Storage Security (ストレージセキュリティ)
NAS(NFS / SMB)と SAN(iSCSI / FC)のアクセス制御・認証・暗号化、ランサムウェア対策スナップショット、ストレージ監査ログの実装要件を NetApp ONTAP の具体例を交えて俯瞰する。
article technology ja NAS(NFS / SMB)と SAN(iSCSI / FC)のアクセス制御・認証・暗号化、ランサムウェア対策スナップショット、ストレージ監査ログの実装要件を NetApp ONTAP の具体例を交えて俯瞰する。ストレージセキュリティ
ストレージはデータが「最後に眠る場所」であり、ここを守れなければ暗号化もアクセス制御もすべて無効化される。NAS(NFS / SMB)・SAN(iSCSI / FC)・オブジェクトストレージの各プロトコルにはそれぞれ固有の脅威と対策がある。本記事ではストレージ層のアクセス制御・認証・保存時暗号化・ランサムウェア対策スナップショット・監査ログ・SIEM 連携を、NetApp ONTAP を代表的な実装例として解説する。
NAS(NFS / SMB)のセキュリティ:ファイル共有の保護
NAS(Network Attached Storage)はネットワーク経由でファイル共有を提供するストレージアーキテクチャで、Linux 環境では NFS(Network File System)、Windows 環境では SMB(Server Message Block)が主要プロトコルである。
NFS のセキュリティ要件:
- NFSv4 ACL:POSIX パーミッション(rwxr-xr-x)より細粒度の Access Control List。ユーザー・グループ単位で読み取り・書き込み・実行・所有権変更の個別制御が可能。
- Kerberos 認証(NFSv4 必須):
sec=krb5(認証のみ)・sec=krb5i(認証 + 完全性検証)・sec=krb5p(認証 + 暗号化)の三段階。sec=sys(UID ベースの信頼)は内部 NAS でも避けることが推奨される。 - エクスポートポリシー:IP アドレス・サブネット単位でアクセスを制限する。「全 IP に公開(export to *)」は絶対に避ける。
- 匿名アクセスの禁止:
no_root_squashは管理上の理由でも原則禁止。
SMB のセキュリティ要件:
- SMB 署名(SMB Signing):パケット改ざん・中間者攻撃(NTLM リレー攻撃)を防ぐ。Windows Server 2022 以降はデフォルト有効化。レガシー環境では未設定のケースが多く要確認。
- SMB 暗号化:SMB 3.x の AES-128-GCM / AES-256-GCM による転送時暗号化。社外向けアクセスのみでなく内部共有にも適用する(East-West 暗号化)。
- Active Directory 統合認証:ローカルアカウントではなく AD / Entra ID のドメインアカウントで認証する。
- 最小権限の原則:「Everyone フルコントロール」は絶対禁止。部門・プロジェクト単位の共有フォルダには最小限の権限セットのみ付与する。
SAN(iSCSI / FC)のセキュリティ:ブロックストレージの保護
SAN(Storage Area Network)はブロックレベルのストレージプロトコルであり、IP ネットワーク上の iSCSI(Internet Small Computer System Interface)とファイバチャネル専用の FC(Fibre Channel)が主要実装である。
iSCSI のセキュリティ要件:
- CHAP 認証(Challenge-Handshake Authentication Protocol):イニシエーター(サーバー)とターゲット(ストレージ)双方向の相互 CHAP 認証を設定する。片方向 CHAP は中間者攻撃に脆弱。
- IPsec による暗号化:iSCSI 通信は平文のため、本番環境では IPsec で暗号化するか専用 VLAN でトラフィックを分離する。
- iSCSI 専用ネットワーク:管理ネットワーク・本番アプリケーションネットワークと分離した専用 VLAN に配置する。フラットネットワークへの混在は攻撃経路を大幅に広げる。
FC のセキュリティ要件:
- LUN マスキング(LUN Masking):特定のホスト(WWN:World Wide Name)にのみ特定の LUN を見せる設定。不正ホストが LUN に接続できない。
- ファイバチャネルゾーニング(FC Zoning):FC スイッチレベルで WWN またはポート番号でゾーンを構成し、ゾーン外のデバイスは互いに見えなくする。Hard Zoning(ポートベース)を使う。
- FC 管理ネットワーク分離:FC スイッチの管理インターフェース(CLI / GUI)は専用管理 VLAN に配置し、本番ネットワークからアクセス不可にする。
保存時暗号化:SED と外部 KMS 連携
ストレージ層の保存時暗号化には二つのアプローチがある。
SED(Self-Encrypting Drive):ドライブ自体にハードウェア暗号化エンジンを内蔵する。OPAL 2.0 / TCG Enterprise 規格準拠のドライブが一般的。AES-256 でドライブ全体を透過的に暗号化するため、ホスト CPU に負荷をかけない。ドライブ廃棄時の安全消去(Crypto Erase)が容易になるメリットもある。
ソフトウェア暗号化(NSE / NVE):NetApp ONTAP の場合、NSE(NetApp Storage Encryption)は SED ベースのハードウェア暗号化、NVE(NetApp Volume Encryption)はソフトウェアによるボリューム単位の暗号化である。
外部 KMS 連携(推奨):暗号化鍵をストレージと同一システムに保管すると、ストレージが侵害された際に鍵も漏洩する。KMIP(Key Management Interoperability Protocol)に対応した外部 KMS(AWS KMS・Thales CipherTrust・Entrust KeyControl)に鍵を分離することがベストプラクティスだ。
ランサムウェア対策:スナップショットと異常検知
ストレージ層でのランサムウェア対策は「バックアップ(別メディア・別システムへの完全コピー)」と「スナップショット(同一ストレージシステム上の差分保存)」の二層で構成される。
スナップショットによる高速ロールバック:スナップショットは変更差分のみを保存するため、数秒〜数分前の状態に高速で戻れる。ランサムウェアが暗号化を完了する前にスナップショットがあれば、そこまでロールバックできる。
イミュータブルスナップショット:スナップショット自体もランサムウェアに削除される可能性がある。NetApp ONTAP の SnapLock Compliance・Rubrik の CloudOut・Cohesity DataProtect は スナップショットに WORM 属性を付与し削除不可にする。
異常検知:NetApp ONTAP の FPolicy(File Policy)はファイル操作(作成・変更・削除・名前変更)をリアルタイム監視し、ランサムウェアが大量ファイルを短時間で暗号化するパターン(エントロピー急増・拡張子変更)を検知してアラートまたは自動ブロックする([VERIFY] ONTAP バージョンによって自律型ランサムウェア保護の機能差がある)。
監査・可視化:アクセスログと SIEM 連携
ストレージ層の監査ログは「誰が何のファイルをいつアクセス・変更・削除したか」の証跡を提供し、インシデント調査・コンプライアンス証明・フォレンジック分析に不可欠だ。
監査対象イベント(最低限):
| イベント種別 | 監査目的 |
|---|---|
| ファイル読み取り(Read) | 機密データへの不正アクセス検出 |
| ファイル書き込み・作成(Write / Create) | 改ざん・データ挿入の検出 |
| ファイル削除(Delete) | 証拠隠滅・ランサムウェアの検出 |
| 権限変更(ACL / Permission Change) | 特権昇格・バックドア設置の検出 |
| 管理操作(Export / Share 変更) | 不正な共有設定変更の検出 |
NetApp ONTAP の監査設定例:vserver audit create で SVM(Storage Virtual Machine)単位に監査を有効化し、ファイルアクセスイベント(file-ops)・ログオンイベント(cifs-logon-logoff)・ポリシー変更イベントを取得する。ログは EVTX 形式(Windows Event Log 互換)または XML で出力される。
SIEM 連携:取得したストレージ監査ログを Splunk・Microsoft Sentinel・Elastic SIEM などの SIEM にリアルタイム転送し、相関分析・アラート作成・ダッシュボード可視化を行う。ストレージログ単体では見えにくい「正規ユーザーによる大量アクセス(内部犯行)」も UEBA(User and Entity Behavior Analytics)との組み合わせで検出できる。
NetApp ONTAP のセキュリティ機能全体像
NetApp ONTAP はエンタープライズ NAS / SAN の代表的な実装であり、以下のセキュリティ機能を統合する。
| 機能 | 説明 |
|---|---|
| FPolicy | ファイル操作監視・外部サーバーへのコールアウト(ランサムウェア検知・DLP 連携) |
| SnapLock Compliance | WORM スナップショット・ボリューム(法規制対応・ランサムウェア耐性) |
| SnapMirror | 別サイト・クラウドへのレプリケーション(DR / バックアップ) |
| NSE / NVE | SED ハードウェア暗号化 / ソフトウェアボリューム暗号化 |
| Multi-admin Verification | 破壊的操作(SnapLock 削除・暗号化キー破棄)に複数管理者承認を要求 |
| Autonomous Ransomware Protection(ARP) | AI による実行時ランサムウェア検知(エントロピー分析) |
ONTAP の Multi-admin Verification は「単一管理者が誤操作・内部犯行でデータを失う」リスクを排除する重要なコントロールである([VERIFY] ARP は ONTAP 9.10 以降の機能、バージョン要件を確認)。
アンチパターン:ストレージセキュリティの落とし穴
| アンチパターン | リスク |
|---|---|
| SMB 署名を無効にする(パフォーマンス最適化の名目) | NTLM リレー攻撃・中間者攻撃でファイルを改ざんされる |
| LUN マスキング・FC ゾーニングなしで SAN 構成 | 任意のホストが LUN にアクセスしデータを破壊できる |
| 管理ネットワークと本番ネットワークを統合 | ストレージ管理画面が攻撃経路になる |
| スナップショットを公開共有と同一 VLAN に配置 | ランサムウェアがスナップショットを検出・削除できる |
| 監査ログをストレージ自身に保存 | ストレージが侵害されると監査証拠も失われる |
| 暗号化鍵をストレージと同一筐体に保管 | ドライブ盗難時に暗号化の意味がなくなる |