このページの本文へ

ReadyNASをオフィスでとことん活用する!実践使いこなし術 ― 第2回

「暗号化ボリューム」で本体の盗難などによる情報漏洩を防ぐ

暗号化+USBキーで、ReadyNAS上のデータに“鍵”をかける

2015年04月15日 14時00分更新

文● 大塚昭彦/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 企業向けファイルサーバー、ネットギア「ReadyNAS」の実践的な使いこなしTipsを紹介していく本連載。今回は、本体の盗難などから機密データを守る「ボリューム暗号化」を使ってみた。大量の個人情報や機密情報を扱うような職場ではぜひ使いたい機能だ。

ReadyNAS上の機密データに“物理的な鍵”をかける

 オフィスで利用するファイルサーバーの場合、しばしば業務上の機密や個人情報が記録されたファイルが保存されることになる。万が一、ファイルサーバーを丸ごと盗まれるなどすると、そこから機密情報が漏洩してしまう恐れがある。

今回はReadyNAS上の「データに鍵をかける」お話ですが、こういう鍵のことではありません

 ファイルを保存するたびに1つずつ、何らかの暗号化をかけるというのも一つの手段だが、きっとそのうち暗号化し忘れるケースが出てくるだろう。また、個々のファイルに対応するパスワードを覚えるというのも、現実的には難しそうだ。

 ReadyNASでは、ボリュームを丸ごと暗号化することができる。暗号化ボリュームに記録されたファイルは、USBメモリに記録される暗号キー(暗号鍵)がないと復元(復号)できないため、情報漏洩を防ぐ手段となる。
※注:もちろん、ファイルサーバーへのアクセス権限を持つユーザーはファイルの内容を読み出せる。したがって、ファイルの機密度に応じて、アクセス権限の細かな設定や個別ファイルの暗号化といった保護手段と組み合わせて実施するのがお勧めだ。

ReadyNASで「暗号化ボリューム」を作成する

 ボリュームの暗号化は、ボリュームを新規作成するタイミングで設定しなければならない(既存のボリュームを暗号化設定することはできない)。また、暗号化キーの保存先としてUSBストレージが必要なので、あらかじめReadyNASのUSBポートにUSBメモリを接続しておく。

暗号化ボリュームの作成時には、USBポートにUSBメモリを接続しておかなければならない

 暗号化ボリュームの作成は簡単だ。ボリュームの新規作成ダイアログで「暗号化」にチェックを入れておくだけでよい。なお、ボリューム作成開始と同時に、USBメモリには「ボリューム名.key」というファイル名で暗号化キーが保存される。ボリュームを作成したら、USBキーはReadyNASから抜いて構わない(このとき、管理PCに同じ暗号化キーをダウンロードすることもできる)。

新規ボリューム作成のダイアログで「暗号化」にチェックを入れ、暗号化キー保存先のUSBメモリを指定する
暗号化ボリュームの目印として、ボリューム管理画面では鍵のアイコンが表示される

暗号化キーがないと本体が起動しないという仕組み

 暗号化ボリュームも、ReadyNASが稼働中は非暗号化ボリュームと同じように使える。ディスクに書き込む際、ReadyNASは自動的にデータを暗号化したうえで書き込み、読み出す際には復号してくれる。つまり、ユーザーは特に意識することなく、ふつうにファイルの読み書きができる。

 暗号化キーを保存したUSBメモリが必要になるのは、ReadyNASの起動時だ。

 暗号化ボリュームが存在する場合には、ReadyNASの電源を入れても途中で起動処理がストップする(今回試用しているReadyNAS 716Xの場合、本体ディスプレイに「Waiting for Encryption Key(暗号化キーを探しています)」と表示された)。ここで10分以内にUSBメモリを接続すると、起動処理が再開する。

暗号化ボリュームが存在するReadyNASでは、起動時に暗号化キーを含むUSBメモリが接続されていないと起動しない

 いったんReadyNASが起動してしまえば、接続している“鍵”代わりのUSBメモリは抜いてしまって構わない。

 このとおり、たとえReadyNAS本体が盗まれたとしても、このUSBメモリ(暗号化キー)がなければ暗号化ボリューム内のファイルは読み出せない仕組みになっているわけだ。

運用時は“鍵”USBメモリの保管や紛失に注意!

 「物理的な鍵(USBメモリ)を挿さないと起動しない」というのは、運用上わかりやすい仕組みだ。また、エンドユーザーに一切意識させることなくデータを暗号化できるので、暗号化ボリュームの機能は積極的に使っていきたい。

 暗号化キーを保存したUSBメモリは、ReadyNASの起動時にだけ使う。あとはReadyNAS本体から取り外して、安全な場所に保管しておこう。

 また、このUSBメモリをなくさないように注意しなければならない(なくしてしまうと暗号化ボリュームの内容が読み出せなくなる)。暗号キーのファイルは、別のUSBメモリや管理者のPCにバックアップしておくことを強くお勧めしたい。

デスクトップモデルのReadyNASは、物理的な盗難防止鍵であるケンジントンロックにも対応。もちろんこちらも使って、二重三重にReadyNASを守ろう

(提供:ネットギア)

カテゴリートップへ

この連載の記事