不正アクセス防止や情報漏えい対策など、インターネットの普及は企業に「セキュリティ」に対する多くの投資を強いている。そのセキュリティで保護する対象の多くは電子データであり、何らかの形でストレージに保存されている。今回は、ストレージを中心にセキュリティの考え方や技術について解説する。
ストレージを取り巻く脅威とは?
企業レベルでの情報セキュリティに対する取り組みは、ISMS(Information Security Management System)に代表する総合的なフレームワークを用い、組織的に対応するのが一般的だ。したがって、「ネットワーク」や「アプリケーション」などの個別の技術課題に対する議論や対策は、情報セキュリティの部分的な取り組みに過ぎない。今回の内容についても、あくまでその「部分的な取り組み」の範囲で「ストレージ」のセキュリティについて考える。
一般的なシステム構成では、インターネットなど不正侵入やアクセスの可能性の高い境界に対して、強固なセキュリティ対策を実装する(図1)。一方で、ストレージには守るべき重要なデータ保存されているものの、境界との間に複数のネットワークやサーバを挟むため、セキュリティ対策は軽視されがちである。しかし、境界のセキュリティを突破された場合や、部内者による不正アクセスを考慮すると、ストレージを含めたインフラに対しても十分な対策を施すべきである。それでは、ストレージを取り巻く具体的な脅威について考えてみよう。
ストレージは単体で使用されることはなく、サーバやクライアントが必ず接続される。その接続には、何らかのネットワークが構築されているのが一般的だ。そこで、図2のような「サーバ」「ネットワーク」「ストレージ」の各レイヤでの脅威について考える。
ストレージ内のデータへのアクセスは、基本的に許可された(構成された)サーバやクライアントからに対してのみ提供されているため、脅威レベルは高いといえる。サーバやクライアントのOSやアプリケーションのセキュリティについては、今回の連載では深く議論しないが、ストレージのセキュリティを考える上でサーバ/クライアントとの関係は重要である。
ストレージネットワークに対する脅威の代表的なものは、ネットワーク上のトラフィックの盗聴や不正転送だ。ただし、HTTPやTelnetのようなアプリケーションプロトコルとは違い、ファイルシステムやミドルウェアより下に位置するSCSIプロトコルの盗聴は、ミドルウェアのデータ構造の把握も必要とするため高度な技術を要求する。筐体やストレージ管理端末から直接ユーザーデータへアクセスすることはできないため、ストレージに対する脅威については、基本的にはストレージメディアの持ち去りが主となる。
図3で、これまで解説した脅威に対する対策例を紹介する。機器へのアクセスを制限する物理的なセキュリティをはじめとして、さまざまな対策が考えられるが、その中でも今回はデータの暗号化について採り上げる。
(次ページ、「ストレージの暗号化とは?」に続く)
この連載の記事
-
最終回
サーバー・ストレージ
クラウド時代に対応するストレージの最新技術 -
第14回
サーバー・ストレージ
ストレージ管理を効率化するテクニック -
第13回
サーバー・ストレージ
サーバ仮想化のためのストレージの機能を探る -
第12回
サーバー・ストレージ
シンプロビジョニングによるストレージ仮想化とは? -
第11回
サーバー・ストレージ
コスト削減を実現するストレージ階層化とは? -
第10回
サーバー・ストレージ
ストレージの災害対策テクノロジー -
第9回
サーバー・ストレージ
バックアップを高速化するレプリケーションの仕組み -
第8回
サーバー・ストレージ
ストレージを使ったバックアップの技術 -
第7回
サーバー・ストレージ
FC/iSCSIとNASの違いを知っていますか? -
第6回
サーバー・ストレージ
ストレージをネットワーク化するFCとiSCSI - この連載の一覧へ