ストレージ・セキュリティの再考:3つの問題点と6つのヒント

Cybersecurity and Your Storage System

2022/02/08 SecurityBoulevard — ストレージは、すべての組織のインフラに不可欠な要素である。その一方で、サイバーセキュリティは、すべての組織の戦略に欠かせない要素である。しかし、この2つが結びつくことは、ほとんどない。そして、ストレージにおけるセキュリティの欠如は、企業を危険にさらしている。

ハッカーにデータを奪われないようにするために、ほとんどの企業はセキュリティ対策として、境界線およびエンドポイントの保護や、トラフィックおよびユーザー行動傾向の検知/分析に重点を置いている。しかし、今日の IT リーダーたちは、どんなに優れたセキュリティ・プロトコルであっても、攻撃者たちがすり抜けてしまう可能性があることを理解している。そのため、ストレージとバックアップのシステムが、最後の防衛線となっている。そして、それは、攻撃者も知っている。

ハッカーの目を通して見る

ハッカーの目から見ると、ストレージが極めて魅力的なターゲットであることを理解できる。あなたは、ストレージやバックアップのプレーンを利用して、アクティブなディレクトリ・サーバーのコピーを取得し、テストベッドやサンドボックスの環境で起動できるが、これらの環境は、おそらく厳密には管理されていない。そして、そのコピーを使って監視されていない VM を起動し、プロダクション・データに侵入することがも可能だ。

組織がオフサイト・バックアップにクラウド・ストレージを使用している場合は、バックアップ・ポリシーを変更して、目的のデータをオフサイト・データ・セットの1つとして無断利用できるかもしれない。データ損失防止 (DLP:data loss prevention) ツールが、ストレージやバックアップのトラフィックを監視することは稀であり、ましてや、クラウド側から監視することはあり得ないので、環境全体がクローン化されたことに気づくこともないだろう。

別のシナリオでは、セキュリティが十分でないストレージ・システムの設定を変更し、ミッションクリティカルなデータベースやアプリケーションのディスクを、自分が管理するサーバーにマッピングすることが考えられる。そうすれば、元のプロダクション・サーバーと自分のサーバーの両方から、データは見えるようになり、監視されていないパスを使って、配線を切断することなくプロダクション・データを変更できる。

その方法と理由を知りたい人は、こちらを参照してほしい。ストレージの IO (IP 以外のプロトコルを使用することが多い) は、ほとんど監視されず、一般的な脅威検出ツールは、プロダクション・サーバーに配置されたソフトウェア・エージェントに依存している (このシナリオでは、あなたのサーバーには配置されない)。

もし、あなたがハクティビストであったり、国家的な攻撃により銀行や公益事業者に大規模な打撃を与えようするなら、すべての保存されているデータを空にして、復旧の可能性を排除したいと考えるだとう。スナップショットやシャドウコピー、さらにはストレージ・デバイスを保護するバックアップ・システムを破壊するだけでなく、ストレージ・ネットワークやストレージ・アレイに対して、サービス妨害 (DoS) 攻撃を仕掛けることも可能だ。後者は特に壊滅的だ。なぜなら、過負荷になったアレイ1台により、数千台のサーバーが直ちに停止し、過負荷になった SAN では、プロダクション環境全体が一斉にダウンしてしまうからだ。

これらは非常に破壊的なシナリオだが、セキュリティが無防備な状態であれば、現実的なシナリオでもある。最近では、1週間に 10,000件のデータセンターへの攻撃があったと言われている。身代金を支払った企業の数を考えると、このような攻撃が成功していることは明らかであり、それらの企業はセキュリティを十分に保護できていないと考えられる。

では、どのようなセキュリティ手法がストレージに最適なのだろうか?

ストレージ・セキュリティの問題点

ストレージへの攻撃が成功しやすいのは何故か? まず、いくつかの理由を確認しよう。そこには、組織的かつ典型的な、3つのミスがある。

  • ストレージが標的にならないと思い込んでいる:あなたのチームは、ストレージは目立たないから心配ないと思っているかもしれない。ストレージはインフラのバックエンドにあり、アクセスできる人は限られており、インターネットにも接続されていない。そのため、わざわざ時間/労力/費用をかけて、保護する必要がないと考えていないだろうか。
  • データの価値を過小評価している:IT 担当者の中には、ストレージのことを、埃をかぶった古い情報が入っている箱のようなものだと思っている人が多すぎる。2021年の時点で、データは企業の生命線であり、それを失うことは破滅を意味する。また、デジタル・トランスフォーメーションにより、バックアップとストレージの範囲と規模が、デバイス単位から組織単位へと拡大しており、攻撃者はデータセット全体を手に入れることができるようになった。
  • 複雑さに慣れていない:ストレージ・サービスには、いくつかの種類がある。ストレージは、ブロックシステム/デバイスシステム/ファイルシステム/オブジェクトストレージ/データベース/コンテナイメージ/ネットワーク共有などの、数多くのサービスで構成されている。複数のベンダーのストレージ・デバイスが関与し、それぞれが異なる階層のストレージを提供し、異なる管理コンソールを使用している可能性がある。セキュリティ・チームは、プロトコル/エントリー・ポイント/ストレージ・オブジェクト/バックアップ・オブジェクト/サーバー間の依存関係や信頼関係といった、すべての詳細を把握していないかもしれない。これらの攻撃対象を、完全に把握していないことにより、ある層を脆弱な状態にしているかもしれない。そこが、未知の攻撃ベクターになる可能性もあるのだ。

ストレージ・セキュリティを向上させる6つの方法

現在のストレージシステムがどのような状態であっても、以下の6つのステップを踏むことで、脆弱性を修正し、より多くの情報に基づいて運用することができます。

  1. インシデント対応計画を見直す
    すべてのバックアップとコピーが、攻撃者に削除されたらどうなるか?ストレージ・アレイの認証情報を誰かが入手し、1万台のサーバーのデータを一挙に削除したらどうなるのだろうか? 甚大な被害となる可能性は大だ。あなたのインシデント・レスポンス・プランは、これらすべてを考慮しているだろうか?
  2. データのビジネス価値を計算する
    経営幹部やリスク・コンプライアンス担当者の多くは、どれだけの価値が自社のデータにあるのか知らない。データをビジネス資産として捉えると、それを失った場合の組織の損失はいくらになるだろう?正確な値札を手に入れたら、それに応じてセキュリティ・リソースを割り当てる。
  3. 所有者を指定する
    ストレージの専門家が、セキュリティは自分たちの問題ではないと主張し、セキュリティの専門家が、責任の矛先をストレージ・チームに向けるという、残念な傾向が存在する。オーナーシップを明確に定義し、ストレージ・セキュリティ・プログラムの進捗状況について、それぞれのチームに責任を持たせる。
  4. 知識のギャップを埋める
    ストレージ資産のインベントリを作成し、その依存関係やコンポーネントを徹底的に理解することで、環境の真の可視性を得る。米国国立標準技術研究所 (NIST) の Security Guidelines for Storage Infrastructure のような、素晴らしいリソースがたくさんある。
  5. 計画を立てる
    すべてのレイヤーを強固にし、攻撃対象を最小限に抑えるためには、OS やユーザー管理と同様に、セキュリティ・ベースラインを定義し、その実施と検証を自動化する必要がある。自動化により、脆弱性を迅速に修正し、ハッカーが侵入する機会を大幅に減らすことが可能となる。
  6. 必要に応じて外部の協力を得る
    ストレージとセキュリティの複雑さを考えると、専門家にアドバイスを求めることは常に有益だ。専門家は、時間とコストを節約できるベスト・プラクティスを知っており、最新の脅威やトレンドを共有することも可能だ。

ストレージ・システムのセキュリティは安心感につながる

考えられないようなことが起こるとは、誰もが思っていない。しかし、データを標的とした徹底的な攻撃は、毎日のように企業に壊滅的な打撃を与えている。サイバー・セキュリティにおいて、ストレージ・システムはあまり意識されていないかもしれないが、いまこそ、ストレージ・システムに相応しい保護を与えるべき時である。

2021年10月に「エンタープライズ・ストレージ環境の調査:惨憺たる結果は他人事ではない」という記事をポストしました。そこには、「プロトコルに関しては、SMBv1 や NFSv3 といった旧バージョンのプロトコルが無効にされていないケースや、それらをデフォルトで使用している企業が多く見られた。また、TLS 1.0 や TLS 1.1 などの古い暗号化スイートを引き続き使用しているケースも多い。ロールを分離するための基本原則も守られていないことが多かった。さらに、セキュリティ脆弱性 (CVE) を検出することに困難は無いはずが、既存の脆弱性管理ツールが、ストレージ/バックアップを十分にカバーしていないこともあり、大半に組織において、この点が自動化されていないのが現状である」などと記されていました。よろしければ、QNAP で検索や、Synology で検索も、ご利用ください。

%d bloggers like this: