ネットワーク内にいる全員にファイルの内容を確認してほしい際、皆様ならどのようなツールを使用するでしょうか。軽量なファイルであれば、チャットやメールなどに添付するのが容易でしょう。共同作業などであればクラウドサービスを利用するのも検討に値します。ただ、そのようなツールを利用するための制度が整っていない企業では、なかなか導入に踏み切れないこともあるでしょう。そのような場合に検証に値するのがNetwork Attached Storage、通称NASです。

ファイルサーバを導入するほどの技術が必要ない環境下で利用されるNASは、ほとんど外付けハードディスクドライブと変わらないサイズでネットワーク環境内のファイル共有サーバを構築することができ、またその価格も廉価です。他の策と比べてハードルが低めの解決策として、現在でも多くの中小企業で利用され続けています。

ただ、ハードルが低い一方で、実はセキュリティ的に問題のある環境下にあるNASも非常に多いということを知っていますか? 今回はNASという機器がいったいどんなものなのか、またどのようにセキュリティ的な注意をしていかなければならないのかということを確認してみましょう。

NAS(Network Attached Storage)とは

そもそもNASとは、ネットワーク内のファイル共有機能を目的としたコンピュータです。名前のとおり、「ネットワークに直接接続された記憶媒体」を指します。ハードディスクほどのサイズで、LANに接続しオープンソースの「Samba」などのソフトウェアによりファイル共有が可能となります。

OSにはメーカー独自の設定が適用されたLinuxが採用されていることが多く、基本的な「ファイル共有機能」のほかに、定期的なバックアップ機能、異常時のアラート機能や、簡単なウェブサーバ機能も備えており、さらに機能によってはメデイアファイルの変換なども実行可能です。現在ではその機能が多彩となっていることから、実質は「ディスプレイを必要としないネットワーク内スタンドアロンサーバ」といっても遜色ない製品が存在しています。

製品としての歴史は古く、2000年初頭以降、小規模な企業や家庭でも容易に購入可能な価格帯の製品が次々と発表され、設定の容易さから多く普及していきました。

クラウド(オンライン)ストレージサービスとの違い

昨今定番となってきたオンラインストレージサービスとの最大の違いは、「データの同期に時間を必要としない」という点です。

クラウドストレージサービスではどうしてもデータの同期の際にネットワーク経由でデータをやりとりするため、データの更新時に時間を必要とします。一方でNASでは共有フォルダなどの形でデータを利用可能なため、データがNAS内にあるままでも編集が可能です。

ただ、データがすぐ目の前に存在するということはデメリットでもあります。ハードディスクなどの記憶媒体は消耗品であるため、場合によっては損傷によってデータを損失する事態も起こりかねません。データの保管は、NASの運用担当者が責任を負って管理する必要があるでしょう。

ファイルサーバとの違い

NASとファイルサーバの違いはいまやほぼないといって良いでしょう。ネットワーク内に保管されたデータをやりとりし、必要によって履歴保管、時としてプリントサーバとして活用もできるNASは、OSの管理権限を持たない点以外にほぼ違いがありません。昨今のNASには管理画面から追加の機能をプラグイン形式で追加することが可能な製品もあり、場合によっては有償のプラグインを利用することで必要に応じて専門的な機能も追加できるようになっています。

以前までは、「ファイルサーバではRAID適用できるが、NASでは難しい」といった意見もありましたが、2000年代後半以降は1台のNASで複数台のハードディスクを設定できるモデルが廉価で手に入るようになりました。RAID1、RAID5はもちろんのこと、データ保管容量とコストを最適化したメーカー独自のRAID仕様を兼ね備えるようになっています。正直なところ、ファイルサーバの優位性はほぼないと言っていいでしょう。

NASを利用されたセキュリティインシデント事例

そんな便利なNASですが、セキュリティの観点からすると脆弱(ぜいじゃく)性をどうしても多く抱えがちです。ネットワーク共有機能をデフォルトの機能のまま利用した結果として、社内のLANにつなげば自動的に認識してしまうため、情報の取得が容易にできてしまいます。

2015年には首都大学東京のNASが外部に公開されたままになっており、学生ら5万1000人分の個人情報が流出する騒ぎとなりました。また2016年には、アメリカの投資会社Ameriprise FinancialにおいてNASのデータが流出していたことが判明し、各拠点からNASを撤去しなければならなくなったという事態が発生しています。

簡単に構築できるということは裏返せば、しっかりとしたセキュリティをかけなければ容易に情報が流出する可能性がある、ということなのです。

NASのセキュリティについての観点と対策

NASは定常的に運用する必要がある環境下で利用されることが多く、そのセキュリティ設定は一度運用を開始すると変更することがなかなか難しい状況にあるケースが多く見受けられます。結果としてファームウェアの更新がされていなかったり、脆弱(ぜいじゃく)なパスワードを利用していたりとセキュリティ的に難のある環境も少なくありません。

重要となるセキュリティの観点は以下の2点に集約されます。
1.ハードウェア・ファームウェアの状態管理
2.アクセスユーザの把握とユーザー側環境のセキュリティ管理

1.ハードウェア・ファームウェアの状態管理

ファームウェアの更新管理は言うまでもありませんが、ハードウェアの管理はNASにおいて特に重要です。セキュリティの観点において、「持ち出しが可能となる可能性がある小型情報媒体のハードウェア」からは容易に大量の情報が流出しかねません。また、NASのハードウェアの損傷(特にハードディスクの故障)は企業活動に大きく制約を与えることになります。

また、大人数で利用することにより転送速度に難があることもありえます。NASでは1台(あるいは複数台)のハードディスクにデータを保管しているため、同時にNASにアクセスすると、データの読み込み/書き込み渋滞が発生することがあるのです。NASのハードウェアの健全性・状態管理は企業活動において非常に重要なものであると言えるでしょう。

2.アクセスユーザの把握とユーザー側環境のセキュリティ管理

「誰がアクセスしているのか」ということは情報の管理という観点において重要です。さらに、NASを経由してネットワーク内にマルウェアがまん延しないように、各個人のコンピュータのセキュリティを確保する必要があります。
近年発生したランサムウェアの被害が代表格です。2017年のWannaCryによる大規模な被害は、NASをはじめとするネットワークファイル共有機能の脆弱(ぜいじゃく)性を突いて、ネットワーク内で次々に感染を広げていきました。

もちろんこれらはNASに限った話ではありませんが、セキュリティ担当者は常にそれらの情報に接し、常に対策を採らなければならない環境におかれるという点は認識しておく必要があるでしょう。

こうしたリスクへの対策としては、管理ソリューションやNAS用のセキュリティソフト導入が選択肢として存在します。

最近はNASを開発している企業が管理サービスを併せて提供しているケースが多く、クラウドサーバ上からNASの状態管理を行えます。アイ・オー・データの「NarSuS」(ナーサス)は使用しているNASの状態をネットワーク越しに遠隔管理可能で、複数拠点のNAS管理やUPSの遠隔管理まで対応可能です。

また、セキュリティ管理としては「ESET File Security」や「Trend Micro NAS Security」などのセキュリティソフト導入によるセキュリティレベルの向上を実現することも可能です。社員が共有するデータが含まれているため、個々人の端末に加えてNAS自体のセキュリティレベルを高めることで被害拡大のリスクを抑える対応ができます。

より高度な管理を行う場合はUTMの実装やファイアウォールと組み合わせた統合的なセキュリティ対策を行うことも検討してください。

結論のところ、「NASのセキュリティ対策」はこれまでのセキュリティ対策を包括したものだと言えます。

また、東日本大震災を契機にNASやファイルサーバの利用について大きな変換点が生まれています。それはBCP(事業継続計画)に関係するポイントです。

同じ拠点にデータを保管している際、大災害が発生すると個別の機器はもちろん、拠点内のすべてのデータが損失されかねません。この点を解決する方法のひとつとして現在のNASではクラウドストレージサービスとの連携性が見直され、モデルによっては自動的にクラウドストレージサービスと同期をするなど、さまざまな機能が追加されています。

まとめ NASのセキュリティ対策は総合的な観点で。安全な構築を考えるならクラウドの検討も

大容量のデータをネットワーク内で自由にやりとりする方法として、NASは廉価な解決策の1つです。しかし、それを選択する際にはセキュリティ対策や監視計画が重要なものとなってきます。ファームウェアの更新はもちろんのこと、ネットワーク内にUTMを設置する、ファイアウォールの設定を万全なものにするといった総合的なセキュリティ施策が必要です。さらに、ユーザーがアクセスできる範囲を制限する、厳重なパスワード管理を実施するという基本的な施策に加えて、ユーザーが利用するコンピュータ側のセキュリティソフトの導入・設定を整えるべきでしょう。

しかし、今では企業において重要な情報の保管先として、NASはあまり正しい選択肢とは言えなくなっています。情報の保管の安全性や、履歴の保管・ログ取得などという観点から見た場合は、いまやクラウドストレージのほうが検討に値するでしょう。

自社のセキュリティポリシーに合わせて、しっかりとした環境を構築し、必要な場合にはNASを選択肢のひとつにいれるのは問題ありませんが、コストと利便性だけを追求してNASを導入するべきではないでしょう。