データ復旧
株式会社ピーシーキッド
ストレージシステム入門
ストレージシステム入門
NAS ( Network Attached Storage )
NASについての基礎知識
NAS ( Network Attached Storage ) は、「ネットワークに直接接続できる記憶装置」という発想で開発された接続方式です。またその接続方式を用いたデバイスそのものをNASと呼ぶ場合が一般的です。ファイル共有に特化したOSとストレージ、ネットワークインターファイスを持ち、おおがかりなインフラの整備や特別な知識も必要とせず比較的容易に低コストで導入できます。ストレージの追加や交換で容量を簡単に増やすことができます。またNASがあれば、ネットワーク経由でスマートフォンやタブレット内のデータも簡単に共有できます。主に個人や小・中規模の企業などで使われることが多いのですが、その目的はユーザーによってさまざまです。外出先からも共有ファイルにアクセスできる利便性や、RAID構成を利用した自動バックアップによる冗長性の確保、ユーザーごとのアクセス権限の付与などがNAS導入の主要な目的のようです。
NAS接続のメリット
記憶装置がネットワークに接続できることでビジネスの利便性は画期的に向上します。組織内であれば、NASに接続されたストレージ内に共有フォルダを保存し、どのPCからでも共有フォルダにアクセスし、データの編集・保存ができるようになります。その際にActive Directryと連携させることでユーザー管理やアクセス権限の管理が効率化されます。NAS接続のメリットには主に以下のようなものがあります。
-
- 大量のデータを保存できる
- NASは複数のSSD/HDDを搭載できるように設計されています。近年では搭載するSSDやHDD自体が保存できる容量も増えていて、それらを組み合わせることで数十テラバイト~ペタバイト級の容量を確保できます。
-
- 外出先からアクセスできる
- 出張時や取引先、自宅などからNAS内のデータにインターネット経由でアクセスできます。必要なファイルをUSBメモリや外付けSSD/HDDに入れて持ち運ぶよりも紛失や盗難のリスクも少なくなり、セキュリティ面での安全性も担保できます。
-
- 便利なメディアサーバー機能
- 写真、音楽、動画、録画しておいたテレビ番組などをNAS内に保存しておいて、共有することが可能です。外出先で撮影した動画や写真をNAS内のライブラリに追加保存すれば、カメラやスマホの空き容量を増やせるのもメリットの一つです。NAS内の音楽を公園や海辺など好きな場所で楽しむ、休憩時間に録画してあるTV番組を視聴するなど、仕事以外の活用方法もNAS人気を後押ししています。
-
- RAID構成による冗長化
- 複数のSSD/HDDを用いてRAID構成による冗長化が可能です。ストライピングやミラーリングを組み合わせ、冗長性を保ちながら、読み書きの速さも望めます。ホットスワップの対応機種であれば、システムを停止させずに故障したSSD/HDDだけを取り換えることができます。
-
- NAS内のデータを自動的にバックアップ
- 多くのNASには自動バックアップ機能が標準搭載されています。設定した日付や間隔でバックアップを実行します。初回は全てのバックアップを行い、2回目以降は、差分のみをバックアップするように設定すれば、バックアップにかかる時間も短く済みます。バックアップ先は、購入したNASメーカーが提供するクラウドや一般的なクラウドサービス、別のNASやファイルサーバなどに自動バックアップできます。
-
- アクセスログの管理
- NAS内のデータに対してどのユーザがどのような操作を行ったかのログを記録できます。ファイルの作成、編集、参照などの記録をメールで管理者宛に送信できますので、データの改ざんがあった場合、ログを参照することで、いつ、どのユーザがデータの編集や消去を行ったか確認することができます。
-
- アクセス権限の管理
- フォルダやファイルごとにアクセスできるユーザを設定できます。経理関連フォルダや研究、教育、管理などの機密性が高いフォルダやなどは特定の人員だけがアクセスできる設定にしておけば、ファイルの盗難やデータ改ざんなどのセキュリティリスクを回避できます。
NASのデータ保護について
バックアップの基本ルール3-2-1
データ保護の基本に「バックアップの重要性」の概念がありますが、バックアップのメソッドの基本ルールに「3-2-1 ルール」があることをご存じでしょうか。
- 「3」バックアップデータは、元データ以外に2つのバックアップデータを保存。合計3つのデータを保存しておくこと。
- 「2」2種類の異なるメディアにデータを保存すること。例えば、クラウドストレージと他のNASデバイスなど。異なるメディアに2つのデータを分けて保存しておけば、どちらかが紛失、盗難、ウイルス感染などでデータが消失・破壊されても1つは残るため。
- 「1」バックアップファイルの1つをオフサイト ( 物理的に離れた場所 ) に保存すること。元データのある場所がオフィスであれば、クラウドサービスに保存するなど。
スナップショット機能
スナップショットを定期的にとっておくことでランサムウェア感染や人為的ミスでのうっかり削除からNAS内のデータを保護することができます。NASのスナップショットは、「ある時点でのファイルやディレクトリの状態」を保存しておくことで、バックアップとは違います。バックアップを保存するためにはある程度の容量が必要になりますが、スナップショットは差分だけを保存しますので、バックアップをとるほどの容量は必要ありません。以下のような場合にスナップショットからデータ損失前のデータに復旧することができます。撮ったスナップショットには名前をつけて保存しておくことができます。
- ランサムウェア感染によるデータの暗号化
- 誤操作によるデータ削除や上書き
- システム障害やウイルス感染
Active Directry(AD)
Active Directory(AD)は、企業や組織のITインフラにおいて、ユーザーやデバイス、リソースの一元管理とセキュリティ強化を担うMicrosoftが提供するディレクトリサービスです。主な機能は以下の通りです。これらの機能によってActive DirectoryはNAS環境下での効率的な運用管理が可能となり、データセキュリティとユーザの利便性の両方を実現できます。
- IDやパスワードの一元管理
- ユーザーIDやパスワードを一カ所で管理でき、複数システムに同じ認証情報でアクセスできるシングルサインオン(SSO)にも対応します。シングルサインオン(SSO)は、利便性とセキュリティを兼ね備えた仕組みで多くの企業やオンラインサービスで用いられています。
- アクセス制御 ( 認証と認可 )
-
ドメイン内のユーザーやデバイスの認証を行い、正当な利用者だけがリソースにアクセスできるようにします。アクセス権限を細かく設定し、「閲覧のみ」「編集可能」などの制御が可能です。
- 認証 ( Authentication )
- 認証はユーザやデバイスが間違いなく組織内の本物のリソースであることを確認するプロセスです。Kerberos認証他を使ってシングルサインインでNAS内データにアクセスできます。
- 認可 ( Authorization )
- 認可は、認証済みのユーザがNAS内のどのリソースにどのような操作を行う権限があるのかをADの情報に基づき制御します。
- 操作ログの閲覧と管理
-
AD側のログ(ユーザのログイン・ログアウト、パスワードの変更、アクセス権限の変更)とNAS側のログ(ファイルやフォルダの作成や削除、読み取り、書き込みや認証エラーなど)を連携して分析すると、「誰がいつ、どのファイルに対してどのような操作を行ったか」などの詳細な情報を得ることができます。操作ログの管理ばかりでなく、複数のドメインコントローラやサーバのログを一箇所で集中管理することで効果的な分析や監視が可能です。
- ログの一元管理
- ADで行われた認証や操作ログとNASへのアクセスログを一元的に管理できます。
- アクセス状況可視化
- 誰がいつどのファイルにアクセスしたかなどのログをユーザ情報と紐づけできるため、不正アクセスや情報漏洩の抑止や早期発見につながります。
- 監査証跡の保存
- ADとNASの連携により、信頼性の高い監査ログを保存でき、内部統制強化に役立ちます。また、ADのログとNASのアクセスログを照らし合わせることで、トラブルシューティングの効率化に役立ちます。
- ディレクトリデータベースの管理
-
ADとNAS間の認証にはKerberosなどのプロトコルが使われます。Kerberosはネットワーク上をパスワード等が平文で流れるのを防ぎます。LDAPは、ディレクトリサービスにアクセスするためのプロトコルです。LDAP自体は暗号化をサポートしていませんが、TLS/SSLと組み合わせてセキュアな通信を実行します。ディレクトリデータベース管理には以下のような点に注意する必要があります。
- 時刻同期
- ADサーバとNASの時刻が違いすぎると認証に失敗する場合があるため、NTPサーバを使ってADサーバとNASの時刻を正確に同期させなければなりません。
- DNS設定
- NASとADを連携させてAD側でユーザのID、パスワード、グループ情報などをNASのユーザー認証情報として利用できるようになります。NASをADにドメイン参加させる際、DNS設定が重要です。NASのDNSサーバとして必ずADサーバ(ドメインコントローラ)が提供するDNSサーバのIPアドレスを指定します。外部DNSサーバを指定すると、ADドメイン参加や認証が正常に機能しません。多くのNAS製品ではAD連携時に「DNSに自動登録」を有効にすることでNASのホストエントリがADのDNSサーバに自動登録されます。NASのIPアドレスが変更された場合もAD側のDNSサーバが自動的に更新してくれます。
- シングルドメイン環境
- ADとNASの連携においてシングルドメイン環境が推奨される理由は、信頼性向上とユーザーアカウント、アクセス権限、グループなどの情報を一元管理できるためです。マルチドメイン環境の場合、信頼関係の設定や管理が複雑になります。
- セキュリティ
- AD/NAS双方のファームウエアを最新に保ち、既知の脆弱性に備えます。また、NASは認証情報を扱う重要なサーバとなるため、不正アクセス防止の設定が必要となります。必要なポートのみを開放し、不要なポートを外部に向けて解放しないように設定し、ADの権限設定も厳格に行うことが重要です。
- グループポリシーによる集中管理
- グループポリシーを使うことのメリットは、ネットワークの自動割り当てが可能なこと、ユーザやグループ単位での割り当てが柔軟にできること、人事異動時の権限変更などがAD側で一元管理できることなどがあります。
暗号化ボリューム機能
万が一不正アクセス、データの盗聴などがあってもNAS内のデータが自動的に暗号化されていれば、機密情報を読み取られてしまうリスクを防ぐことができます。NASの暗号化ボリューム機能は、シングルディスクのみならず、RAID構成のNASのボリュームにも対応可能です。NASの多くは世界的にも信頼性が高いAESという暗号方式によって暗号化されます。暗号化されたボリュームは、設定したパスワードや暗号鍵がないと読み書きができません。これにより、NASに接続されたストレージが物理的に抜き取られても、NAS内のデータは保護されます。
UPS ( 無停電電源装置 )
UPS ( 無停電電源装置 ) は、停電などの電源トラブルが発生したときに内蔵のバッテリから電力を供給し、接続された機器の動作を一定時間維持する装置です。UPSは「通信環境」「安全性」「生産性」などの維持を目的としてビジネスの様々なシーンで活用されています。企業サーバやNASなど、突然停止させることができない機器と接続することで、急な電圧の変化にも対応し、業務の中断を防ぎます。多くのNASは、UPSと連動し、停電を検知すると自動的に安全なシャットダウンの処理を行い、瞬断によるデータ消失からNAS内データを守ります。そのためにUPSからの電源異常信号を受けて自動シャットダウンができるよう、NAS側の設定が必要です。停電による電源の瞬断は、RAID構成の冗長性を担保できなくなるリスクもあります。複数台のNASを接続し、安全なシャットダウンが可能になる機種のUPSもあります。NASやファイルサーバ以外にも、保護する負荷機器等に応じた機種選定が求められます。
物理的に盗難を防止
NASは小型で簡単に移動することができますので、物理的な盗難によるデータ消失のリスクにも対処する必要があります。PCの盗難防止のためにケンジントンロックを使用している組織は多いと思いますが、NASにもケンジントンスロットがあれば、対応するワイヤーケーブルを用いてNASのロックも可能です。固定する机の脚やラックなどに届かないとロックできないため、購入の際にスロットのサイズとワイヤーの長さの確認が必要です。ケンジントンロックにはシリンダー錠で施錠・開錠するキー付きロック、暗証番号を合わせて施錠・開錠するダイヤル式ロック、ケーブル部分がコイル状のもの、指紋認証など生体認証で施錠・開錠するタイプなどがあります。シリンダータイプのものは、物理キーの紛失、ダイヤルキータイプのものは暗証番号の失念に注意が必要です。
セキュリティついて
当社ではお客様の情報を適切に管理・保護することを重要な社会的責務と考え、セキュリティの強化に努めております。
