ランサムウェア対策ではネットワーク上のバックアップフォルダをどのように保護しているか

説明

Backup Exec 20.4 でランサムウェア対策機能が導入されました。これは、メディアサーバー上のディスクストレージに対して特別なセキュリティレイヤを設けることによって、信頼されたソースから行われる書き込み要求だけを許可する機能です。Backup Exec ディスクストレージのフォルダに対しては、信頼されていないソースからのどのような書き込み処理もブロックされます。

次の種類のディスクストレージが保護されます。

• メディアサーバーの固定ディスク上のディスクストレージ
• メディアサーバーに接続された固定ディスク上の重複排除ストレージフォルダ
• 限定されたサポート範囲で、メディアサーバーに接続された RDX デバイス
• 限定されたサポート範囲で、リモートネットワークデバイスのネットワーク共有上に作成されたディスクストレージ

この機能は、テープ装置のような他のリムーバブルデバイスには有効ではありません。

制限については次の通りです。

• 保護対象は、ディスク全体には適用されず、ディスクストレージが存在するフォルダに限定されています。 
• RDX デバイス上にあるディスクストレージに対しては、GRT データ (IMG フォルダ) がボリュームのルートに書き込まれるため、書き込み処理の保護対象になりません。非 GRT データは RDX デバイスのサブフォルダに書き込まれるため、無許可のプロセスによる書き込みから保護されます。
• Network attached storage (NAS) にあるネットワーク共有上に作成されたディスクストレージについては限定的な保護になります。NAS 上のデータ保護は、デバイスの存在するマシン側の責任になります。Backup Exec では、ネットワーク共有をディスクストレージとして作成したメディアサーバーからの書き込みだけを保護します。ネットワーク共有に対して、Backup Exec がインストールされていない別のサーバーからアクセスするとデータは保護されません。
• Central Admin Server Option (CASO) 環境では、管理対象 Backup Exec サーバー (MBES) または集中管理サーバー (CAS) に接続された固定ディスク上のディスクストレージが別のメディアサーバーに共有されている場合は、どのサーバーから発生した書き込みに対しても書込み保護が行われます。ただし、ディスクストレージが Windows 2008 上のメディアサーバーの場合は、この保護は適用されません。