データストレージとセキュリティ
組み合わせで基幹業務を守る
Storage Magazine 2022年2月号より
Paul Crocetti
サイバー攻撃が増大する現在、IT管理者は自社のデータストレージ・セキュリティに目を向けるべきだ。将来の攻撃への備えとして、数多くの先見的方法が存在している。
セキュリティ、セキュリティ、セキュリティ。
「貴社にとって、最も緊急を要する課題は何ですか?」と聞かれた時、多くのデータストレージ管理者がこう答える。
データセキュリティが最重要課題になるのは真っ当なことであり、それには数多くの理由がある。パンデミックが職場に与えた影響とそれに続くリモートワークへのシフトは、多くの人々にサイバーセキュリティの悪夢をもたらした。ホームネットワークは、職場のネットワーク程安全ではないにもかかわらず、ユーザーが増大したストレスと不安の中で、
絶えず新型コロナウイルスの情報を求めたため、セキュリティのガードが緩くなり、サイバー攻撃者はその隙をついてきた。
では、データセキュリティとセキュリティのベストの組み合わせを作るには、どうしたらよいだろう?実は、答えは数多くあるのだ。
ストレージセキュリティの現状
「攻撃者は頭が良く、創造力に富み、資金力もあるので、IT部門が相手の出方を見越して防御するのは難しくなってきています。ランサムウェア・レジリエンス戦略は、様々な分野のITに広がっていますが、その企業にとって本当に固有のものでなければなりません。」Evaluator Groupのシニア・アナリストKrista Macomberはこう語る。
とはいえ、データストレージとセキュリティの課題は、ランサムウェアだけではない。
Continuity Software社は、自社の自動化リスク検知エンジンを使って400以上のエンタープライズ・ストレージ機器を分析した後、2021年10月に『ストレージセキュリティの現状についてのレポート』を出版した。
同社は、6300種類のセキュリティ問題を検知し、平均的なエンタープライズ・ストレージ機器には15の脆弱性(そのうち3つは高度の、即ち重大なリスク)があることを発見した。
最も多く見られた脆弱性は、以下の通り。
- 脆弱なプロトコルの使用
- 一般的な脆弱性や露出の放置
- アクセス権限の問題
- 無防備なユーザー管理や認証
- 不十分なロギング(ログの記録)
この他に、
- ランサムウェア保護機能の誤用
- ストレージソフトウェア・サプライチェーン管理における脆弱性
も問題として挙げられた。
「エンタープライズ・ストレージのセキュリティは、コンピュート(計算機)やネットワークのセキュリティに比べて、はるかに遅れている。このギャップは深刻であり、出来る限り早急に解決すべきである。データセントリックの攻撃がより高度になり、規制が強化されるにつれて、実効性のない解決策によって、企業が被る影響は急速に増大している。」と同レポートは述べている。
訳注1:二重脅迫とは、暗号化したデータの復元に金銭を要求(1番目の脅迫)、それに応じない場合は、企業の内部情報を公開すると脅す(2番目の脅迫)ランサムウェアの攻撃方法。
訳注2:ランサムウェア・アズ・ア・サービスとは、RaaSとも呼ばれ、技術力のない攻撃者が、利用料金を払えば簡単にランサム攻撃ができるように作られたパッケージ。
「ストレージセキュリティの立ち遅れは、先手を打つのではなく後手に回る手法を選んできたこと、協力体制と当事者意識の欠如、まともなリスク検知ツールの不在によるものです。」とContinuity SoftwareのCTO、Doron Pinhas氏は語る。
「以前は、データの完全性、ストレージシステム、バックアップシステムに対する攻撃は稀でした。しかし、近年我々は急激な変化が起こっていることに気づきました。ランサムウェアが増加し始め、データをターゲットとする、さらに警戒を要する攻撃が出てきたのです。」とPinhas氏は語る。
Pinhas氏が着目するのは、Contiや Hive*訳注3のようなギャング達が、データバックアップを破壊できる一方で、別な犯罪者たちが、SolarWinds攻撃で行ったようなサプライチェーンをハイジャックできる技術を持っている点だ。
*訳注3どちらもRaaS(ランサムウェア・アズ・ア・サービス)の犯罪集団。
Pinhas氏はレポートの中で、データストレージとセキュリティの問題に共通する2つの傾向を指摘する。
「すべては意識と教育の欠如による結果です。自動でのリスク検知と問題点の改善によって、これら全ては防げたかも知れないのです。」Pinhas氏はこう語る。
ストレージセキュリティは攻めの姿勢で
データストレージとセキュリティの問題で企業が先手を取るための手段は数多くある。
企業が、自身に適切な質問をすることもその一つだ、とPinhas氏は言う。例えば、ランサムウェア攻撃およびストレージシステムとバックアップシステムに直接攻撃を受けた際、復旧できる自信はあるのか、のような。
「質問は『もし~が起きたら』ではなく『~が起きた時』という前提でなされるべきです。攻撃が成功した時、ストレージとバックアップは、防衛の最後の砦なのです。」とPinhas氏は語る。
Pinhas氏は企業に対し、以下のようなアドバイスをしている。
- 知識のギャップを埋めるために、米国国立標準技術研究所(NIST)が発行する『ストレージ基盤のためのセキュリティ・ガイドライン』のようなストレージとセキュリティについての資料を参照する。
- コンサルタントを雇いストレージとバックアップを対象としたセキュリティ評価を行う。
- 自社の環境について
▼ 分析
▼ ストレージとバックアップのためのセキュリティ基準を定義
▼ プランの更新
▼ 責任の所在の明確化
▼ 自動化などの管理の実装
を行う。
Evaluator GroupのMacomber氏は、バックアップ環境において、マルチファクター認証、役割に基づいたアクセス制御、重大な管理上の行為については二人の合意を必要とするシステムなど、強力なアクセス制御の実装を勧めている。
「データ恐喝が増えてきているので、これらの事は特に重要です。」と彼女は語る。
「保存中や移動中のデータの暗号化および不変性も、チェックすべきポイントです。ベンダー数社が最近発売したクラウドベースの保管庫は、テープの代替ストレージを目指しており、隔離とエアギャップ機能を持ちながら、より高速なリカバリ時間と管理上の混乱の低減を提供しています。これらの製品は、間違いなく検討に値します。」と彼女は語る。
Continuity Softwareの前述のレポートによれば、ストレージ、コンピュート、ネットワーク、というIT基盤のカテゴリーの中で、ストレージは潜在的に最も高い価値を有している。
「コンピュート基盤やネットワーク基盤への侵入や被害は、(ダウンタイムにつながる)重大なサービスの途絶となりうるのに対し、ストレージに対する攻撃は、それどころでは済まない、完全に別種の脅威となる。データの被害が一定程度広範なものだった場合、ほとんどの企業は壊滅的な痛手を被ることになる。」と同レポートは述べる。
北米を対象とした『TechTarget2022年IT優先度調査』において回答者の62%が、パンデミックによって起こった変化の故に、2022年はセキュリティがより重要になる、と答えたのは、驚くにはあたらない。この数字は、次に回答が多かった項目(クラウドコンピューティング)の倍だった。その他のアナリストのレポートも同様の意見を示している。
サードパーティのデータストレージとセキュリティ製品については、ストレージ・マガジンとSearchStorageの2021年プロダクト・オブ・ザ・イヤーに必要な情報が全て載っている。
我々の審査員は、5つの製品部門全てにおいて、ベンダーが主要なセキュリティ機能を追加したのを見ているが、最も目立ったのは、いくつかのランサムウェア対策機能が追加された、バックアップおよびDRのハードウェア、ソフトウェア、サービス部門だ。
ここで示唆された全ての事を行うのは現実的ではないかもしれないが、将来の事故に備えるために、出来ることはやるべきだろう。
著者略歴:Paul Crocettiは、TechTarget IT基盤および戦略グループのシニア・サイト・エディター。
Copyright 2000 - 2022, TechTarget. All Rights Reserved, *この翻訳記事の翻訳著作権は JDSF が所有しています。
このページに掲載されている記事・写真・図表などの無断転載を禁じます。