Synology・QNAP の不変スナップショット｜NAS のランサムウェア対策の手順

はじめに

ファイルサーバーとして使う NAS は、ランサムウェアの主要な標的です。近年の攻撃は本番データの暗号化だけでなく、復旧の頼みであるスナップショットやバックアップの削除まで狙います。NAS の通常のスナップショットは管理者が削除できるため、管理アカウントの認証情報が漏れると、世代ごと消されてしまうおそれがあります。

そこで有効なのが、保持期間中は管理者でも削除・変更できない不変スナップショットと WORM です。Synology と QNAP は、この仕組みを OS の機能として提供しています。ただし対応する OS・機種・ファイルシステムに前提があるため、まずは自分の機種が対応するかの確認から始めるのが安全です。本記事は、検証機を用意せず公式ドキュメントに沿って汎用的な手順を解説します。対策全体の位置づけは上位記事『ランサムウェア対策の基本と全体像｜3-2-1-1-0 で守るバックアップ設計』を、設計の考え方は『ファイルサーバーのランサムウェア対策｜不変バックアップ設計の基礎』をあわせて参照してください。

結論を先に述べると、ランサムウェア対策としての要点は、「保持期間中は管理者でも削除できない」不変スナップショットまたは WORM を有効にすることです。ただし Synology は DSM 7.2 以降 ＋ Btrfs ＋ 対応機種、QNAP は QuTS hero（不変スナップショットは h6.0 以降）という前提があるため、対応可否の確認が出発点になります。

不変スナップショットと WORM の基礎（NAS の場合）

設定に入る前に、似て非なる 2 つの仕組みと、2 つのモードを整理します。ここを押さえると、自社の要件に合った設定を選びやすくなります。

スナップショットと WORM フォルダの違い

スナップショット

共有フォルダやボリュームの、ある時点の状態を記録する仕組みです（Btrfs／ZFS のコピーオンライトを利用）。高速かつ省容量で、誤削除や暗号化からの復元に有効です。ただし通常は管理者が削除できます。

不変スナップショット

保持期間中は、管理者や侵害された管理アカウントであっても削除・変更できないスナップショットです。世代（復旧ポイント）そのものを守ります。

WORM フォルダ

共有フォルダ自体を「書き込み一度・読み取り専用」にし、フォルダ内のファイルの改ざん・削除を防ぎます。ファイルの実体を守る層で、スナップショットとは別のレイヤーです。

Enterprise モードと Compliance モードの違い

Synology・QNAP とも、WORM フォルダに 2 つのモードがあります。

Enterprise（企業）モード

保持の保護はかかりますが、管理者はフォルダ / ファイルを削除できます。運用の柔軟性を残したい場合に向きます。

Compliance（コンプライアンス）モード

保持期間中は管理者でも削除できません。最も堅牢ですが、誤って長期に設定すると取り消せない点に注意が必要です。

参考: QNAP「Immutable Storage」
“Immutable storage prevents any changes once data is written”
（イミュータブルストレージは、一度書き込まれたデータの変更を一切防ぐ）
https://www.qnap.com/en/solution/immutable-storage

共通の前提: 対応機種・OS・ファイルシステムを確認する

不変機能は OS とファイルシステム、対応機種に強く依存します。設定の前に、必ず自分の環境が対象かを確認します。

Synology: DSM 7.2 以降 ＋ Btrfs ＋ 対応機種

Synology では、DSM 7.2 以降で WriteOnce 共有フォルダと Immutable Snapshots が利用できます。前提として、ボリュームが Btrfs であること、対応機種であること（公式の対応機種一覧 sy.to/wormmodels で確認）が必要です。スナップショット機能自体は、無料の Snapshot Replication パッケージで利用します。

参考: Synology「DiskStation Manager 7.2」
“Encrypted Shared Folders and Hybrid Share Folders currently not supported”
（暗号化共有フォルダと Hybrid Share フォルダは現在サポート対象外）
https://www.synology.com/en-us/DSM72

QNAP: QuTS hero（ZFS）＋ 対応機種（不変スナップショットは h6.0 以降）

QNAP では、WORM フォルダや不変スナップショットは QuTS hero（ZFS ベース）系の機能です。EXT4 ベースの QTS のみに対応した機種では、同等の機能を利用できない場合があります。不変スナップショットは QuTS hero h6.0 以降で全 QuTS hero モデル向けに提供され、WORM フォルダはフォルダ作成時に Enterprise／Compliance を選んで設定します。まずは、自分の機種が QTS と QuTS hero のどちらで動作しているかを確認しておくと安全です。

Synology の設定手順

Synology では、世代を守る「イミュータブルスナップショット」と、ファイル実体を守る「WriteOnce 共有フォルダ」の 2 つを設定できます。前提として、ボリュームが Btrfs であること、対応機種であることを確認しておきます。

不変スナップショットを有効化する（Snapshot Replication）

1. パッケージセンターから「Snapshot Replication」（無料）をインストールして開きます。
2. 保護したい共有フォルダ（または LUN）を選択します。
3. 「設定」→「スケジュール」で「スナップショットスケジュールを有効化」にし、取得する時刻と間隔を設定します。
4. 「イミュータブルスナップショットを有効化」を選び、保護期間を指定します（公式の推奨は 7〜14 日です）。
5. 設定を保存します。保護期間中、そのスナップショットは削除できなくなります。
6. 「スナップショット」→「スナップショットリスト」で盾アイコンにカーソルを合わせると、残りの保護期間を確認できます。

なお、世代をどれだけ残すかは「設定」→「保持」で別途指定できます。

参考: Synology「スナップショット – Snapshot Replication」（ナレッジセンター）
“this snapshot cannot be removed by any means”
（このスナップショットはいかなる方法でも削除できなくなる）
https://kb.synology.com/ja-jp/DSM/help/SnapshotReplication/snapshots?version=7

WriteOnce 共有フォルダ（WORM）を併用する

ファイル実体そのものを保護したい場合は、WriteOnce 共有フォルダを使います。

1. 共有フォルダの作成ウィザードで、新規の共有フォルダを作成します。
2. ウィザードの追加のセキュリティ対策で「この共有フォルダを WriteOnce で保護」を選びます。
3. モードを選びます。Enterprise（企業）モードは指定管理者による上書きを許し、Compliance（コンプライアンス）モードは管理者を含め削除できません。
4. 自動ロックを設定します。ロックまでの猶予（即時またはタイマー）、保持期間（日／年、または無期限）、ロック状態（Immutable＝変更・削除不可／Append-only＝末尾への追記のみ可）を指定します。
5. 作成を完了します。

Compliance モード ＋ 長期や無期限の保持は取り消せません。最初は Enterprise モードや短めの保持で挙動を確認することをおすすめします。また、WriteOnce 共有フォルダはスナップショットからの復元に対応していない、といった制約もあるため、運用前に公式仕様の確認をおすすめします（参考: https://kb.synology.com/en-global/WP/WriteOnce_White_Paper ）

QNAP の設定手順

QNAP では、WORM フォルダと不変スナップショットを利用できます。いずれも QuTS hero（ZFS）系の機能で、EXT4 ベースの QTS のみの機種では利用できない場合があります。

WORM フォルダを作成する（QuTS hero）

1. 共有フォルダの作成時に、WORM を有効にします（WORM はフォルダ作成時にのみ設定できます）。
2. モードを選びます。Enterprise モードは管理者による削除を許し、Compliance モードは管理者でも削除できません（ストレージプールごと削除する場合を除きます）。
3. 保持期間を設定してフォルダを作成します。

（参考: https://www.qnap.com/en/solution/immutable-storage ）

不変スナップショットを有効化する（QuTS hero h6.0 以降）

不変スナップショットは、QuTS hero h6.0 以降で全 QuTS hero モデル向けに提供されています。スナップショットに保護期間を設定してロックすると、その期間中は変更・削除ができなくなります。

参考: QNAP「QuTS hero h6.0」
“Immutable Snapshots lock files from modification or deletion during a set protection period”
（イミュータブルスナップショットは、設定した保護期間中、ファイルの変更・削除をロックする）
https://www.qnap.com/en/operating-system/quts-hero/6.0.0

具体的なメニュー構成はファームウェアのバージョンによって異なるため、設定時は公式ドキュメントの手順に従うことをおすすめします。h6.0 は比較的新しいため、お使いの機種の対応状況とファームウェアのバージョンを事前に確認しておくと安心です。

復旧の確認とオフサイトへの展開

設定が終わったら、実際に戻せることの確認と、3-2-1-1-0 へつなぐオフサイト展開まで押さえます。不変スナップショットや WORM はローカルの即時復旧層であり、それ単体ではオフサイトの要件を満たさないためです。

スナップショットからのファイル単位の復元

スナップショットは時点コピーなので、共有フォルダ全体に加えて、ファイルやフォルダ単位でも復元できます。Synology では Snapshot Replication のスナップショットリストから対象を選んで復元するか、File Station から特定時点のファイルを取り出します。QNAP では Storage & Snapshots のスナップショットマネージャーから、対象のスナップショットを選んで復元します。

レプリケーションで別 NAS・クラウドへ（3-2-1-1-0 への接続）

ローカルの不変スナップショットや WORM は「2 種類のメディア」「即時復旧」を担いますが、同じ筐体にある以上、「オフサイト」と「独立した障害ドメイン」は別に用意する必要があります。

Synology

Snapshot Replication で別の Synology NAS へレプリケートできます。別拠点やクラウドへは、Hyper Backup や Cloud Sync を使って S3／Wasabi（Object Lock）へ転送する構成が取れます。

QNAP

Snapshot Replica で別の QNAP NAS の Snapshot Vault へ複製できます。Hybrid Backup Sync を使って WORM フォルダやクラウドへバックアップする方法もあります。

参考: QNAP「Snapshot」
“Snapshot Replica replicates snapshot files to the Snapshot Vault on the backup NAS”
（Snapshot Replica は、スナップショットファイルをバックアップ用 NAS の Snapshot Vault に複製する）
https://www.qnap.com/en/software/snapshots

ここで重要なのは、レプリケーション先も不変化（Object Lock や WORM）しておくことです。複製先がそのまま書き換え可能だと、そこも攻撃対象になり得ます。クラウド側に不変なオフサイトコピーを置く具体的な構成は、関連記事『オンプレ NAS と AWS S3 でランサムウェア対策｜3-2-1-1-0 の構成例』や『AWS S3 Object Lock でランサムウェア対策｜設定手順と注意点』を参照してください。

まとめ

NAS をランサムウェアから守る要点は、管理者でも削除できない不変スナップショットや WORM を有効にし、ローカルの復旧ポイントを保護することです。さらに、その複製を不変化したうえでオフサイトに置くことで、3-2-1-1-0 の設計につながります。

• 通常のスナップショットは管理者が削除できる
• 不変スナップショットは保持期間中は誰も削除できない
• WORM フォルダはファイル実体の改ざん・削除を防ぐ
• Enterprise は管理者が解除でき、Compliance は不可逆
• Synology は DSM 7.2 ＋ Btrfs、QNAP は QuTS hero が前提
• 復元テストで戻せることを定期的に確認する
• 複製先も不変化したうえでオフサイトに置く

以上、最後までお読みいただきありがとうございました。