日々巧妙化するサーバー攻撃と情報セキュリティの脅威にみなさんはどのような対策をしていますでしょうか?セキュリティの脅威はどこにあるのでしょうか?
NPO 日本ネットワークセキュリティ協会が発表した2017年の報告書※によると、セキュリティのインシデントの中でも深刻な個人情報の漏えいだけを見ても、認識されているだけで386件、519万人分の個人情報が漏えいしたとされています。
また、1件あたりの情報漏えい人数が多いものの原因は、不正アクセスによるものが上位を占めていることがわかります。
※引用:JNSA「2017年情報セキュリティインシデント調査報告書」
また、東京商工リサーチの調査によると、2012年~2016年の5年間で漏えいした個人情報の数は7,545万人に達しています。日本の人口が現在約1億2,600万人なので、日本人の半数以上はこの5年間で個人情報が漏えいした計算になります。
引用:東京商工リサーチ「「上場企業の個人情報漏えい・紛失事故」調査」
このようなインシデントは大企業だけで発生するのもではありません。むしろセキュリティ対策の弱い中小企業は格好の標的になっていたり、踏み台にされることも多く、業種や規模にかかわらず、すべての組織にとって重大なリスクをはらんでいる問題なのです。
今回は、こうした日々深刻化する情報セキュリティに関し、ストレージのセキュリティ技術がどのように対応するかについてご紹介します。
ストレージはデータの格納庫、だからこそ危険…
「データは重要」という認識は、今や企業規模を問わずほとんどの経営者が持っていると思います。ビッグデータ解析によるビジネスチャンスの創出や、コンプライアンスのためのデータ長期保管、あるいは今後はAIを活用するための機械学習の材料としてもデータはますます重要さを増していくことは容易に想像できますね。
保管するデータが増えるほど重要度を増すのが「ストレージ」です。ストレージは様々なデータの格納庫として活用され、さらには重複したデータを排除したり、圧縮したりとコスト削減にも重要な役割を果たしています。
また最近では「クラウドストレージ」という、インターネット上にデータを保管するストレージサービスも人気を得ています。しかしながら、「社内にデータを置ける」という安心感や高性能さから、ストレージ製品も並行して活用されていきます。
そんなストレージの重要な課題の一つといえば、「セキュリティ」です。先述のように情報漏えいの可能性は日常的に潜んでおり、サイバー攻撃の脅威も無視できません。攻撃者からすれば、大量のデータが格納されかつセキュリティ対策が弱い企業は、最高の標的になります。
情報システム管理者も気づかないうちに内部ネットワークに侵入し、場合によっては何の痕跡も残さずに情報を奪ってゆきます。
このように、情報漏えいのリスクが高まっている現代において、情報そのものを格納しているストレージは最も保護すべき部分の一つなのです。
ストレージに備わっているセキュリティ機能とは
年々深刻化する情報漏えい事件に対して、多数のストレージ会社は指をくわえて見ているだけではありません。各社独自のセキュリティ機能によって、企業の重要情報を保護しようという動きが活発になっています。
ストレージ製品の主なセキュリティ機能といえば「データ暗号化」「アクセス認証」「アクセス権限」の3つです。
データ暗号化とは文字通り、ストレージ内に保管したデータを暗号化することです。これは情報漏えいを未然に防ぐというより、実際に情報漏えいした際の対策と言えます。万が一内部要因やサイバー攻撃によって重要情報が漏えいしても、データが暗号化されていればそれを解読しない限り実害は発生しません。
暗号化技術は各社によって異なり、NetAppでは最高レベルの「AES-256暗号化」を採用しています。これは「2の256乗」という天文学的数字で暗号化される技術で、現在最高のコンピュータを用いても、解読には数百兆年かかると言われています。
2つめのセキュリティ機能である「アクセス認証」と「アクセス権限」というのは、第三者によるストレージへの不正アクセスを防ぐためにある機能です。
多くの場合、サイバー攻撃ではユーザーに成りすましてストレージへの不正アクセスを試みます。このときストレージがその不正を判断できれば、情報漏えいなどの事案を未然に防ぐこともできるでしょう。
アクセス認証は正規ユーザー各人に割り当てられたIDによって、正常なアクセスかどうかを判断します。これにより、第三者による不正アクセスをブロック可能です。さらに、アクセス権限によってユーザーごとにアクセスできる範囲を制限すれば、万が一ユーザーアカウントを乗っ取られても、重要情報の漏えいにはつながりません。
以上のようなセキュリティ機能によって、ストレージは常に「安全」が保たれています。
[RELATED_POSTS]
ストレージのセキュリティ機能だけに頼らない
情報セキュリティ技術というのは日進月歩で進化しているので、ストレージ製品にも強力なセキュリティ機能が備わっているのは確かです。しかし、ストレージはあくまでデータの保管をしている部分なので、そこに到達するまでのプロセスでの対策が重要であることは言うまでもありません。
そのため、やはりシステム全体でのセキュリティ対策を設計し、実装することが重要です。例えば、クライアント環境のセキュリティ対策が十分ではなく、不正アクセスを試みるものによってストレージ管理者のコンピュータやアカウントが乗っ取られたらどうなるでしょう?
そのあとの操作は、ストレージからは管理者からの「正当な」要求だとみなしてしまうでしょう。こうなると、ストレージレベルでのセキュリティ対策だけでは不十分であることは明らかです。
アクセス認証もアクセス制限も関係なく、ストレージ内の全ての情報を搾取できてしまいます。データ暗号化の解除キーも管理者からアクセス可能であれば、いくらデータを暗号化しても意味はありません。
このように、ストレージ製品にいくら強力なセキュリティ機能が備わっているからといっても、その他のシステムから侵入されてしまえば、情報漏えいを防ぐことはできなくなってしまいます。だからこそ、ストレージ製品のセキュリティ機能に頼るのではなく、システム環境全体を見通したセキュリティ対策が何よりも重要です。
最近では、クラウド型のセキュリティシステムによって、中小企業でも堅牢なセキュリティ対策を講じれるようになりました。情報漏えいによって多大な被害を受けたり、信頼を損失したりしないためにも、確実なセキュリティ対策を講じていきましょう。
まとめ
攻撃者の目的であるデータを保管しているストレージは、情報セキュリティの観点では最後の到達点です。当然ストレージ製品に関してもセキュリティ機能を比較し、保存するデータによって適切な機能を選択しましょう。
また同時に、システム全体のセキュリティを設計することも重要です。ストレージに到達するまでのネットワーク、クライアント、アプリケーションなどを総合的に対策することによってはじめて効果を発揮します。大きな視点とともにストレージのセキュリティをご検討ください。
もっと見る:クラウドのセキュリティは大丈夫なのか?
