第15回情報セキュリティ対策の導入

インターネットの普及は、現代社会に利便性の向上とともに情報セキュリティのリスクをもたらした。企業は常に不正アクセス、データ改ざん、情報漏洩などの脅威にさらされている。これらの情報セキュリティインシデントが発生すると、実質的な損害を被るだけでなく、社会的信用の失墜などの弊害を招きかねない。情報セキュリティ対策はいまや企業にとって当然の課題である。

今回は、ストレージに関してどのような情報セキュリティ対策を適用すべきかを考える。

情報セキュリティ対策の必要性

情報セキュリティを考える場合、情報資産である企業データを保持するストレージシステムにどのような対策を講じるかが重要となることは自明である。企業のICT投資が抑制傾向にある中で、ストレージ投資が増加した企業に対し、その理由を尋ねた調査の結果を見てみよう。「データ量増大への対応」「バックアップの効率化」「バックアップ統合」に続いて、情報漏洩やデータ改ざんの防止などの「セキュリティの強化」と回答している企業が多い。

また、第11回で紹介した「2010年度ストレージ投資の重点項目」という調査でも「セキュリティの強化」との回答が3番目に多い。
これらの調査から、ストレージへのセキュリティ対策の必要性を認識している企業が多いことがわかる。

2009年度にストレージ投資が増加した理由

ストレージ関連の情報セキュリティ対策

では、企業はどのような情報セキュリティ対策を導入しているのだろうか。IDCは企業に対し、ストレージ関連の対策として「ポリシー策定」「暗号化」「WORM」の利用状況を調査している。

ストレージ関連セキュリティの導入状況

中堅中小企業、大企業ともに「データ管理のセキュリティポリシー策定」という回答が最も多く、「データ破棄に関するポリシー策定」がこれに続く。「利用中（利用経験がある）」と「2年以内に利用予定」の回答率を合わせると大企業では70％前後。一方、中堅中小企業は40％前後である。それ以外の対策についても「利用中（利用経験がある）」や「2年以内に利用予定」の回答率を見ると、中堅中小企業は大企業の1/2以下に収まっており、「検討しているが時期未定」との回答が多めであることが目につく。

この結果から、大企業では、ストレージシステムやデータの容量が大きくなる分、リスクも高くなるため、積極的にストレージ関連の情報セキュリティ対策に取り組んでいることが読み取れる。一方、中堅中小企業で利用中や利用予定との回答率が低いのは、情報セキュリティ対策を行っていないからではなく、セキュリティ対策の一環として対策を行っているからと考えるべきだろう。

では、この調査で挙げられているそれぞれの情報セキュリティ対策がどのようなものかを見ていこう。

ポリシーの策定

情報セキュリティに取り組むには、まず情報セキュリティポリシーを策定する必要がある。情報セキュリティポリシーは、情報セキュリティに関して企業が何を目的にどのように取り組むかを示す基本方針、具体的な管理策の規程やルールを示す対策基準、管理策の詳細な手順を示す実施手順から構成される。「データ管理のセキュリティポリシー策定」および「データ破棄に関するポリシー策定」は、このうちの対策基準、実施手順にあたる。

「データ管理のセキュリティポリシー策定」では、データの管理責任者と管理方法を定める。具体的には、どのデータをどのストレージシステムに格納するか、データを格納したメディアをどのように保管するか、データの持ち込みや持ち出しはどのように管理するかなどだ。アクセス権管理や保管場所の施錠管理などもこれに含まれる。

「データ破棄に関するポリシー策定」は、破棄されたストレージ装置やメディアからの情報漏洩を防ぐためのものである。ソフトウェア上でデータを削除しても、ほとんどの場合、ストレージ上にはデータの大部分がそのまま残されている。装置やメディアを破棄する場合にはデータ消去用ソフトウェアを利用するか、物理的に破壊することで、データを読み取ることができない状態にする必要がある。

技術的な対策を導入してもその利用方法が不適切であれば、情報セキュリティのリスクは低くならない。情報セキュリティ対策を適切に導入し、運用するためには、まずデータ管理やデータ破棄に関してポリシーを策定することが肝要である。

データ暗号化とWORM

技術的な対策としてデータ暗号化とWORMがある。IDCの調査結果を見ると、ディスクストレージやテープストレージのデータ暗号化の利用が今後増えてくることが予測できる。データ暗号化は、不正アクセスによる解読、装置やメディアの不正持ち出しによる情報漏洩の防止に効果的である。データ暗号化は、暗号化機能を備えたディスク装置やテープ装置の導入や暗号化ソフトウェアを利用することで行う。

WORM（Write Once Read Many）とは、一度書き込んだデータを何度も読み取ることはできるが、消去・変更はできない方式のこと。WORM機能を持つストレージ装置やメディアを利用することで、ミスや悪意によるデータの改ざんおよび削除を防ぐことができる。
WORM機能は、情報セキュリティのリスク対策だけでなく、粉飾決算などの不正を防止し、データの真正性や完全性を保持するために有効である。WORMの導入はまだ進んでいるとは言えないが、WORM機能を備えた製品も増えており、今後注目していきたい技術である。

情報セキュリティ対策の評価・分析

情報セキュリティ対策は、どこまで行えば効果的かその見極めが難しいと言われる。たとえば、データ管理のポリシーを策定しても、その内容が厳しすぎるとストレージシステムの使い勝手が悪くなって、ポリシーが守られなくなってしまうこともある。

IDCは、ストレージベンダーが提供する各種アセスメントサービスを利用した理由について調査している。ここでも、「ストレージのセキュリティ向上」の回答率の高さに注目したい。

ストレージに関するアセスメントサービスを利用した（利用意向がある）理由

企業データを保護するうえで、ストレージ関連のセキュリティ対策は重要な役割を担う。具体的にはデータ管理・破棄のポリシーを策定し、ポリシーに沿ってデータ暗号化やWORMなどの技術的な対策を講じて運用する。どのようなセキュリティ対策が効果的かは企業によって異なるが、ベンダーが有償／無償で提供しているアセスメントサービスを利用し、自社のセキュリティ対策の評価・分析を行うことも可能である。

ストレージのセキュリティ対策は、企業データを保護するためだけでなく、企業の社会的責任を果たす意味でも非常に重要です。富士通は、外部からの攻撃や内部からの持ち出しを防ぎ、情報の信頼性を確保するために、さまざまなセキュリティ機能を備えたストレージ製品をご提供しております。

SAN対応ディスクアレイ製品（ETERNUS DX60/DX80/DX90、DX400 series、DX8000 series）は、ディスクアレイ内のデータを暗号化することで、ディスク持ち出しによる情報漏洩に対応しています。暗号化方式として、128ビットのAES（注1）方式と、AESと同等レベルの富士通独自方式（注2）をサポートしています。

ETERNUS LT250、LT270などのテープ製品は、データを256ビットのAES方式で暗号化してカートリッジテープに書き込む機能を備えています。この機能により、カートリッジテープの持ち出しや紛失が発生しても、カートリッジテープ内の暗号化されたデータは読み出されることはありません。

また、ETERNUS AS500アーカイブストレージは、WORM構造の実装により、テープ製品（ETERNUS LT20、LT40、LT60、LT250、LT270など）は、LTO Ultrium 3からサポートされた「WORMカートリッジテープ」をサポートしており、原本データを故意あるいはミスによる改ざんや削除から保護します。

（注1）AES（Advanced Encryption Standard）：米国商務省標準技術局（NIST）によって制定された、米国政府の新世代標準暗号化方式
（注2）ETERNUS DX60/DX80/DX90の暗号化は富士通独自方式のみサポート。 AES（Advanced Encryption Standard：米国連邦情報処理標準の暗号）方式と比較して、セキュリティレベルは実用面でほぼ同等。

富士通のストレージ・ソリューション