すべてのプロダクト
Search

このプロダクト

    Elastic Compute Service:ECS インスタンスのランサムウェア対策機能を向上させる

    ドキュメントセンター

    Elastic Compute Service:ECS インスタンスのランサムウェア対策機能を向上させる

    最終更新日:Mar 07, 2025

    ランサムウェアは一般的なコンピュータウイルスの一種です。Elastic Compute Service (ECS) インスタンスがランサムウェアに感染すると、インスタンス上のビジネスデータが暗号化され、身代金目的で使用されます。これにより、サービス中断、データ漏洩、データ損失などの深刻なビジネスリスクが発生する可能性があります。このトピックでは、ECS インスタンスのランサムウェア対策機能を向上させる方法について説明します。

    背景情報

    コンピュータとクラウドコンピューティング技術の発展に伴い、ランサムウェアを含むさまざまな種類のコンピュータウイルスが登場しており、ランサムウェアは特に一般的な種類です。Alibaba Cloud は、長年のクラウドセキュリティ保護の経験と高度なセキュリティ攻撃および防御技術を活用して、包括的なセキュリティソリューションをユーザーに提供しています。ランサムウェア対策の詳細については、「ランサムウェア対策の概要」をご参照ください。

    問題の説明

    ECS インスタンスがランサムウェアに感染すると、システムファイルが暗号化され、作業ディレクトリに身代金要求メモまたはメッセージが表示されます。たとえば、Windows ECS インスタンスがランサムウェアに感染すると、作業ディレクトリに次の身代金要求メモが表示されます。

    image

    ソリューションの概要

    コンピュータウイルス対策は、ウイルス感染のリスクを軽減できますが、完全に排除することはできません。データバックアップは、ランサムウェアに対する最終的な保護を提供します。ただし、バックアップまたはスナップショットからディスクのデータを復元すると、バックアップまたはスナップショットが作成された時点からディスクがロールバックされた時点までのデータが失われます。重要なデータを効果的に保護するには、ビジネスシナリオに基づいてデータバックアップポリシーを適切に設計する必要があります。

    次のソリューションは、ランサムウェアに対する一般的な保護のアイデアを提供します。

    ビジネス要件に基づいて、単一のソリューションまたは上記のソリューションの組み合わせを使用できます。たとえば、ビジネス継続性に対する要件が高い場合は、上記のすべてのソリューションを同時に使用できます。バックアップまたはスナップショットには課金されることに注意してください。

    ソリューション 1:セキュリティセンターを使用して ECS インスタンスのランサムウェア対策機能を向上させる

    ワークフロー

    手順

    1. ランサムウェア対策機能を有効にし、ランサムウェア対策容量を購入します。

      セキュリティセンターが提供するランサムウェア対策機能を使用するには、機能を有効にし、ランサムウェア対策容量を購入する必要があります。詳細については、「ランサムウェア対策を有効にする」をご参照ください。

      説明

      ビジネスシナリオと要件に基づいてランサムウェア対策サービスを購入できます。

    2. ランサムウェア対策ポリシーを作成します。

      ランサムウェア対策機能を有効にした後、ランサムウェア対策ポリシーを作成する必要があります。

      ランサムウェア対策ポリシーを作成する

      ランサムウェア対策ポリシーを作成する前に、サーバーのオペレーティングシステムバージョンがサーバーのランサムウェア対策でサポートされていることを確認してください。オペレーティングシステムバージョンがサポートされていない場合、サーバーのデータはバックアップできません。サポートされているオペレーティングシステムバージョンの詳細については、「サーバーのランサムウェア対策でサポートされているオペレーティングシステムとバージョン」をご参照ください。

      1. セキュリティセンターコンソールにログインします。上部のナビゲーションバーで、管理するアセットのリージョンを選択します。中国 または 全世界 (中国を除く) を選択できます。

      2. 左側のナビゲーションウィンドウで、保護設定 > ホスト保護 > ランサムウェア対策 を選択します。

      3. サーバーのランサムウェア対策 タブの ランサムウェア対策 ページで、保護ポリシーの作成 をクリックします。

      4. 保護ポリシーの作成 パネルで、[ポリシー名]、[サーバーの種類]、[アセットの選択] パラメーターを設定します。

        パラメーター

        説明

        [ポリシー名]

        ランサムウェア対策ポリシーの名前。

        [サーバーの種類]

        ランサムウェア対策ポリシーを適用するサーバーの種類。

        バックアップルート

        データのバックアップに使用される通信方法。[サーバーの種類]Alibaba Cloud 以外のサーバー に設定した場合、このパラメーターを設定する必要があります。有効な値:

        • インターネット:このオプションを選択すると、インターネット帯域幅リソースの料金が発生する場合があります。

        • [内部ネットワーク]:このオプションを選択した場合は、Alibaba Cloud 仮想プライベートクラウド (VPC)、Express Connect 回線、または Cloud Enterprise Network (CEN) インスタンスを使用して、Alibaba Cloud にデプロイされていないサーバーと、選択したリージョンのランサムウェア対策エンドポイントとの間に接続を確立する必要があります。

        リージョン:

        サーバーが存在するリージョン、またはランサムウェア対策エンドポイントが利用可能なリージョン。[サーバーの種類]Alibaba Cloud 以外のサーバー に設定した場合、このパラメーターを設定する必要があります。選択したリージョンは、ランサムウェア対策へのアクセスに使用されるエンドポイントを指定します。データを正常にバックアップするには、サーバーが選択したリージョンのランサムウェア対策エンドポイントにアクセスできることを確認してください。詳細については、「ランサムウェア対策エンドポイント」をご参照ください。

        アセットの選択:

        保護するアセット。アセット、アセットグループ、またはアセットグループから複数のアセットを選択できます。保護するアセットを選択するには、次の操作を実行します。

        • [アセットグループ] セクションで、アセットグループを選択します。その後、グループ内のすべてのアセットが選択されます。[アセット] セクションで、保護を必要としないアセットの選択を解除できます。

        • [アセット] セクションで、検索ボックスにアセットの名前を入力してアセットを検索します。あいまい一致がサポートされています。

        説明

        • Elastic Compute Service (ECS) インスタンスにランサムウェア対策ポリシーを適用する場合、異なるリージョンに存在する ECS インスタンスを選択できます。Alibaba Cloud にデプロイされていないサーバーにランサムウェア対策ポリシーを適用する場合は、同じリージョンに存在するサーバーを選択する必要があります。

        • ランサムウェア対策容量が効果的に活用されるように、サーバーは 1 つのポリシーにのみ追加できます。

      5. 残りのパラメーターを設定し、OK をクリックします。

        保護ポリシー:ランサムウェア対策ポリシーの種類。有効な値:推奨ポリシーとカスタムポリシー。

        • [推奨ポリシー]:推奨ポリシーは、セキュリティセンターの組み込みランサムウェア対策ポリシーであり、変更できません。次のパラメーターのデフォルト値が使用されます。

          • 保護ディレクトリ: すべてのディレクトリ

          • 指定したディレクトリの除外::ポリシーから除外されるディレクトリ

          • [非ローカルマウントパス]:OSS オブジェクトまたは NAS ファイルシステムがアタッチされているディレクトリなど、非ローカルマウントパスを除外します。

          • 保護ファイルのタイプ: すべてのファイルの種類

          • データバックアップ開始時間: 00:00 から 03:00 までの範囲内の時点

          • バックアップポリシーの実行間隔: 1 日

          • バックアップデータの保持期間: 7 日

          • バックアップネットワーク帯域幅の制限:

            • Alibaba Cloud サーバー:0 MB/秒

              説明

              値 0 は、帯域幅に制限が課されていないことを示します。

            • Alibaba Cloud にデプロイされていないサーバー:5 MB/秒

        • [カスタムポリシー]:ビジネス要件に基づいて設定できるカスタムポリシー。次のパラメーターを設定する必要があります。[保護されたディレクトリ]、[指定されたディレクトリを除外する]、[保護されたファイルの種類]、[開始時刻]、[バックアップポリシーの実行間隔]、[バックアップデータの保持期間]、[バックアップネットワークの帯域幅制限]。次の表にパラメーターを示します。

          パラメーター

          説明

          保護ディレクトリ:

          バックアップするディレクトリ。有効な値:

          • ディレクトリの指定:セキュリティセンターは、指定されたサーバーの指定されたディレクトリのみをバックアップします。保護ディレクトリのアドレス: に指定されたディレクトリのアドレスを入力する必要があります。例:

            • Windows サーバー:C:\Program Files (x86)\

            • Linux サーバー:/usr/bin/

            最大 20 個のアドレスを入力できます。セキュリティセンターは、保護されたディレクトリアドレスに基づいてバックアップタスクを順番に実行します。保護されたディレクトリアドレスに多数のファイルが保存されている場合、アドレスのデータをバックアップするために、CPU やメモリリソースなどの大量のサーバーリソースが消費される可能性があります。この場合、ディレクトリを複数のアドレスに分割できます。その後、バックアップタスクはアドレスに基づいて順番に実行されます。これにより、各バックアップタスクで消費されるサーバーリソースを削減できます。

          • すべてのディレクトリ:セキュリティセンターは、指定されたサーバーのすべてのディレクトリをバックアップします。

          指定したディレクトリの除外:

          バックアップしたくないディレクトリ。セキュリティセンターには、バックアップする必要のないデフォルトのディレクトリが表示されます。ディレクトリを追加したり、特定のディレクトリを削除したりできます。

          [非ローカルマウントパス]

          OSS オブジェクトまたは NAS ファイルシステムがアタッチされているディレクトリなど、非ローカルマウントパスを除外するかどうかを選択します。

          保護ファイルのタイプ:

          保護するファイルの種類。有効な値:

          • すべてのファイルタイプ:セキュリティセンターはすべてのファイルを保護します。

          • 指定したファイルタイプ:セキュリティセンターは、選択したファイル種類のファイルのみを保護します。ドキュメントや画像などのファイル種類を選択できます。

            重要

            複数のファイル種類を選択できます。セキュリティセンターは、指定されたアセットに対して、選択されたファイル種類のファイルのみをバックアップします。

          データバックアップ開始時間:

          データバックアップタスクを開始する時刻。

          重要

          ランサムウェア対策ポリシーに基づいて保護されたディレクトリのすべてのデータを初めてバックアップする場合、多数の CPU とメモリリソースが消費されます。サービスへの悪影響を避けるため、オフピーク時にデータをバックアップすることをお勧めします。

          バックアップポリシーの実行間隔:

          2 つのデータバックアップタスク間の時間間隔。デフォルト値:1 日。

          バックアップデータの保持期間:

          バックアップデータの保持期間。デフォルト値:7 日。

          重要

          バックアップデータは、指定された保持期間内にのみ保存されます。ビジネス要件に基づいて保持期間を指定することをお勧めします。

          有効な値:

          • 永久:バックアップデータは、セキュリティセンターの有効期限が切れるか、ランサムウェア対策ポリシーを削除するか、指定されたサーバーをランサムウェア対策ポリシーから削除するまで保持されます。

          • カスタム:保持期間を指定できます。有効な値:1 ~ 65535。単位:日。

          バックアップネットワーク帯域幅の制限:

          データバックアップタスクで消費できる最大帯域幅。有効な値:0 ~ 無制限。単位:MB/秒。

          ECS インスタンスのランサムウェア対策ポリシーを作成した場合、内部ネットワーク帯域幅のみが消費されます。Alibaba Cloud にデプロイされていないサーバーのランサムウェア対策ポリシーを作成した場合、パブリックまたは内部ネットワーク帯域幅が消費されます。このパラメーターを設定して、バックアップタスクが過剰な帯域幅を消費しないようにし、サービスの安定性を確保できます。

          • Alibaba Cloud サーバー:0 MB/秒

          説明

          値 0 は、帯域幅に制限が課されていないことを示します。

          • Alibaba Cloud にデプロイされていないサーバー:5 MB/秒

    3. (オプション) セキュリティセンターの有効なバックアップからデータを復元します。

      1. ランサムウェアに感染したインスタンスのシステムディスクとデータディスクのスナップショットを作成します。スナップショットの作成方法については、「スナップショットを作成する」をご参照ください。

      2. セキュリティセンターのバックアップを使用してビジネスを復元します。ビジネスを復元するには、次の手順を実行します。

        復元タスクを作成する

        1. セキュリティセンターコンソールにログインします。上部のナビゲーションバーで、管理するアセットのリージョンを選択します。次のリージョンがサポートされています。中国全世界 (中国を除く)

        2. 左側のナビゲーションウィンドウで、保護設定 > ホスト保護 > ランサムウェア対策 を選択します。

        3. サーバーのランサムウェア対策 タブのランサムウェア対策ポリシーリストで、復元タスクを作成するサーバーを見つけます。

          サーバーを検索するには、ランサムウェア対策ポリシーリストの上にある検索ボックスに、サーバーに適用されているランサムウェア対策ポリシーの名前またはサーバー名を入力します。

        4. 必要なサーバーの [操作] 列で、復元 をクリックします。

        5. 復元タスクの作成 パネルで、次のパラメーターを設定します。[復元されたバージョンを選択]、[復元ファイルを選択]、[リカバリディレクトリアドレス]、[リカバリターゲットマシン]。

        6. クリック [OK]

          復元タスクが作成されると、復元タスクが作成されました メッセージが表示されます。サーバーにログインして、復元されたデータを表示できます。

    ソリューション 2:自動スナップショットポリシーを使用して ECS インスタンスのスナップショットを作成する

    ワークフロー

    手順

    スナップショットは、スナップショットの作成元のインスタンスがランサムウェアに感染した後にデータの復元に使用できるバックアップです。このソリューションは事後復旧機能のみを提供し、アクティブな保護対策に代わるものではないことに注意してください。

    1. インスタンスに接続されているディスクの自動スナップショットポリシーを作成します。詳細については、「自動スナップショットポリシーを作成する」をご参照ください。

    2. (オプション) インスタンスがランサムウェアに感染する前に作成された有効なスナップショットからデータを復元します。

      1. ランサムウェアに感染したインスタンスのシステムディスクとデータディスクのスナップショットを作成します。スナップショットの作成方法については、「スナップショットを作成する」をご参照ください。

        重要

        ロールバック操作は元に戻せません。ディスクをロールバックすると、スナップショットが作成された時点からディスクがロールバックされた時点までに追加、削除、または変更したデータは失われます。誤操作によるデータ損失を防ぐため、ディスクをロールバックする前に、インスタンスに接続されているディスクのスナップショットを作成してデータをバックアップすることをお勧めします。

      2. インスタンスのシステムディスクを再初期化します。詳細については、「システムディスクを再初期化する (オペレーティングシステムをリセットする)」をご参照ください。

      3. インスタンスがランサムウェアに感染する前に作成された有効なスナップショットを使用して、システムディスクとデータディスクのデータを復元します。詳細については、「スナップショットを使用してディスクをロールバックする」をご参照ください。

    ソリューション 3:セキュリティグループやファイアウォールなどのセキュリティポリシーを使用してインスタンスの保護を向上させる

    ワークフロー

    手順

    セキュリティグループやファイアウォールなどのセキュリティポリシーを使用して、ランサムウェアに対する保護機能を向上させることができます。これには、ネットワークセキュリティに関する専門知識が必要です。

    1. セキュリティグループとファイアウォールポリシーのベストプラクティスについて学習し、セキュリティ設定を行います。詳細については、「セキュリティグループのベストプラクティス (インバウンドルール)」および「Windows ECS インスタンスのファイアウォールルールを設定する」をご参照ください。

    2. (オプション) サードパーティ組織に連絡して、ランサムウェアで破損したデータを復号化および復元します。

      1. ランサムウェアに感染したインスタンスのシステムディスクとデータディスクのスナップショットを作成します。スナップショットの作成方法については、「スナップショットを作成する」をご参照ください。

      2. インスタンスのシステムディスクを再初期化します。詳細については、「システムディスクを再初期化する (オペレーティングシステムをリセットする)」をご参照ください。

      3. システムディスクを再初期化する前に重要なデータをバックアップしたり、スナップショットを作成したりしていない場合は、インスタンスのシステムディスクを再初期化した後、サードパーティ組織に連絡して、ランサムウェアで破損したデータを復号化および復元できます。

        警告

        ランサムウェア攻撃後のサードパーティ組織が提供するデータ復号化機能は、Alibaba Cloud とは無関係です。Alibaba Cloud は、データ復旧の範囲とデータ破損の可能性について責任を負いません。

    関連情報

    必要に応じて、次のトピックを参照してください。