ランサムウェア被害からの迅速な復旧を支援する「VMware Live Cyber Recovery」

本記事では、企業に大きなセキュリティ被害をもたらすランサムウェアの概要と、「VMware Cloud」で提供されるクラウド型のランサムウェア対策ソリューション「VMware Live Cyber Recovery」（旧称：VMware Ransomware Recovery for VMware Cloud DR）の概要と、その利用イメージについてご紹介します。

ランサムウェアとは？

「ランサムウェア」はマルウェアの一種で、感染したコンピュータのファイルを暗号化することでユーザー・企業にデータ損失の脅威を与え、復号パスワードと引き換えに身代金(=ransom)を要求する悪質なプログラムです。主に添付ファイルを含むメールや改ざんされたWebサイトなどによって感染します。

ランサムウェア被害が発生した場合、ファイルやセキュリティ体制の安全が確認できるまでビジネスの停止を余儀なくされ、機会損失や復旧費用などのコストが発生します。復旧作業は数ヶ月以上の期間に及ぶケースも珍しくないため、企業にとっては非常に大きな損害が発生することになります。

難易度が高い復旧作業

ランサムウェアは従来型のアンチウイルスソフトでは検知できない「非マルウェア」による攻撃が主流となっています。サンドボックスやNGAV(次世代アンチウイルス)といった「感染しないため」のセキュリティ対策だけでなく、バックアップからの適切な復旧フローや影響範囲を特定できる「EDR(Endpoint Detection and Response)」を活用した「迅速に復旧する仕組み」も求められます。

また、復旧時には被害を受けた環境やバックアップファイルの安全性の確認、慣れない複雑なツールの利用など、作業の難易度が高いという課題も考慮する必要があります。

VMware Live Cyber Recovery とは？

「VMware Live Cyber Recovery」は、VMware社のDRaaS(DR as a Service)である「VMware Live Recovery」で利用可能なサービスです。災害対策機能を提供するVCDRにVMware Ransomware Recovery を組み合わせることで、「VMware Cloud on AWS」の隔離環境を活用したランサムウェア復旧機能が提供され、被害発生時の安全かつスムーズな復旧対応が可能になります。

VMware Live Cyber Recoveryは「NGAV」と「振る舞い分析」機能を搭載しており、VCDR へのバックアップデータを検査・分析してランサムウェア感染前の復元ポイントを特定し、隔離環境上でデータのスキャンを実行します。これにより、最適な復旧ポイントを迅速に特定し、本番環境への復元前に安全性を確認してシステムを復旧させる運用が可能です。

VMware Live Cyber Recoveryはオンプレミスデータセンターの災害対策として「VMware Cloud on AWS」および「VCDR」を採用している環境で利用できます。

「VMware Live Cyber Recovery」によるDR対策の詳細については、以下の記事をご参照ください。

VMware Live Cyber Recovery の動作イメージ

VMware Live Cyber Recovery では、下記手順でランサムウェアからの迅速な復旧を行います。 これら一連の作業をVCDRの画面で一貫して実行でき、ワークフローによる自動化によって作業の効率化および迅速な復旧を実現します。

ここからは、VMware Live Cyber Recoveryの画面ショットと合わせて利用イメージをご紹介します。

このセクションの画面ショット及び情報は、製品名変更前の「VMware Ransomware Recovery for VMware Cloud DR」のものとなります。最新情報はVMware公式サイトをご確認ください。

「VMware Ransomware Recovery」の有効化

VMware Ransomware RecoveryはVCDRの「リカバリープランの構成」において、「Ransomware」の項目で設定することができます。

「Activate ransomware recovery」を有効にしてプランを保存すると、リカバリープランで保護されている仮想マシンに対してVMware Live Cyber Recovery の料金が発生し始めます。

VMware Ransomware Recovery では、ランサムウェアの復旧状態は以下のように定義されています。

• バックアップ (in backup)：復旧に利用するためにレプリケートされた仮想マシン
• 検証・確認 (validation)：リカバリ環境で電源がオンになり、分析中の仮想マシン
• ステージング (Staged)：検証済みで電源がオフになっている仮想マシン
• 復旧済み (Recovered)：保護サイトに復旧された仮想マシン

リカバリープランの実行

VCDRで構成したランサムウェアからのリカバリープランは、「Ransomware Recovery」と「Ransomware Test」のボタンをクリックすることで実行できます。

VMware Ransomware Recovery はVCDRのダッシュボードに統合されたシンプルな管理画面となっており、ランサムウェア感染が発生した緊急時に素早い対応が可能ができるようになっています。

アノマリー情報をもとに復旧ポイントを特定

リカバリープランに含まれる仮想マシンのリストを確認し、分析・検証するスナップショットを選択します。可視化されたスナップショットのタイムラインを参照することで、感染しているリスクが高い期間を特定できます。

脆弱性スキャン等を実行して安全性を確認

選択したスナップショットから隔離環境にワークロードが復元され、以下の分析を実行します。

• 脆弱性分析 (Vulnerability analysis)：検出されたOSおよびアプリケーションの脆弱性を検索
• 行動分析 (Behavior analysis)：ゲストOSのイベント継続的に分析し、疑わしい動作を調査
• マルウェア・シグネチャ・スキャン (Malware signature scan)。既知のマルウェアとウイルスをスキャン

保護サイトでの仮想マシンの復旧

安全性を確認すると、仮想マシンを保護サイトおよび別のサイト上で復旧することができます。復旧を実行すると、元の仮想マシンは復旧用にステージングした新しい仮想マシンに置き換わります。

EDRソリューションとの組み合わせで、さらに復旧期間を短縮

VMware CloudでEDRソリューションの「VMware Carbon Black Cloud 」が有効になっている場合、VMware Live Cyber Recoveryと組み合わせて利用することで、さらに復旧時間の短縮することが可能です。

VMware Live Cyber Recoveryの安全性の検証において、仮想マシンを「セキュリティコンソール(Carbon Black Cloud コンソール)」 で開くことができるようになります。VMware Carbon Black Cloud のEDR機能を使った脅威の詳細調査や監査イベントの表示、セキュリティポリシーの管理といった詳細な対応が可能になります。 

仮想環境のワークロードを保護する「VMware Carbon Black Cloud Workload」の詳細については、以下の記事をご参照ください。

VMware Live Cyber Recovery の購入方法

VMware Live Cyber Recoveryは「VMware Live Recovery」の中で提供されるサービスであり、「VMware Live Recovery」で保護されたVMごとの料金と、「VMware Live Cyber Recovery」に関連するTiBごとの料金にて、サブスクリプションが構成されます。

詳細は以下のVMware社のサイト、またはネットワールドまでお問い合わせください。

https://www.vmware.com/products/cloud-infrastructure/live-recovery

VMwareソリューションを活用したランサムウェア対策はネットワールドまで

今回は安全かつ素早く復旧できる「バックアップ」の仕組みを提供する「VMware Live Cyber Recovery」についてご紹介しました。VMware Live Cyber Recovery をご検討の際は、VMware Cloudに関する豊富な導入支援サービスを提供するネットワールドまで是非お問合せください。