SMBのためのストレージセキュリティ戦略：役に立つツールやチェックリストも紹介

IT管理の中でも注目すべき分野であるストレージセキュリティだが、実際に注目されることはほとんどない。

≫ 2011年05月19日 09時00分公開

[Kevin Beaver，TechTarget]

　本稿ではセキュアなデータストレージ戦略について解説し、中堅・中小企業（SMB）に最適なツールを紹介する。

SMB特有のストレージセキュリティ問題

　データ保存やeディスカバリー、セキュリティ破り、または一般的な情報ライフサイクル管理など、ストレージセキュリティは業種や規模を問わずあらゆる組織にかかわる問題だ。しかし以下のような理由から、SMB特有のストレージセキュリティ問題も存在する。

1. 問題に目が届かない

　ITヘルプ要員の不足はセキュリティ問題の拡大に結び付きかねない。

2. モバイル端末と携帯型ストレージメディア（USBメモリ、外付けHDDなど）の普及

　社内環境の複雑化、コンシューマー化が進むほど、ストレージセキュリティの管理は難しくなる。

3. 多数の関係者がかかわる

　SMBのIT問題にはソフトウェアベンダー、カスタムデベロッパー、コンサルタント、システムインテグレーターなど多数の関係者がかかわる。ストレージ専門のIT要員がいないSMBの場合、責任の範囲が限られ、全般的なリスクが増す。

4. コンプライアンス規定はSMBには適用されないという誤った認識がある

　さらに悪いことに、SMBには規定のことを全く知らない管理職もいる。

役に立つストレージセキュリティツール

　予算が限られているというだけでは、ストレージ関連のセキュリティリスクに手が回らない言い訳にはならない。

　大手ストレージ管理ベンダーは、ストレージセキュリティ対策のための高額なツールを提供している。しかしSMBに適した小規模なベンダーも何社か存在する。加えて、データストレージシステムのセキュリティ対策に利用できるストレージセキュリティツールは、恐らく社内のネットワークにも存在している（あるいは無料でダウンロードできる）。以下に例を挙げる。

Windows 7とWindows Server 2008システムの「BitLocker」

　ノートPCやデスクトップPC、サーバ、外付けHDDやUSBメモリなどのHDDとモバイルストレージ暗号化に利用できる。

SANやNASの管理インタフェース

　Storage Area Network（SAN）やNetwork Attached Storage（NAS）に組み込まれたストレージ管理インタフェースは、認証やアクセス管理といったシステム管理業務に利用できる。

WindowsとActive Directoryの管理機能

　WindowsとActive Directoryに組み込まれている管理機能は、ベーシックなユーザープロビジョニングと一般的なOS、アプリケーション、ストレージ環境へのアクセス管理に利用できる。

オープンソースツール

　オープンソースツールの「AlienVault Open Source SEIM」や「Openfiler」などは、ネットワークストレージとアプリケーション、OSを常時監視し、悪質な攻撃から守ってくれる。

セキュアなデータストレージのチェックリスト

　まずは危険がどこに存在するかを理解する必要がある。構造化されていないデータ、Webインタフェース、アクセス制御などに目を向けることから始めるといい。倫理的ハッキングの技術とツールはぜひとも利用したい。分からないものを修正することはできないのだ。

　予算に見合ったストレージセキュリティ実現のための現実的な公式は以下の手順に従うことだ。

弱点の洗い出し

　社内のストレージの全領域（ネットワーク、モバイル、およびその間にあるもの全て）で情報の所在を把握し、セキュリティ評価を行ってストレージ関連の技術面および運用面における弱点を洗い出す（IPアドレスが割り当てられて人間が管理している限り、弱点は発生する）。セキュリティ評価には、脆弱性スキャナの実行と、倫理的ハッキングの方法論を用いた手作業によるセキュリティチェックが含まれる。

継続的なチェック

　合理的で無料のストレージセキュリティポリシーを導入し、現在から将来にかけて継続的なチェックを行う。

　重要なシステムに焦点を絞ることで大切なデータのセキュリティを徐々に固め、常に警戒を続ければ、それほど時間をかけなくてもストレージセキュリティ問題への対応は習得できる。

本稿筆者のケビン・ビーバー氏は、米Principle Logicで情報セキュリティコンサルタントを営み、執筆、講演も手掛ける。専門は独立した立場からの情報セキュリティ評価。『Hacking For Dummies』『Hacking Wireless Networks For Dummies』（Wiley）など情報セキュリティに関する7冊の著書・共著書がある。情報セキュリティのオーディオブック「Security on Wheels」の制作も手掛け、ブログではIT専門家向けにセキュリティのノウハウを紹介している。