こんにちは!ネットワールドでNetAppの検証・構築を行っている矢代です。
最近ニュースでもよく耳にする「ランサムウェア」ですが、企業のITインフラを運用するうえで、ますます無視できない脅威となっています。その対策としておすすめしたいのが、NetAppストレージに備わっているランサムウェア対策機能です。
NetAppは「地球上でもっとも安全なストレージ」を掲げるほど、ランサムウェア対策に非常に力を入れているストレージです。
本ブログでは、NetAppの代表的なランサムウェア対策機能である
-
ARP (Autonomous Ransomware Protection)
-
Tamperproof Snapshot
-
MAV (Multi-Admin Verification)
の3つについて、実際の設定手順を交えながら3回に分けて紹介していきます。
今回はまず第1回目として ARP (Autonomous Ransomware Protection) を紹介します。
※後述しますがARPを使用するにはいくつか要件がありますのでご注意ください。
ARP(Autonomous Ransomware Protection)とは
ARPは、ONTAP (NetAppストレージの独自OS) に組み込まれているランサムウェア検知機能です。ストレージ上のアクセスパターンを分析し、ランサムウェア特有の挙動を検知します。もし不審な挙動が検知された場合、ONTAPは自動的にSnapshotを取得し、被害が拡大する前の状態に戻せるようにします。ランサムウェアの多くには、次のような特徴的な挙動があります。
-
短時間で大量のファイルを更新する
-
ファイルの拡張子を変更する
-
暗号化によってファイルのデータが急激に変化する
ARPはこれらの挙動(エントロピーの変化)を監視し、通常のワークロードとは異なる動きを検知することで、ランサムウェアの兆候を判断します。以下簡単なARPの動作イメージです。
進化したランサムウェア対策「ARP/AI」
従来のARPでは、検知精度を高めるために Learning Mode と呼ばれる学習フェーズが必要でした。この期間中に通常のアクセスパターンを学習し、それを基準に異常を検知する仕組みです。
しかし ONTAP 9.16.1 以降(NAS FlexVolの場合)では、AIモデルを活用した「ARP/AI」へと進化しています。
ARP/AIでは、NetAppが事前に学習させたAIモデルを利用することで、Learning Modeを必要とせず、導入直後からランサムウェア検知が可能になりました。
実際にARP/AIを設定してみる
前置きが長くなりましたが、実際にARP/AIを設定してみます。ARP/AIはvolume単位で有効化することができます。
※検証環境はONTAP9.17.1P5です。
1. まずWebブラウザからNetAppのSystem Managerにログインし、「ストレージ」→「volume」をクリックし、ARP/AIを有効にしたいvolume名を表示します。
2. volume名をクリックした後、「セキュリティ」タブをクリックして「ランサムウェア対策」をクリックしARP/AIを有効化します。
3. 有効化すると以下のような画面になります。※学習統計などの詳細な数字が出るには少し時間がかかります。
以上!完了です!
なんと2ステップで出来てしまいました。非常に簡単ですね。
本当にランサム検知するか確認してみる
とはいえ、本当にランサム検知ってできるの??という疑問もあると思います。NetApp公式HPを確認すると、ランサム検知について非常に高い評価を受けている記載があります。「SE Labsのテストでは、ランサムウェア検出の精度が99%、ファイルワークロードに対して100%の精度評価が達成されています」
それではさっそく、鉄壁のNetAppに対して疑似ランサム攻撃をしかけてみます。今回は検証環境で構築したファイルサーバに保存されているダミーファイルを、暗号化し元ファイルを削除するという、実際のランサム攻撃にかなり近い挙動を再現します。それでは実行していきましょう。
・ダミーファイルが暗号化されていく様子
結果は……検知しました!
以下は攻撃時のvolumeのSnapshotの状況です。「Anti_ransomware_attack_backup.2026-01-14_1318」というSnapshotがありますが、これは攻撃を受けたと判断された際に取得される、一定期間削除不可能なSnapshotです。
Cluster::> snapshot show -vserver ny-CIFS -volume ny_CIFS_vol
---Blocks---
Vserver Volume Snapshot Size Total% Used%
-------- -------- ------------------------------------- -------- ------ -----
ny-CIFS ny_CIFS_vol
daily.2026-01-14_0010 34.44MB 0% 11%
Anti_ransomware_periodic_backup.2026-01-14_0517 580KB 0% 0%
Anti_ransomware_periodic_backup.2026-01-14_0917 386.7MB 0% 57%
hourly.2026-01-14_1005 2.96GB 3% 91%
hourly.2026-01-14_1105 1.21GB 1% 81%
hourly.2026-01-14_1205 836KB 0% 0%
hourly.2026-01-14_1305 1.21GB 1% 81%
Anti_ransomware_periodic_backup.2026-01-14_1317 456KB 0% 0%
Anti_ransomware_attack_backup.2026-01-14_1318 668KB 0% 0%
hourly.2026-01-14_1405 168KB 0% 0%
hourly.2026-01-14_1505 164KB 0% 0%
※似た名前のSnapshotに「Anti_ransomware_periodic_backup.~」がありますが、これはONTAP9.17.1から実装されたARP/AI機能によって4時間ごとに取得される定期的なSnapshotで、ランサム攻撃を受けて取得されたわけではありません。
まとめると、ONTAP 9.17.1 以降ではARP/AIの機能によって、定期取得は 「Anti_ransomware_periodic_backup.~」という名称、異常検知時は「Anti_ransomware_attack_backup.~」という名称のSnapshotが取得されます。
まとめ
ここまで設定から実際の検知まで見てきましたが、いかがでしたでしょうか。ARP/AIの設定はすごく簡単で手軽にランサムウェア対策を強化できる便利な機能であることが分かりました。
ただ注意点として、ARP/AIはどんな環境でも使えるわけではありません。ONTAP 9.10.1〜9.15.1では従来の学習モードが必要なARP(無印)ですし、現時点でSAN環境はONTAP 9.17.1以降でのみサポートされます。(それ以前はNAS中心) また一部特殊なvolumeを作成されている環境でも使えなかったりします。
Networldはランサム対策をはじめとして、お客様環境に合わせたベストなご提案、構築支援をまるっとお受けできますので、ぜひお問合せください!
※なお冒頭でも触れましたが、ARP(ARP/AI)を有効化するにはいくつか要件があります。以下はNASの時の要件です。必要に応じて公式ドキュメントも参照ください。
-
NFSまたはSMBプロトコルが有効になっているSVMであること
-
実際にクライアントが接続してNASとして使われている状態であること
-
volumeが junction pathで公開されていること
- ONTAPにARPライセンスが適用されていること
次回は「管理者でも削除不可能 Tamperproof Snapshot 編」を予定していますのでぜひお楽しみに!
