こんにちは、近藤(りょう)です!
ファイルサーバーは、多くの業務データが集約されており、ランサムウェア被害が事業継続に直結する重要なポイントです。
Windows や Linux クライアントが侵害された場合、即座に侵入経路を完全に防ぐことは困難です。そのため、異常を早期に検知し、迅速に復旧できる仕組みが求められます。
Amazon FSx for NetApp ONTAP では、こうした脅威に対応するため、複数のランサムウェア対策機能が提供されています。
本記事では、複数ある対策機能の中からランサムウェア攻撃の疑いを検知すると自動でスナップショットを取得する Autonomous Ransomware Protection(ARP) について、仕様の整理と動作の解説を行います。
ARP とは?
Autonomous Ransomware Protection(ARP)は、Windows や Linux クライアントが侵害された場合でも、ランサムウェアやマルウェアによる被害からデータを守るための、NetApp ONTAP に組み込まれたランサムウェア検知・保護機能 です。
ARP は機械学習を用いて、Amazon FSx for NetApp ONTAP 上の通常時のファイル操作や I/O パターンを学習し、そこから逸脱した異常な振る舞いを侵入後にプロアクティブに検知します。
FSx for NetApp ONTAP が利用可能なすべての AWS リージョン(東京リージョン・大阪リージョン 利用可)において、新規・既存を問わず利用可能で、追加コストなしで有効化できる点も特徴です。
ARP の仕組み
ARP は ボリューム単位で有効化されます。個別に有効化することも、新規ボリューム作成時にデフォルトで有効にすることもできます。
ARP の AI は事前に包括的なデータセットでトレーニングされているため、FlexVol ボリュームでは 学習期間を必要とせず、即座にアクティブモードで動作します。
以前の ARP には「学習モード(dry-run モード)」と「アクティブモード」の 2 つのモードが存在していましたが、現在の ARP では 有効化後すぐにアクティブモードで動作する仕様となっているようです。
脅威情報は自動的に更新されるため、最新の脅威に対応しながら検知精度が継続的に向上します。
アクティブモードでは、ARP がボリュームへの書き込みやファイル操作を常時監視し、ランサムウェアの挙動を検知します。
異常が検知されると、その時点に最も近い復旧ポイントとして スナップショットが自動的に作成されます。
ARP の検索対象
ARP は、エンドポイント側ではなく ストレージ層(ONTAP)で動作する ランサムウェア検知機能です。Amazon FSx for NetApp ONTAP 上で発生する、次のようなファイル操作や I/O の振る舞いをもとに異常を検知します。
① 書き込みデータのエントロピー(データのランダム性の増加)
② ファイルの作成・削除・リネームといった操作の頻度
③ これまで観測していなかった新しいファイル拡張子の出現
④ 短時間での IOPS の急増や書き込みパターンの変化
ランサムウェア検知に使用される各種パラメータを調整することもできるようです。
詳細は、以下の NetApp 公式ドキュメントを参照してください。
docs.netapp.com
ARP に適したワークロードと避けるべきワークロード
ARP に適したワークロード
ARP は、比較的ファイル操作の傾向が安定しているワークロード に適しています。
- NFS または SAN ストレージ上のデータベース
- Windows / Linux のホームディレクトリ
- 画像・動画データ
- 医療記録
- EDA(Electronic Design Automation)データ など
通常時に使用されるファイル拡張子や I/O パターンがある程度固定されているものは ARP が異常な振る舞いを検知しやすく誤検知も抑えられます。
ARP で避けるべきワークロード
一方で、以下のようなワークロードでは ARP の特性上、注意が必要です。
- ファイルの作成・削除が極端に多いワークロード
- 例えば、数秒間に数十万ファイルが生成・削除されるようなテスト環境や開発環境
ARP の脅威検出は、ファイル作成・削除・上書き・新しいファイル拡張子での作成・リネームといった操作の異常な急増をもとに検知を行う仕組みです。
そのため、アプリケーション自体が大量のファイル操作を行う場合、ランサムウェアによる挙動と区別することが難しくなります。
- アプリケーションやホストがデータを暗号化するワークロード
ARP は、書き込みデータのエントロピー(ランダム性)を検知指標の一つとして利用しています。
アプリケーション自身がデータを暗号化している場合、検知精度が低下することがあります。
ARP 検証概要
本検証では、Windows クライアントから Amazon FSx for NetApp ONTAP に対してSMB アクセスを行う一般的なファイルサーバー構成を想定し、ARP の検知および復旧動作を確認しました。手順は以下を参考にして実施しています。
前提
以下の前提で本検証を実施しています。
- Amazon FSx for NetApp ONTAP は AD に参加済み
- ONTAP の操作は、CloudShell から実施
- ONTAP 上のデータに対する攻撃は、ONTAP クライアントから実施(クライアントが侵害されたケースを想定しています)
- FSx for NetApp ONTAP の ONTAP バージョンは 9.17.1P3
- ARPのパラメータの変更なし
※ 本検証では AD 連携構成を使用していますが、ARP はストレージ層で動作するので AD がないシンプルな構成でも動作します。
構成
事前作業
実施前の状態確認
# CloudShell から FSx for NetApp ONTAP にログイン
~ $ ssh fsxadmin@management.fs-123456789abcdefgh.fsx.ap-northeast-1.amazonaws.com
(fsxadmin@management.fs-123456789abcdefgh.fsx.ap-northeast-1.amazonaws.com) Password: ※ FSx for NetApp ONTAP を作成した時に設定したパスワード入力
Last login time: 12/23/2025 13:06:20
# FSx for NetApp ONTAP バージョン確認
FsxId123456789abcdefgh::> version
NetApp Release 9.17.1P3: Sun Dec 07 04:46:28 UTC 2025
# cifs share 確認
FsxId123456789abcdefgh::> vserver cifs share show -vserver fsx
Vserver Share Path Properties Comment ACL
-------------- ------------- ----------------- ---------- -------- -----------
fsx c$ / oplocks - BUILTIN\Administrators / Full Control
browsable
changenotify
show-previous-versions
fsx ipc$ / browsable - -
fsx test_share /vol1 oplocks - Everyone / Full Control
browsable
changenotify
show-previous-versions
3 entries were displayed.
# volume 確認
FsxId123456789abcdefgh::> volume show -vserver fsx
Vserver Volume Aggregate State Type Size Available Used%
--------- ------------ ------------ ---------- ---- ---------- ---------- -----
fsx fsx_root aggr1 online RW 1GB 971.2MB 0%
fsx vol1 aggr1 online RW 500GB 475.0GB 0%
2 entries were displayed.
既存ボリュームで ARP を有効化(アクティブモード)
既存ボリュームに対して ARP を有効化します。(ボリューム作成時に自動で有効化することもできますが今回は実施していません。)
FsxId123456789abcdefgh::> security anti-ransomware volume enable -volume vol1 -vserver fsx FsxId123456789abcdefgh::> security anti-ransomware volume show Vserver Volume State Dry Run Start Time ---------- ---------------- ---------------- ------------------ fsx vol1 enabled -
学習モード(dry-run モード) を経由させる想定でしたが、dry-run に設定されず、即座にアクティブモードになりました。(※ 2025/12/23 時点)
vserver show の Auto-switch 設定(Learning → Enabled の自動切替条件)も確認しましたが、そもそも Learning を経由していないため、結果としてドキュメント記載どおりの挙動だと考えます。
ARP の AI は包括的なデータセットでトレーニングされるため、ARP を FlexVol ボリュームで実行するための学習期間は不要であるため、すぐにアクティブモードで開始されます。
# 学習モード(dry-run モード)
FsxId123456789abcdefgh::> security anti-ransomware volume dry-run -volume vol1 -vserver fsx
# ARP 状態確認
FsxId123456789abcdefgh::> security anti-ransomware volume show
Vserver Volume State Dry Run Start Time
---------- ---------------- ---------------- ------------------
fsx vol1 enabled -
# SVM の Auto-switch 関連の設定値確認
FsxId123456789abcdefgh::> vserver show -vserver fsx
~ 省略 ~
Anti-ransomware Auto-switch from Learning to Enabled: true
Anti-ransomware Auto-switch Minimum Incoming Data (in percentage): 5%
Anti-ransomware Auto-switch Duration Without New File Extension (in Days): 3
Anti-ransomware Auto-switch Minimum Learning Period: 10
Anti-ransomware Auto-switch Minimum File Count: 200
Anti-ransomware Auto-switch Minimum File Extension: 10
Storage Reserved for In-flight Volume Operations: -
なお、アクティブモードのボリュームに対してアクティブモードを有効化するとエラーになります。
FsxId123456789abcdefgh::> security anti-ransomware volume enable -vserver fsx -volume vol1 Error: command failed: Failed to enable anti-ransomware on volume "vol1" in Vserver "fsx". Reason: Volume is already in the "enabled" state.
正常時 - 新規ファイル作成(ファイルコピー)
ONTAP クライアントにマウントした ARP を有効化した vol1 に対して新規ファイルを配置しました。
拡張子の追加を確認できますが、High Entropy Data の増加は確認できません。
FsxId123456789abcdefgh::> security anti-ransomware volume workload-behavior show -vserver fsx -volume vol1
Vserver: fsx
Volume: vol1
File Extensions Observed: xlsx, txt, yml, pdf, docx
Number of File Extensions Observed: 5
Historical Statistics
High Entropy Data Write Percentage: -
High Entropy Data Write Peak Rate (KB/Minute): -
File Create Peak Rate (per Minute): -
File Delete Peak Rate (per Minute): -
File Rename Peak Rate (per Minute): -
Surge Observed
Surge Timeline: -
High Entropy Data Write Percentage: -
High Entropy Data Write Peak Rate (KB/Minute): -
File Create Peak Rate (per Minute): -
File Delete Peak Rate (per Minute): -
File Rename Peak Rate (per Minute): -
Newly Observed File Extensions: -
Number of Newly Observed File Extensions: -
作成されているのは Anti_ransomware_periodic* や hourly* ・ daily* といった定期スナップショットのみで、攻撃検知時に作成される Anti_ransomware_attack_backup.* は作成されていませんでした。
FsxId123456789abcdefgh::> volume snapshot show -vserver fsx -volume vol1
---Blocks---
Vserver Volume Snapshot Size Total% Used%
-------- -------- ------------------------------------- -------- ------ -----
fsx vol1
daily.2025-12-24_0010 436KB 0% 4%
Anti_ransomware_periodic_backup.2025-12-24_1335
168KB 0% 2%
Anti_ransomware_periodic_backup.2025-12-24_1740
664KB 0% 7%
hourly.2025-12-24_2005 164KB 0% 2%
hourly.2025-12-24_2105 164KB 0% 2%
Anti_ransomware_periodic_backup.2025-12-24_2145
168KB 0% 2%
hourly.2025-12-24_2205 168KB 0% 2%
hourly.2025-12-24_2305 756KB 0% 8%
hourly.2025-12-25_0005 168KB 0% 2%
daily.2025-12-25_0010 176KB 0% 2%
hourly.2025-12-25_0105 472KB 0% 5%
11 entries were displayed.
もちろんイベント管理システム(EMS)のイベントにもヒットしません。
FsxId123456789abcdefgh::> event log show -message-name callhome.arw.activity.seen There are no entries matching your query.
ARP 動作確認
本検証では、ARP の検知動作を確認するために 疑似的なランサムウェア攻撃をスクリプトで再現しました。なお、本記事ではスクリプトの詳細は割愛し、実施した操作内容とその結果のみを記載していますのでご了承ください。
既存ファイル暗号化(5ファイル)
既存の 5ファイルに対して、短時間で暗号化されたデータを上書きする処理を行い、書き込みデータのランダム性(エントロピー)が増加する状態を再現しました。
結果:ランサムウェアとしては検知されず。
High Entropy Data の増加は確認できませんでした。
FsxId123456789abcdefgh::> security anti-ransomware volume workload-behavior show -vserver fsx -volume vol1
Vserver: fsx
Volume: vol1
File Extensions Observed: xlsx, txt, yml, pdf, docx
Number of File Extensions Observed: 5
Historical Statistics
High Entropy Data Write Percentage: -
High Entropy Data Write Peak Rate (KB/Minute): -
File Create Peak Rate (per Minute): -
File Delete Peak Rate (per Minute): -
File Rename Peak Rate (per Minute): -
Surge Observed
Surge Timeline: -
High Entropy Data Write Percentage: -
High Entropy Data Write Peak Rate (KB/Minute): -
File Create Peak Rate (per Minute): -
File Delete Peak Rate (per Minute): -
File Rename Peak Rate (per Minute): -
Newly Observed File Extensions: -
Number of Newly Observed File Extensions: -
少数ファイルかつ書き込み量が小さい場合は、ボリューム全体に対する影響が限定的であるため、ARP が異常として検知しなそうです。
既存ファイル拡張子変更 & 暗号化(10ファイル)
既存の10ファイルに対して短時間で拡張子の変更と暗号化を同時に行い、書き込みデータのランダム性(エントロピー)の増加と、ファイル内容の上書きおよびリネーム操作が短時間に集中する状態を再現しました。
結果:ランサムウェアとしては検知されず。
拡張子(bak, arp-test)は 新規拡張子として学習しましたが、High Entropy Data の増加は確認できませんでした。
FsxId123456789abcdefgh::> security anti-ransomware volume workload-behavior show -vserver fsx -volume vol1
Vserver: fsx
Volume: vol1
File Extensions Observed: bak, arp-test, xlsx, txt, yml, pdf, docx
Number of File Extensions Observed: 7
Historical Statistics
High Entropy Data Write Percentage: -
High Entropy Data Write Peak Rate (KB/Minute): -
File Create Peak Rate (per Minute): 10
File Delete Peak Rate (per Minute): -
File Rename Peak Rate (per Minute): -
Surge Observed
Surge Timeline: -
High Entropy Data Write Percentage: -
High Entropy Data Write Peak Rate (KB/Minute): -
File Create Peak Rate (per Minute): -
File Delete Peak Rate (per Minute): -
File Rename Peak Rate (per Minute): -
Newly Observed File Extensions: arp-test
Number of Newly Observed File Extensions: 10
「拡張子の変更」単体や「少量ファイルの暗号化」だけでなく、ボリューム全体への影響度(データ量・書き込み継続性)」を重視して検知していそうです。
ファイル作成(200ファイル)後に暗号化と拡張子変更
前段の検証よりも ファイル数を増やしたケースとして、大量のファイル生成後に暗号化および拡張子変更が行われる状況を想定した検証を行いました。
- 一定数(200 ファイル)のテキストファイルを連続して生成
- 各ファイルに対してランダム性の高いデータを追記し、書き込みエントロピーを上昇
- 生成したすべてのファイルに対して拡張子を一斉に変更(.locked)
結果:ランサムウェアとしては検知されず。
拡張子(locked)は 新規拡張子として正しく認識・学習されましたが、High Entropy Data の増加は確認できませんでした。
FsxId123456789abcdefgh::> security anti-ransomware volume workload-behavior show -vserver fsx -volume vol1
Vserver: fsx
Volume: vol1
File Extensions Observed: txt, locked, bak, arp-test,
xlsx, yml, pdf, docx
Number of File Extensions Observed: 8
Historical Statistics
High Entropy Data Write Percentage: -
High Entropy Data Write Peak Rate (KB/Minute): -
File Create Peak Rate (per Minute): 210
File Delete Peak Rate (per Minute): -
File Rename Peak Rate (per Minute): -
Surge Observed
Surge Timeline: -
High Entropy Data Write Percentage: -
High Entropy Data Write Peak Rate (KB/Minute): -
File Create Peak Rate (per Minute): -
File Delete Peak Rate (per Minute): -
File Rename Peak Rate (per Minute): -
Newly Observed File Extensions: arp-test, locked
Number of Newly Observed File Extensions: 10, 200
ファイル数は増加したものの、1 ファイルあたりのサイズが小さく、書き込み処理が短時間で完了したため、ボリューム全体に対する高エントロピー書き込みの割合が小さく、ARP の異常検知条件には達しなかったと考えられます。
なお、500 ~ 5000 ファイルまで増やした検証も実施しましたが、同様に High Entropy Data の増加は確認されず、結果に大きな違いはありませんでした。
数 MB(3MB ~ 5MB)のファイル作成(5000ファイル)後に暗号化と拡張子変更
一般的な画像データを想定し、1 ファイルあたり約 3MB~5MB のランダム性の高いデータを用いた検証を行いました。
前段の検証よりも ファイル数を大幅に増やし(5000 ファイル)、比較的大きなファイルが大量に暗号化されるケースを想定しています。
- 一定数(5000 ファイル)のファイルを連続して生成
- 1 ファイルあたり 3MB~5MB のサイズで作成
- 各ファイルに対してランダム性の高いデータを追記し、書き込みエントロピーを上昇
- 生成したすべてのファイルに対して拡張子を一斉に変更(.locked)
これにより、画像データなどの比較的大きなファイルが一斉に暗号化・改ざんされる状況を再現し、ARP がどのように検知・判断するかを確認しました。
結果:ランサムウェアとして検知された。
ARPが異常を検知し、Anti_ransomware_attack_backup.* スナップショットが自動取得されていることを確認できました。
# High Entropy 確認
FsxId123456789abcdefgh::> security anti-ransomware volume workload-behavior show -vserver fsx -volume vol1
Vserver: fsx
Volume: vol1
File Extensions Observed: locked, txt, bin, bak,
arp-test, xlsx, yml, pdf,
docx
Number of File Extensions Observed: 9
Historical Statistics
High Entropy Data Write Percentage: 100
High Entropy Data Write Peak Rate (KB/Minute): 1588652
File Create Peak Rate (per Minute): 250
File Delete Peak Rate (per Minute): -
File Rename Peak Rate (per Minute): 260
Surge Observed
Surge Timeline: -
High Entropy Data Write Percentage: -
High Entropy Data Write Peak Rate (KB/Minute): -
File Create Peak Rate (per Minute): -
File Delete Peak Rate (per Minute): -
File Rename Peak Rate (per Minute): -
Newly Observed File Extensions: arp-test, locked
Number of Newly Observed File Extensions: 10, 10202
# Attack Probability 確認
FsxId123456789abcdefgh::> security anti-ransomware volume show -vserver fsx -volume vol1
Vserver Name: fsx
Volume Name: vol1
State: enabled
Dry Run Start Time: -
Attack Probability: moderate
Attack Timeline: 12/25/2025 06:46:48
Number of Attacks: 1
Attack Detected By: file_analysis
Block Device Detection Status: -
Block Device Evaluation Start-time: -
# スナップショット確認(`Anti_ransomware_attack_backup*`)
FsxId123456789abcdefgh::> volume snapshot show -vserver fsx -volume vol1
---Blocks---
Vserver Volume Snapshot Size Total% Used%
-------- -------- ------------------------------------- -------- ------ -----
fsx vol1
daily.2025-12-24_0010 436KB 0% 0%
Anti_ransomware_periodic_backup.2025-12-24_2145
628KB 0% 0%
daily.2025-12-25_0010 176KB 0% 0%
hourly.2025-12-25_0105 476KB 0% 0%
Anti_ransomware_periodic_backup.2025-12-25_0150
832KB 0% 0%
hourly.2025-12-25_0205 212KB 0% 0%
hourly.2025-12-25_0305 220KB 0% 0%
hourly.2025-12-25_0405 168KB 0% 0%
hourly.2025-12-25_0505 168KB 0% 0%
Anti_ransomware_periodic_backup.2025-12-25_0555
212KB 0% 0%
hourly.2025-12-25_0605 15.86MB 0% 0%
Anti_ransomware_attack_backup.2025-12-25_0636
4.47GB 1% 15%
12 entries were displayed.
ARP によるランサムウェア検知後の復旧
どのファイルが対象であるか確認するためにレポートの生成と対象ファイルの把握を行います。
# イベント管理システム(EMS)のイベント確認
# イベントの生成までは検知してから数十分程度時間がかかる
FsxId123456789abcdefgh::> event log show -message-name callhome.arw.activity.seen
Time Node Severity Event
------------------- ---------------- ------------- ---------------------------
12/25/2025 06:52:15 FsxId123456789abcdefgh-01
ALERT callhome.arw.activity.seen: Call home message for "POSSIBLE RANSOMWARE ACTIVITY DETECTED", Volume: "vol1" (UUID: "cb17aabc-dffa-11f0-819a-c531e549b723") in Vserver: "fsx" (UUID: "c78c205f-dff8-11f0-819a-c531e549b723")
ARP により 「ランサムウェアの可能性あり」 と判断され、EMS イベントが発生していることも確認できました。
対象ファイルを確認するためにレポートを生成します。
# レポート作成 FsxId123456789abcdefgh::> security anti-ransomware volume attack generate-report -vserver fsx -volume vol1 -dest-path /vol1/ Report "report_file_fsx_vol1_25-12-2025_08-08-12" available at path "/vol1/".
この例ではレポートは/vol1直下に出力されます。
レポートには、検知対象となったファイルの一覧が出力されます。内容を確認し、意図しない変更(実際の攻撃)か、誤検知かを判断します。
今回は実際の攻撃を想定し、ARP が取得したスナップショットから復旧を行います。
FsxId123456789abcdefgh::> volume snapshot restore -vserver fsx -volume vol1 -snapshot Anti_ransomware_attack_backup.2025-12-25_0636
Warning: Snapshot "Anti_ransomware_attack_backup.2025-12-25_0636" is not the most recent copy. Promoting this snapshot will delete all copies made after it.
Do you want to continue? {y|n}: y
Warning: Quota rules currently enforced on volume "vol1" might change during this operation. If the currently enforced quota rules are different from those in snapshot "Anti_ransomware_attack_backup.2025-12-25_0636", you might have to resize or
reinitialize quotas on this volume after this operation.
Do you want to continue? {y|n}: y
Warning: Export policies currently enforced on the qtrees of volume "vol1" will not change during this operation. If the currently enforced export policies are different from those in snapshot "Anti_ransomware_attack_backup.2025-12-25_0636",
reassign the export policies of the qtrees on this volume after this operation.
Do you want to continue? {y|n}: y
復旧後、ファイルが元の状態に戻っていることを確認できました。
ARP のステータスも以下の通り 正常(Attack Probability: none) に戻っています。
FsxId123456789abcdefgh::> security anti-ransomware volume show -vserver fsx -volume vol1
Vserver Name: fsx
Volume Name: vol1
State: enabled
Dry Run Start Time: -
Attack Probability: none
Attack Timeline: -
Number of Attacks: -
Attack Detected By: -
Block Device Detection Status: -
Block Device Evaluation Start-time: -
補足:誤検知(偽陽性)の場合の対応
今回は攻撃と判断して復旧を行いましたが、誤検知(偽陽性) と判断した場合は、以下のコマンドで疑わしい検知をクリアします。
clear-suspect -vserver <svm_name> -volume <vol_name> [extension identifiers] -false-positive true
拡張子を識別するには、次のいずれかのパラメータを使用します。
-seq-no integer:疑わしいリスト内のファイルのシーケンス番号。-extension ext,…:ファイル拡張子。-start-time date_time -end-time date_time: クリアするファイルの範囲の開始時刻と終了時刻を「MM/DD/YYYY HH:MM:SS」の形式で指定します。
まとめ
ARP の検知結果を運用上の通知として活用するには、EMS イベントを Amazon CloudWatch などと連携し、アラートを受け取れるようにしておく必要がありますが、
ランサムウェア特有の挙動をストレージ層で自動的に判断し、復旧ポイントとなるスナップショットを自動取得できる点は、非常に有用な仕組みだと感じました。
ただし、ARP は 誤検知(擬陽性)の場合でもスナップショットが作成されるため、検知結果やスナップショットの内容を定期的に確認し、不要なスナップショットを整理する運用が必要になります。
利用する場合は、バックアップ戦略(保持方針や運用体制)を含め、ARP の利用可否や適用範囲を検討してくださいませ。
近藤 諒都
(記事一覧)カスタマーサクセス部CS5課
夜行性ではありません。朝活派です。
趣味:お酒、旅行、バスケ、掃除、家庭用パン作り(ピザも)など
2025 Japan AWS All Certifications Engineers
