前回のブログでは、IBM FlashSystemに搭載されているSafe Guarded Copy（SGC）機能について紹介しました。（前回のブログはこちら）少しおさらいをすると、SGCは、エアギャップとして改変不可なスナップショットを保持することで、ランサムウェア攻撃を受けた場合でもクリーンなデータを迅速に復旧できる強力な機能でしたね！

しかし、残念ながらSGCだけではランサムウェア対策はまだまだ足りません。今回はSGC機能と合わせて使っていただきたいランサムウェア検知機能についてご紹介します！

ランサムウェア対策はエアギャップだけで大丈夫？

もちろん、ランサムウェアに一度感染してしまったデータは元に戻せません。だからこそ、SGCによってエアギャップを作り、安全に保管されたデータから復旧をすることが何より大切です。しかし、もし既にランサムウェアに感染したデータのスナップショットをSGCが取り続けたらどうなるでしょうか？一度考えてみましょう。

SGCはスケジューラーで設定された時刻に自動でスナップショットを取得するため、ランサムウェアに感染した場合、感染したデータもそのままスナップショットを撮り続けてしまいます。（図１）

さらに、レプリケーションで別のストレージにデータを複製している場合、感染したデータのスナップショットが複数の場所に広がるリスクがあります。これでは、復旧時にどのデータが安全か判断するのに時間がかかり、最悪の場合、すべてのスナップショットが感染して復旧不可能・・・なんてことも。

では、一体どうすれば良いのでしょうか？

FCMのランサムウェア検知機能

この問題を解決するのが、IBM Flash Core Module 4（FCM4）のランサムウェア検知機能です。FCM4は、IBM独自のハードウェアアクセラレーションを活用した高性能なフラッシュモジュールで、ドライブ内でデータ圧縮や暗号化を行い、既に1年前からストレージにおける異常検知が可能です。今では秒単位で異常を検知できるので、被害を最小に抑えてすぐに復旧ができます。

具体的には（図２参照）

1. 全てのI/OデータをFCM4内でリアルタイムにモニタリング

2. エントロピー値、圧縮率、暗号化レベルを計算

3. ストレージコントローラー内の推論エンジンで異常を分析し、IBM Storage Insights Proにアラートを通知

この仕組みにより、ストレージ層で秒単位での検知を行います。

実際のデモ動画は「2024年9月TechXchange動画 -​【Session1】最新機能のデモンストレーション　～IBM独自技術を用いた新たな運用のカタチ～」からご覧いただけます。

異常を検知したらどうしたら良い？

ユーザー側としては、通知が来た後はどのように動くのが良いのでしょうか？

ランサムウェアの攻撃を検知したら、バックアップデータの整合性を検証し、素早く復旧作業に取り掛からなければいけません。

早期検知を行うことで、どの時点までが安全なデータであるかの目安が得られるため、データの整合性を迅速に確認できます。具体的には、図３に示すように、検知前に取得したバックアップデータが安全な状態であると確認できるため、そのバックアップから高速に復旧することが可能になります。

早期検知・早期復旧がもたらすビジネス的メリット

ここまで早期検知を行う方法についてお話ししてきましたが、そもそもなぜ早期検知は重要なのでしょうか？

ランサムウェア攻撃では、データが暗号化されるだけでなく、復旧にかかるダウンタイムがビジネスに深刻な影響を与えます。ランサムウェア対策として最も重要なのは「データを確実に戻す」こと。その上で、できるだけ「被害を小さくする」ことが大切なのです。

早期検知と早期復旧ができることで、事業継続性の強化や復旧コストの削減、企業の信頼性の維持が期待できるでしょう。

まとめ：SGC × FCMで強固なランサムウェア対策を実現

ランサムウェア対策としてSGCでエアギャップを作ることを検討されているお客様に、ぜひ一緒に組み合わせてお使いいただきたいのがこのFCM4のランサムウェア検知機能です。2つを組み合わせることで、より強固なランサムウェア対策が可能になります。

本日のまとめはこちらです！

次回はデータレジリエンスのお話をする予定です、、、お楽しみに！