【第6回 PowerScale Isilonコラム】
PowerScale(Isilon)・セキュリティ機能特集
昨今、相次いでサイバー攻撃が発生し、多くの企業が甚大な被害を受けています。金額的な損失、業務の停滞など直接的なものにとどまらず、企業・団体の社会的な信用低下を招くなど、多大な影響が生じています。ITインフラが日々のビジネスや生活に深く関わる現在、私たちはこのようなリスクと無縁ではいられません。
そこで、今回はPowerScale(Isilon)にはどのようなセキュリティ機能があるかをご紹介したいと思います。
※2023年3月:”ランサムウェア攻撃対策”の項を追記
- Audit:いつ誰がどのファイルにアクセスしたかを記録
- CAVA:Windowsファイルのウイルス対策
- SED(自己暗号化ドライブ):ドライブ自身がデータを自動で暗号化
- SmartLock:保存データの改ざんや削除を防止
- SMB v3暗号化:SMBアクセスの通信内容傍受や改ざんを防止
- SyncIQ暗号化:クラスタ間レプリケーションの通信内容傍受や改ざんを防止
- ランサムウェア攻撃対策:ランサムウェアの攻撃を防御
- 編集後記
Audit:いつ誰がどのファイルにアクセスしたかを記録
アクセスログをPowerScaleクラスタに保存することが可能です。情報漏洩などの有事の際の監査証跡となり、不正アクセスを抑制する上でも有効なセキュリティ対策です。
また、サードパーティのアプリケーションからCEE(Common Event Enabler)サービスを介して蓄積されたログを取得し、アクセスログ情報の視認性を高めたり、定期レポートを自動作成させたりするなど、運用性を向上させることも可能です。
![図1_Audit](https://cn.teldevice.co.jp/_cms/wp-content/uploads/2022/03/07ba05d5efbdbfd7d0812724e9ef9d89.png)
ピンチアウトで拡大
CAVA:Windowsファイルのウイルス対策
CAVA(Common AntiVirus Agent)は、サードパーティのウイルス対策ソフトを使用し、SMBで保存されたファイルに対してウィルススキャンを実施できます。
実施タイミングは、リアルタイム/スケジューリング/手動のいずれかを選択できます。
PowerScaleはICAP(Internet Content Adaptation Protocol)でのウィルスキャンにも対応していますが、CAVAはICAPに比べて使用可能なソフトが豊富であり、一般的にスキャン速度が速いことがメリットとして挙げられます。
![図2_CAVA](https://cn.teldevice.co.jp/_cms/wp-content/uploads/2022/03/c1939a5b66e4758496037bce1b0d97f0.png)
ピンチアウトで拡大
SED(自己暗号化ドライブ):ドライブ自身がデータを自動で暗号化
SED(Self Encrypting Drive)は、クライアントから書き込まれた全てのデータをディスク上で暗号化します。読み込む際もディスク上で復号処理を行います。ディスク上で暗号化/復号処理を実施するため、CPUに負荷を与えずセキュリティを強化することができます。
また、ディスク障害時に交換したディスクを持ち出す際もデータは暗号化されているため、情報漏洩を防ぐことができます。暗号化方式はAES256bitを使用しています。
※AES (Advanced Encryption Standard):アメリカ合衆国の国立標準技術研究所(NIST)が認定した暗号化方式
![](https://cn.teldevice.co.jp/_cms/wp-content/uploads/2022/03/212f472a430764b67195e4df1b79b645.png)
ピンチアウトで拡大
SmartLock:保存データの改ざんや削除を防止
SmartLockソフトウェアモジュールを使用すれば、WORM機能(Write-Once Read-Many)によりPowerScale Isilonに保存されたファイルを、変更、上書き、削除から保護することが可能です。最短で6ヶ月、最大で10年間保持することが出来るため、改変されてはいけない重要情報の長期保存に最適です。OneFSでは、コンプライアンスモードまたはエンタープライズモードのいずれかのモードで導入できます。
-コンプライアンスモード
SmartLockコンプライアンスモードでは、米国証券取引委員会(SEC)規則17 条a-4 に沿ってデータを保護できます。本番稼働後は本モードに移行できないため、初期クラスタ構築時点で設定しておく必要があります。
-エンタープライズモード
クラスタ構築後にSmartLockライセンスを有効化した場合に使用可能なモードです。
SEC規則に準拠していませんが、クラスタ構築後であってもSmartLock ディレクトリを作成して、書き換えや消去ができないように保護することができます。
![図4_SmartLock](https://cn.teldevice.co.jp/_cms/wp-content/uploads/2022/03/3efe282a5e28e44dcc798ba381de7cd0.png)
ピンチアウトで拡大
SMB v3暗号化:SMBアクセスの通信内容傍受や改ざんを防止
SMB v3で読み書きする通信を暗号化することが可能です。
ゼロトラストの考え方のもと、万が一悪意あるユーザーがファイアウォール等で遮断された「内側」のネットワークに接続できたとしても、PowerScale製品へのSMB通信の傍受を阻止することができます。
![図5_SMBv3暗号化](https://cn.teldevice.co.jp/_cms/wp-content/uploads/2022/03/a2cd83eb23998e53e4a45e3c889409ef.png)
ピンチアウトで拡大
SyncIQ暗号化:クラスタ間レプリケーションの通信内容傍受や改ざんを防止
SyncIQによるクラスタ間のレプリケーションの通信をX.509証明書を使用して暗号化し、転送中のデータ傍受を防ぐことができますので、異なるサイトに配置されたクラスタ間のデータ転送についてもセキュリティを向上させることができます。
![図6_SyncIQ暗号化](https://cn.teldevice.co.jp/_cms/wp-content/uploads/2022/03/8086663d1ce48ed1dec898d0ac177c5f.png)
ピンチアウトで拡大
ランサムウェア攻撃対策:ランサムウェアの攻撃を防御
外部ツールとの連携で、ランサムウェア攻撃の可能性を検知すると同時にファイルの保護(Snapshot取得)、必要に応じてユーザー権限のロックアウト(防御)が可能です。
さらにSyncIQのレプリケーション機能と組み合わせ、他クラスタへのバックアップにより、更なるファイルの保護を行うことも可能です。
![PowerScale_ランサムウェア攻撃対策:ランサムウェアの攻撃を防御-東京エレクトロンデバイス](https://cn.teldevice.co.jp/_cms/wp-content/uploads/2022/03/abd24255254f22bc551170de818e7167.png)
ピンチアウトで拡大
編集後記
いかがでしょうか。PowerScaleは数々のセキュリティの脅威に対しても、さまざまな機能を用いて対応していくことができます。また、上記機能以外にも1つのクラスタ上で認証/共有を論理的に分けるAccess ZoneやRBAC(ロールベースアクセス制御)もご利用いただけます。ご興味がある点がございましたら、「お問い合わせ」フォームよりご連絡ください。