「暗号化ボリューム」で本体の盗難などによる情報漏洩を防ぐ

暗号化＋USBキーで、ReadyNAS上のデータに“鍵”をかける

2015年04月15日 14時00分更新

文● 大塚昭彦／TECH.ASCII.jp

　企業向けファイルサーバー、ネットギア「ReadyNAS」の実践的な使いこなしTipsを紹介していく本連載。今回は、本体の盗難などから機密データを守る「ボリューム暗号化」を使ってみた。大量の個人情報や機密情報を扱うような職場ではぜひ使いたい機能だ。

ReadyNAS上の機密データに“物理的な鍵”をかける

　オフィスで利用するファイルサーバーの場合、しばしば業務上の機密や個人情報が記録されたファイルが保存されることになる。万が一、ファイルサーバーを丸ごと盗まれるなどすると、そこから機密情報が漏洩してしまう恐れがある。

今回はReadyNAS上の「データに鍵をかける」お話ですが、こういう鍵のことではありません

　ファイルを保存するたびに1つずつ、何らかの暗号化をかけるというのも一つの手段だが、きっとそのうち暗号化し忘れるケースが出てくるだろう。また、個々のファイルに対応するパスワードを覚えるというのも、現実的には難しそうだ。

　ReadyNASでは、ボリュームを丸ごと暗号化することができる。暗号化ボリュームに記録されたファイルは、USBメモリに記録される暗号キー（暗号鍵）がないと復元（復号）できないため、情報漏洩を防ぐ手段となる。
^{※注：もちろん、ファイルサーバーへのアクセス権限を持つユーザーはファイルの内容を読み出せる。したがって、ファイルの機密度に応じて、アクセス権限の細かな設定や個別ファイルの暗号化といった保護手段と組み合わせて実施するのがお勧めだ。}

ReadyNASで「暗号化ボリューム」を作成する

　ボリュームの暗号化は、ボリュームを新規作成するタイミングで設定しなければならない（既存のボリュームを暗号化設定することはできない）。また、暗号化キーの保存先としてUSBストレージが必要なので、あらかじめReadyNASのUSBポートにUSBメモリを接続しておく。

暗号化ボリュームの作成時には、USBポートにUSBメモリを接続しておかなければならない

　暗号化ボリュームの作成は簡単だ。ボリュームの新規作成ダイアログで「暗号化」にチェックを入れておくだけでよい。なお、ボリューム作成開始と同時に、USBメモリには「ボリューム名.key」というファイル名で暗号化キーが保存される。ボリュームを作成したら、USBキーはReadyNASから抜いて構わない（このとき、管理PCに同じ暗号化キーをダウンロードすることもできる）。

新規ボリューム作成のダイアログで「暗号化」にチェックを入れ、暗号化キー保存先のUSBメモリを指定する

暗号化ボリュームの目印として、ボリューム管理画面では鍵のアイコンが表示される

暗号化キーがないと本体が起動しないという仕組み

　暗号化ボリュームも、ReadyNASが稼働中は非暗号化ボリュームと同じように使える。ディスクに書き込む際、ReadyNASは自動的にデータを暗号化したうえで書き込み、読み出す際には復号してくれる。つまり、ユーザーは特に意識することなく、ふつうにファイルの読み書きができる。

　暗号化キーを保存したUSBメモリが必要になるのは、ReadyNASの起動時だ。

　暗号化ボリュームが存在する場合には、ReadyNASの電源を入れても途中で起動処理がストップする（今回試用しているReadyNAS 716Xの場合、本体ディスプレイに「Waiting for Encryption Key（暗号化キーを探しています）」と表示された）。ここで10分以内にUSBメモリを接続すると、起動処理が再開する。