【EMCジャパン Tech Communityサイト】◆ゼロからはじめるストレージ入門◆Part15：ストレージを守るセキュリティ技術

不正アクセス防止や情報漏えい対策など、インターネットの普及は企業に「セキュリティ」に対する多くの投資を強いている。そのセキュリティで保護する対象の多くは電子データであり、何らかの形でストレージに保存されている。ここでは、ストレージを中心にセキュリティの考え方や技術について解説する。


■ストレージを取り巻く脅威とは？■


企業レベルでの情報セキュリティに対する取り組みは、ISMS（Information Security Management System）に代表する総合的なフレームワークを用い、組織的に対応するのが一般的だ。したがって、「ネットワーク」や「アプリケーション」などの個別の技術課題に対する議論や対策は、情報セキュリティの部分的な取り組みに過ぎない。ここで取り上げる内容についても、あくまでその「部分的な取り組み」の範囲で「ストレージ」のセキュリティについて考える。


一般的なシステム構成では、インターネットなど不正侵入やアクセスの可能性の高い境界に対して、強固なセキュリティ対策を実装する（図1）。一方で、ストレージには守るべき重要なデータ保存されているものの、境界との間に複数のネットワークやサーバーを挟むため、セキュリティ対策は軽視されがちである。しかし、境界のセキュリティを突破された場合や、部内者による不正アクセスを考慮すると、ストレージを含めたインフラに対しても十分な対策を施すべきだ。それでは、ストレージを取り巻く具体的な脅威について考えてみよう。


ストレージは単体で使用されることはなく、サーバーやクライアントが必ず接続される。その接続には、何らかのネットワークが構築されているのが一般的だ。そこで、図2のような「サーバー」「ネットワーク」「ストレージ」の各レイヤでの脅威について説明していこう。


ストレージ内のデータへのアクセスは、基本的に許可された（構成された）サーバーやクライアントからに対してのみ提供されているため、脅威レベルは高いといえる。サーバーやクライアントのOSやアプリケーションのセキュリティについては、ここではあまり深く議論しないが、ストレージのセキュリティを考えるときにサーバー／クライアントとの関係は非常に重要である。


ストレージネットワークに対する脅威の代表的なものは、ネットワーク上のトラフィックの盗聴や不正転送だ。ただし、HTTPやTelnetのようなアプリケーションプロトコルとは違い、ファイルシステムやミドルウェアより下に位置するSCSIプロトコルの盗聴は、ミドルウェアのデータ構造の把握も必要とするため高度な技術を要求する。筐体やストレージ管理端末から直接ユーザーデータへアクセスすることはできないため、ストレージに対する脅威については、基本的にはストレージメディアの持ち去りが主となる。


図3で、これまで解説した脅威に対する対策例を紹介する。機器へのアクセスを制限する物理的なセキュリティをはじめとして、さまざまな対策が考えられるが、ここではデータの暗号化について解説していこう。


続きはこちらから >> (»リンク)


EMCジャパンのTech Communityサイト (»リンク) では、ストレージや情報管理に関する最新技術を多数紹介しています。