを行い、複数の世代を残します。

ストレージ1から2に対してはミラーリングの機能を活用し、フルバックアップされたもののコピーを、例えば1日1回行う設定とし、複数の世代を残すようにします。?
端末やサーバがランサムウェアに感染すると、ストレージ１のデータは暗号化される可能性があります。

しかし、ネットワークが別なストレージ２はランサムウェアが直接アクセスできませんので、暗号化されるリスクは各段に下がります。

そのままの状態だと、ストレージ１のデータは２にミラーリングされるため、ランサムウェアに感染したことが分かった時点でストレージ１と２の間のネットワークを遮断→LANケーブルを抜去することにより、ストレージ２のデータは保護されます。
（仮に１日遅れても複数の世代を保存しておけば正常なデータは取り出せる）

このような構成であれば、それほど難しくなく、かつ高額な費用を掛けることなくランサムウェアからデータを守ることができると思います。

是非参考にしてみてください