生成AIの未来を支える NetApp ONTAPのセキュリティとシンプルなデータ管理

Transcript

1. © 2025 NetApp, Inc. All rights reserved. ネットアップ合同会社 AWS SE

   Support / Sr. Cloud Solutions Architect - AWS 2025/11/18 データ保護とAI活用の 両立 ～NetAppとAWSで 構築する次世代生成AI インフラ実践セミナー～ 生成AIの未来を支えるNetApp ONTAPの セキュリティとシンプルなデータ管理

2. 2 • 増加するデータへの脅威とNetAppのデータセキュリティ対策 • 生成AIの進化に伴い、データセキュリティの重要性が増しています。本セッションでは、「地球上で最もセ キュアなストレージ」であるNetApp ONTAPをオンプレミス、そしてAWS上で利用して、安心してデータ 活用/データ保護を行う最新の方法を詳しく学べます。 • 生成AIによるデータ活用の課題とAWSのサービス

   • 生成AIを活用する際に直面するデータ管理の課題と、それを解決するためのAWSのサービスについて 理解を深めることができます。特に、Amazon Bedrockとの連携におけるNetApp ONTAPの役割と その利点について学べます。 • NetApp FlexCache によるデータ連携の仕組みとメリット • NetAppのFlexCache技術を利用したデータ連携の仕組みと、そのメリットについて具体的に学ぶことが できます。これにより、生成AIのデータ管理がどのように効率化されるかを理解できます。 本セッションで学べる3つのこと © 2025 NetApp, Inc. All rights reserved.

3. © 2025 NetApp, Inc. All rights reserved. 3 <名前> 藤原

   善基（ふじわら よしき） <所属> ネットアップ合同会社 AWS SE Support / Sr. クラウドソリューションアーキテクト 2024-2025 Japan AWS Top Engineers(Software) AWS Community Builders Storage(2023)/Cloud Operations(2024-2025) <趣味> 技術イベントへの参加・旅行・外食・ロックフェスティバルに行くなど <好きなAWSのサービス> Amazon Elastic Container Service Amazon FSx for NetApp ONTAP AWS 認定 <最近の活動> ・登壇：AWS Summit Tokyo/Japan 2023~2025など ・AWSユーザーグループのストレージ専門支部 Storage-JAWSの立ち上げと運営 ・広島大学 x AWS x NetAppのハイブリッドクラウド生成AIのPoC & AWSブログと NetAppブログ執筆、ランサムウェア対策などのデータ保護施策、EVSを始めとする VMwareワークロードのAWS移行などをリード 自己紹介： Amazon Elastic Container Service Amazon FSx for NetApp ONTAP

4. © 2024 NetApp, Inc. All rights reserved. 4 増加するデータへの脅威と NetAppのデータセキュリティ対策

   ランサムウェア被害の現状 地球上で最もセキュアなストレージとしての取り組み

5. © 2024 NetApp, Inc. All rights reserved. 増え続けるランサムウェア被害に対して、各ストレージベンダーがそれぞれ対策を 打ち出しているが… .3%

   バックアップから被害直近の水準への データ復元に失敗（※1） ※1：出典 ”令和5年におけるサイバー空間をめぐる脅威の情勢等について”, 警察庁,（2024） 5 ※1：出典 ”令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について”, 警察庁,（2024） 37 .3% 調査・復旧に1,000万円以上要した 68 .3% 復旧に1週間以上要した （調査時に復旧作業中のものを除く） 国内企業・団体等におけるランサムウェアによる被害の実態（※1） 39 .5% 侵入経路とされる機器には 最新のセキュリティパッチを適用していた 79 .5% ウィルス対策ソフトでは検出できなかった

6. 地球上で 最もセキュアな ストレージ The Most Secure Storage On The Planet

   © 2025 NetApp, Inc. All rights reserved. 6

7. © 2025 NetApp, Inc. All rights reserved. 7 最高機密レベルの データセキュリティ認証を取得した

   唯一のエンタープライズ ストレージ FIPS 140-2 Commercial Solutions for Classified（CSfC） DoDIN APL Common Criteria ISO/IEC 15408 CISA SECURE BY DESIGN 製造企業は 顧客のセキュリティ課題に当事者意識を持つ 製造企業は 透明性と説明責任を積極的に果たす 製造企業は 機能開発において経営層がリーダーシップを果す

8. © 2025 NetApp, Inc. All rights reserved. 8 • NetAppが提供するストレージ専用設計OS。過去にOS乗っ取り事故無し

   ストレージOS NetApp ONTAPの由来と開発コードネーム On TAP =(ビール樽に) 注ぎ口がついた状態 • レバーをひねるだけですぐに提供可能 • データを簡単に扱え、自在に出し入れできるストレージ ちなみに……ONTAPの開発コードネームはビールの銘柄の名前です 1998 ONTAP 5.1 1998 ONTAP 5.2 1999 ONTAP 5.3 2000 ONTAP 6.0 2001 ONTAP 6.1 2002 ONTAP 6.2 2002 ONTAP 6.3 2003 ONTAP 6.4 2004 ONTAP 6.5 2004 ONTAP 7.0 2005 ONTAP 7.1 2006 ONTAP 7.2 2008 ONTAP 7.3 2011 ONTAP 8.1 2013 ONTAP 8.2 2015 ONTAP 8.3 2017 ONTAP 9.2 2016 ONTAP 9.1 2016 ONTAP 9.0 2009 ONTAP 8.0 2017 ONTAP 9.3 2018 ONTAP 9.4 2019 ONTAP 9.5 2019 ONTAP 9.6 2020 ONTAP 9.7 2020 ONTAP 9.8 2021 ONTAP 9.9.1 2021 ONTAP 9.10.1 2022 ONTAP 9.11.1 2023 ONTAP 9.13.1 2022 ONTAP 9.12.1 2023 ONTAP 9.14.1 2024 ONTAP 9.15.1

9. Amazon FSx for NetApp ONTAP(FSx for ONTAP) の セキュリティ FSx

   for ONTAP • AWSクラウド内で管理される共有ストレージで、ONTAPの一般的な機能を提供 • AWSやサードパーティ製品と連携することで、多層のセキュリティ対策を実現 • AWS CloudTrailによって、監査作業の 監査ログを取得、保管 • 他のAWSサービスと同じ方法で監査ログを 管理できるため、追加の設計等が不要 保護 ランサムウェア対策ソリューション →1つでは十分な対策が難しいため、複数のサービス・機能を組み合わせて対策 • Amazon KMSのデータ暗号化キーによって、 データを暗号化 • データ暗号化キーはAWS KMSによる管理 が可能で、運用負担を軽減 • NetApp vscan機能を利用 • Trend Micro ServerProtect for NetApp、Deep Instinct DSX for CloudがFSx for ONTAPをサポート ウィルススキャン データの暗号化 監査ログ保管 検知・対応 復旧 ONTAP FPolicy Data Infrastructure Insight – Workload Security ONTAP Snapshot 標準機能として利用可能 特定の拡張子以外のファイルについて書込み処理を予め制限する 有償のNetApp提供のSaaS型追加サービス ユーザの動作動向を監視し、機械学習によって高度な検知・対応を実現 ✓外部からだけでなく、内部からの脅威も検知可能 標準機能として利用可能 バックアップをセキュアに保管し、容量に関係なく迅速に復旧 Tamperproof Snapshotにより、管理者権限でも一定期間削除不可能にして保護可能 ONTAP SnapLock 無償化されたオプション：管理者権限でも一定期間変更、削除ができないように保護 Autonomous Ransomware Protection 無償のオプション：ファイルシステムに異常なアクティビティがないかプロアクティブにモニタリングし、 攻撃の可能性が検出されると ONTAPスナップショットとアラートを生成 9 © 2025 NetApp, Inc. All rights reserved. NETAPP CONFIDENTIAL Amazon FSx for NetApp ONTAP

10. • ランサムウェア、データ改竄、管理者アカウントの乗っ取り、などからデータを保護 • 「ハルシネーションが起きた原因を調査して、元データを含めて改善してください」と言われた時に、 ベクトルデータ埋め込みした時の元データが更新されていたり、無くなっていたら何もできないですよね？ 【保護】機械学習のデータソースの改竄や破壊からデータを保護し、 追跡可能にする機能 データソースを保護することにより、生成AIの出力結果をエビデンスとともに 原因追及し、アカウンタビリティを果たすことができます 1.

    悪意のあるクライアントからのデータ改竄や削除を防止 「SnapLockボリューム」 ✓ 書き込んだデータは読み出せるが変更が不可能なWORM機能 ✓ 手動または自動でファイルをコミット ✓ 手動コミット:ファイルを読み取り専用にすることでWORMにコミット ✓ 自動コミット:ファイルが自動コミット期間中に変更されなかった場合WORMにコミット ✓ SnapLock ボリュームが必要 ✓ SnapMirrorに対応 FlexVolume/FlexGroup Read/Write可能ボリューム 2時間前のSnapshot 4時間前のSnapshot 6時間前のSnapshot ロックされたsnapshotを生成 R/W Volume 指定期間内 書き換え 削除不可 SnapLockボリューム 読み取り専用に変更で手動コミット attrib +r document.txt 一定期間変更操作なし 自動コミット FlexVolume/FlexGroup Read/Write可能ボリューム R/W Volume バックアップストレージにて WORM化 SnapMirror SnapVault 10 2. 管理者アカウントの乗っ取りや誤操作からデータを保護 「Tamperproof Snapshot」 ✓ 管理者でも一定期間削除できないSnapshotを生成 ※ONTAP 9.12.1以降 ✓ FlexVolume/FlexGroupのSnapshotをロック ✓ SnapMirrorに対応 「SnapLock for SnapVault」 ✓ バックアップストレージでSnapshotコピーをWORM化 ✓ ソース側FlexVolume/FlexGroupに対応 ※FlexGroupはONTAP 9.12.1以降 © 2025 NetApp, Inc. All rights reserved.

11. © 2025 NetApp, Inc. All rights reserved. 11 ◼ NetApp

    ランサムウェア ソリューションの特徴 • 「バックアップ&リカバリ」だけで終わらない 包括的なアプローチを提供 • ハイブリッド マルチクラウド環境における 一括した対応を実現 • Ransomware Recovery Guarantee Programの提供 ◼ ストレージのみならず ユーザーも 検知と対応 • 攻撃を行うユーザーを特定することで、被害の拡大防止と 事後のフォレンジックに役立つ情報を提供 ◼ Data Infrastructure Insights と ONTAP 併用のメリット • 2つのアプローチを同時に適用し、 システムと信頼の2つの回復性をより強化 • 最後の砦である ストレージ自身が防御し、 攻撃ユーザーを検出することで被害の拡大を抑止 • フォレンジック（デジタル犯罪捜査）の証跡を迅速に提供することで、 事件発生後の要因調査・信頼回復をも加速 • 対策に必要となる全ての機能をカバーするポートフォリオの提供 • Cyber Resiliency: 企業組織の回復力を強化する 【検知・対応・復旧】 NetAppのラン サムウェア対策の鍵とは? ファイル（書き換え頻度） を検知して対処する ONTAP （Autonomous Ransomware Protection） • データの暗号化処理を自動的に検出し、 緊急バックアップの取得し、「データを守る 防御策」を適用 • イミュータブル 且つ 攻撃耐性の強い バッ クアップによりデータの確実な復旧を実現 Storage Detection & Response デバイス上で検出と対処 ユーザー を検知して対処する Data Infrastructure Insights （Storage Workload Security） • ユーザーのデータアクセス傾向をモニタリング し、「通常と異なる動作」を AIにより検出 • データファイルへのアクセスパターンから ランサムウェア攻撃を行うユーザーを検出 し 対応策を発動 • データの持出し、大量削除などを検出。 被害拡大を防ぎ、フォレンジックのための レポートを提供 User Behavior Analysis ユーザ行動分析

12. © 2025 NetApp, Inc. All rights reserved. 12 Autonomous Ransomware

    Protection / AI (ARP/AI)機能 【検知】ストレージ内蔵のデータ改ざん検知機能 暗号化 改ざん攻撃検知時 ONTAPがSnapshot を自動的に作成 NetApp ONTAPに搭載されたネットアップ独自の ランサムウェア対策機能 • 複数のシグナルによる判定 エントロピー・ファイルアクティビティ・ファイルヘッダー ランサムウェアからの攻撃を検知 • 正常、異常含めた170万ファイルをトレーニングした モデルデータを使用 *ONTAP 9.16.1時点 • 攻撃検出時には自動的に ストレージスナップショットを取得 • ONTAP 9.17.1からSAN(ブロックストレージ)も対応 99% + 精度 (Alerts are accurate) 再現率 (Detecting every attack) 欧州の研究機関 SELabsによる 検証結果 ONTAP 9.16.1にて検証 ONTAPの機能で データ書き込みを監視 Snapshot データ Amazon FSx for NetApp ONTAP

13. © 2025 NetApp, Inc. All rights reserved. 13 ランサムウェア攻撃による被害規模は、発見までに時間がかかるほど大きくなる 99%+の精度を誇るリアルタイム検出は効果的な復旧に不可欠

    秒 分 時間 日 二次ランサムウェア対策 (他のベンダー) 影響を受けるデータの量 ランサムウェア対策なし

14. © 2025 NetApp, Inc. All rights reserved. 14 • 「被災してしまうことを前提して、如何に被害を最小化し早く立ち直るか」

    というアプローチ。 • システムの最終防衛線「ストレージ」 【復旧】 「セキュリティ」に、「レジリエンス」 の観点を サイバーセキュリティ Cyber Security 「防災」、「防御力」 に焦点 狭義の サイバーレジリエンス Cyber Resilience Cyber Security - NIST Glossary “The ability to protect or defend the use of cyberspace from cyber attacks.” NIST SP 800-30 Rev. 1 NIST SP 800-39 Cyber Resiliency - NIST Glossary “The ability to anticipate, withstand, recover from, and adapt to adverse conditions, stresses, attacks, or compromises on systems that use or are enabled by cyber resources.” NIST SP 800-172 NIST SP 800-160 Vol. 2 Rev. 1 「減災」、「復元力」に焦点

15. AWSとNetAppの日本での「サイバーレジリエンス」の 取り組み • FSx for ONTAPだけでも、かなりの数のブログが日々出ていて、AWSとNetAppで協業して日本語へ翻訳しています。 • AWSブログに、サイバーレジリエンスに関するシリーズの記事をNetAppが寄稿しています。操作例も記載してありますので、 ぜひ他のAWS Storageブログと合わせてご覧ください。

    【寄稿】サイバーレジリエンスとはなにか？ 【寄稿】Amazon FSx for NetApp ONTAP イミュータブルバックアップの 利用でランサムウェア対策の強化 【寄稿】そのデータ復旧できますか？ https://aws.amazon.com/jp/blogs/news/cy ber-resilience-written-by-netapp-2024/ https://aws.amazon.com/jp/blogs/news/im mutable-backup-written-by-netapp-2024/ https://aws.amazon.com/jp/blogs/news/fe asibility-of-data-recovery-written-by- netapp-2024/ 15 © 2025 NetApp, Inc. All rights reserved.

16. © 2025 NetApp, Inc. All rights reserved. 16 生成AIによる データ活用の課題と

    AWSのサービス データ格納場所によるアクセス性 生成AIで活用するデータの保護、トレーサービリティー

17. On-premises AWS Cloud Amazon EC2 Amazon AppStream 2.0 Amazon WorkSpaces

    Amazon ECS Amazon EKS SnapMirror AWS Direct Connect or AWS Site-to-Site VPN NFS, SMB, iSCSI AWS Transit Gateway Client On-premise NetApp Amazon FSx for NetApp ONTAP バックアップ SSDのPrimary Tierと、Capacity Pool Tierで ストレージを階層化 エンタープライズクラスのパフォーマンス (数GB/s スループット, 100K以上の IOPS, ms未満のレイテンシー) マルチプロトコル対応 (NFS, SMB, iSCSI) Thin Provisioningとデータ削減機能 (重複排除、圧縮、データコンパクション) データ保護 (SnapLock, Tamperproof Snapshot, ARP)、 複製機能 (SnapMirror, Snapshot, SnapVault, FlexClone)、キャッシュ連 携機能(FlexCache) Storage Virtual Machine(SVM)での複数ドメイン管理をサポート サービスに統合されたバックアップ(Amazon FSx Backups) 保管時と転送時の暗号化 3rd Partyのウィルス対策ソフトや監査用ソフトウェアとの統合 フルマネージド ONTAPとの統合 AWSサービスとの連携 FlexCache Amazon VPC Red Hat OpenShift Service on AWS 17 データ活用の一歩：FSx for ONTAPの概要とデータ保護と連携 AWS環境にとどまらず、オンプレミス環境とのデータ連携を含めたハイブリッドクラウドでの最適化が可能 Amazon Elastic VMware Service © 2025 NetApp, Inc. All rights reserved.

18. © 2025 NetApp, Inc. All rights reserved. 18 • 皆さんの業務に必要なデータは、生成AIで活用可能な状況になっていますか？

    • 例えば、皆さんの作業スペースやツールは整理整頓されて、すぐに活用できる状態になっていますか？ →データ活用の第一歩として、データ管理の方法を統一してアクセス可能にしましょう！ データの格納場所によるアクセス性の課題 作業スペースが整理されていない状態

19. © 2025 NetApp, Inc. All rights reserved. 19 生成AIが活用可能なデータ基盤 •

    具体には、こんな課題はありませんか？ →「利用するサービス、ファイルによってアクセス方法がバラバラ」 「どこにデータが保管されているのか不明」「データを残しておく必要があるが、どこに保管すべきかわからない」 →データのフォーマットや利用方法を問わず、いつでも安心して保管できて、すぐ活用可能なデータ基盤を！ データの格納場所によるアクセス性の課題 利用するサービス、ファイルによって アクセス方法がばらばら 保管場所が不明 ？ SMB NFS iSCSI Amazon FSx for NetApp ONTAP データを残したいが、 どこに保管すべきか わからない

20. • FSx for ONTAPの有無による、ファイルストレージ/ブロックストレージでのデータ連携方法の違い • IaaS上でプロトコルごとにセルフマネージド、フルマネージドサービスを設計するデータ連携・運用・コストの課題を解決 • FSx for ONTAPでより効率的かつ高速なデータ連携のハブ基盤を手に入れることができる→野良NAS統合、野良SAN統合

    マルチプロトコル：データのプロトコル、構造を問わずに移行設計、連携を実現 SMB or NFS Without FSx for ONTAP With FSx for ONTAP ファイルサーバー on Amazon EC2 Amazon Elastic File System(EFS) Amazon FSx for Windows File Server クライアント クライアント クライアント NFS SMB 用途やプロトコルに応じて使い分けが必要 サービス間のファイル共有方法の設計が必要 クライアント クライアント クライアント Amazon FSx for NetApp ONTAP マルチプロトコル対応のFSx for NetApp ONTAPで集約 重複排除等の効率化機能に加え、FlexCloneによるデータ複製や共有も容易 SMB or NFS NFS SMB クライアント ＋ iSCSI マルチプロトコル対応 ONTAP独自の効率化機能 サ ー ビ ス 層 プ ロ ト コ ル 層 プ ロ ト コ ル 層 サ ー ビ ス 層 ＋ ONTAP S3 20 アプリケーション on Amazon EC2 Block Amazon EBS © 2025 NetApp, Inc. All rights reserved.

21. • SnapMirror/SnapVault により、オンプレミスからの移行、AWSのリージョンやAvailability Zoneを跨ぐ データの複製において、転送容量も小さく、複製データの容量も小さくすみます→スモールスタートが可能 • NetApp Consoleを利用した場合、主な操作は Drag &

    Drop と 数クリックするだけ!! →利用者はONTAP CLI/APIの知識不要 【データ保護/可搬性】：データ連携機能用に、データの保護はもちろん、 データを小さくしたまま拠点間やAWSクラウドへの移行、連携可能 Write Anywhere File Layout Write Anywhere File Layout 重複排除 データ圧縮 SnapMirror SnapVault 非同期転送 SMB/NFS共有 FlexVolume SMB/NFS共有 FlexVolume 21 © 2025 NetApp, Inc. All rights reserved. Amazon FSx for NetApp ONTAP

22. © 2025 NetApp, Inc. All rights reserved. 22 NetApp FlexCacheによる

    データ連携の仕組みとメリット AWS上でのハイブリッドクラウド構成でのデータ活用

23. ハイブリッドクラウド構成でのNetApp ONTAPのメリット • NetAppの価値を最大限活用 - データ移動に伴うインフラコスト、オペレーションコスト（人的コスト）の 大幅削減が可能 • 特にFlexCache機能を使ったハイブリッドクラウドデータキャッシュが有効（完全にデータを同期する機能も利用可能） •

    ただし、今回のコスト(容量)シミュレーションでは人的コストの比較は盛り込まず（盛り込むとよりコスト効果が高くなる） • Amazon BedrockがオンプレミスのNetAppのデータを動かす事なく、FSx for ONTAPを介して利用可能に オンプレミス Data Source AWS Cloud Cache Data オンプレの中身がそのまま キャッシュ側で見える キャッシュ側は1/10程度 の容量でもOK オンプレのアクセス権情報 はそのまま保持 23 © 2025 NetApp, Inc. All rights reserved. Amazon FSx for NetApp ONTAP Amazon Bedrock

24. ハイブリッドクラウド構成で「スモールスタート」を実現できる理由 • NetAppの価値を最大限活用し、インフラコスト、運用コストを最適化。二重管理となる部分の最小化 • サーバーレスのサービスである、Amazon Bedrockまでのデータパイプラインを最適化 AI基盤モデル アプリケーション ベクトルDB データ

    データソース ユーザー Virtual private cloud (VPC) AWS Cloud ナレッジベース メタデータ（アクセス権情報など）を 保持したままの埋め込みデータ 変更されたデータブロックの みが転送されるためネット ワーク転送量を最小化 さらにキャッシュにより データ量を劇的に削減 オリジナル データ 重複排除や階層化等を活用 しクラウド側データ量を削減 ② ① ② 24 © 2025 NetApp, Inc. All rights reserved.

25. • ブロック単位でキャッシュを行う、ネットワーク効率、ディスク効率に共に優れた書き込み可能なキャッシュソリューション →AWS DataSync、robocopyなどのデータ転送はファイル単位のため、転送のたびにファイルに一部変更があっただけでも データを全量転送するため効率が悪くデータ同期にコストと時間がかかる • キャッシュボリュームにアクセスすることでオリジンから離れた場所でも高速な読み込みアクセスが可能 • 現行ONTAPではSMB (Windows)

    / NFS (Linux)の両方で利用可能 • FAS、AFF、ONTAP Select、Cloud Volumes ONTAP、FSx for ONTAPで利用可能 • キャッシュ側でも、オリジンにあるフォルダ、ファイルは透過的にリアルタイムに追加、削除等の変更が見える →ファイルロックによる強整合性で、キャッシュ側で加えた変更も元データに書き戻されて反映されるため、データの不整合 や分岐無し。 データアクセスを高速化できる書き込み可能なキャッシュソリューション FlexCache概要：オンプレミスのONTAPとFSx for ONTAPを 透過的に繋げる FlexCache ボリューム オリジン（オリジナル） ボリューム クライアント・ アプリケーション 25 © 2025 NetApp, Inc. All rights reserved. Amazon FSx for NetApp ONTAP Amazon FSx for NetApp ONTAP

26. • キャッシュボリュームにアクセスすると常にオリジンと同じものが見える FlexCacheを利用した際の見え方 FlexCache オリジン データがキャッシュされていなくても オリジンと同じフォルダ、ファイル構造が見える © 2025 NetApp,

    Inc. All rights reserved. 26

27. 01：強固なデータセキュリティ、保護の実現 • NetApp ONTAPのセキュリティ機能により、生成AIのデータを「地球上で最もセキュアなストレージ」で 管理できる方法、実践に活かせる機能をご紹介しました。 02 ： AWSサービスとの連携による課題解決 • AWSの生成AIサービス（特にAmazon

    Bedrock）とNetApp ONTAPの ソリューションを組み合わせることで、データ管理の課題を効果的に解決する方法をご紹介しました。 03：効率的なデータ連携と管理 • FlexCacheを活用することで、生成AIのデータ連携を効率化し、シンプルかつスムーズに管理するための 具体的な手法をご紹介しました。 © 2025 NetApp, Inc. All rights reserved. 27 KEY TAKEAWAYS

28. © 2025 NetApp, Inc. All rights reserved. NETAPP CONFIDENTIAL THANK

    YOU