SAVi Anti-Ransomwareは、IFS(統合ファイルシステム)のランサムウェア対策ツールで、三和コムテックが今夏のリリースをめざして最終的なテストを行っている製品である。
IFSのランサムウェア対策というと意外な感じをもつかもしれないが、欧米ではIBM iのセキュリティ対策として最大の関心を集めているテーマである。
たとえば、HelpSystemsが今年1月に発表したIBM iユーザー調査(IBM i Marketplace Survey Results 2022)では、「IBM iの運用で最も懸念される事項」のトップに「サイバーセキュリティとランサムウェア」がランクされ(回答62%)、53%が「アンチウイルス/ランサムウェア対策」を実施中または計画中と回答していた。
IBM iが、地球上で最も安全なサーバーの1つであることは、これまでさまざまなデータでご存じの方も多いだろう。ライブラリやオブジェクトの機構上の特性や強力な出口プログラムによって守りを固めているからである(出口プログラムは設定が必要)。
IFSも適切な設定によりセキュリティを高めることができるが、HelpSystemsの調査結果が示すように、多くの場合、抜け穴になっている。とくにIFSが、PASEで稼働するオープンソース・アプリケーションのデータの保存先になっていることや、PCのディスクにIFS上のディレクトリをマウントできることが、セキュリティ上の脅威になっている。つまり、ランサムウェアに感染したPCデータがIFS上に配置される恐れがあるのだ。そしてその感染したデータがIBM iプログラムに利用されることによって、IBM iのネイティブ・アプリケーションやIBM iそのものに深刻な影響を及ぼす恐れがあるのである。
昨今のランサムウェア攻撃の増加や高度化・悪質化を見れば、IFSのセキュリティの脅威が高まっていることが理解できるだろう。
SAVi Anti-RansomwareはIFSを監視し、ランサムウェアに感染したデータがIFSに配置されると、検知から感染状況の表示、通知、防御などが行えるセキュリティツールである。
次のようなステップで動作する。
❶ IFS上のディレクトリをマウントしたPCにランサムウェア攻撃
❷ PC経由でIFSフォルダがランサムウェアに汚染
❸ SAVi Anti-Ransomwareが検知
❹ SAVi Anti-Ransomwareのログに表示
❺ ログをiSecurityのAudit機能で表示
❻ QSYSOPRなどへ通知
❼ 攻撃元のIPアドレスを特定し、通信を遮断、後続の攻撃を断ち切る
一連の動作は以下のような内容になる。
SAVi Anti-Ransomwareは、PCにマウントしたIFS上のデータがランサムウェアに感染すると❷、ただちに検知し❸、感染したファイルのリストをSAVi Anti-Ransomwareのログに一覧表示する❹。またSAVi Anti-RansomwareはiSecurity Auditにログを書き出すので、iSecurityのAudit機能を使って詳細に情報を確認できる❺。
SAVi Anti-RansomwareからQSYSOPRやEメール、SIEMなどへの通知は、メニュー画面の「Reaction To Attck」で設定する❻。
さらに、SAVi Anti-Ransomwareは攻撃元のIPアドレスを特定できるので、そのIPアドレスからの通信を遮断し、後続の攻撃を断ち切る❼。
海外ではランサムウェアに感染したというIBM iユーザーの話が多数紹介されている。日本ではそうした例をまだ聞かないが、ランサムウェアの広範な広がりを見ると時間の問題とも考えられる。SAVi Anti-Ransomwareの早期のリリースが待たれるところである。
三和コムテック株式会社 https://ibmi.sct.co.jp/
[i Magazine・IS magazine]