ID2758
はじめに
目次
- はじめに
- 暗号化の意義
- 目次
- 1. ネットワークを介したデータ流出
- 2. 物理的な流出(2ページ)
- 暗号化方式の解説(2ページ)
- 暗号化に関する用語(2ページ)
- 暗号化共有フォルダの作成とマウント/アンマウントの方法(3ページ)
- キーストアの初期化の図解(3ページ)
- 暗号化共有フォルダのマウント(3ページ)
- 暗号化共有フォルダのアンマウント(3ページ)
- 既存のフォルダを暗号化(3ページ)
- 実際の運用の詳細(3ページ)
- まとめ(4ページ)
- 編集履歴(4ページ)
Synology NASにおけるデータ・セキュリティの考え方と対策について解説します。
暗号化の意義
データ流出のケースは大きく2つ
NASに保存しているデータの流出には,大きく2つが考えられます.1つは(1)ネットワークを介して流出する場合.もう1つは,(2)物理的な流出,すなわちNASまたはHDDが他人の手に渡ってしまう場合です.
(1)ネットワークを介したデータ流出には,不正ログインによるデータへのアクセス全般を範囲にしています.不正にログインができたことでデータへのアクセスが可能となり,データをダウンロードで持ち出せたり,または,データに鍵を掛けて身代金を要求されるなどのリスクが生じます.これらすべてについてネットワークからのデータ流出に分類しました.このリスクは一般的によく思い当たるリスクの一つです.
(2)物理的な流出は,盗難などは比較的思いつきやすいリスクですが,管理者本人が管理できなくなった場合のリスクに関することです.個人の場合,家族が管理あるいはNASやHDDを引き受けることになる場合があると思います.
1. ネットワークを介したデータ流出
ネットワークからの流出には,パスワード管理などのアクセス制限により防衛するのが基本となります.今回,フォルダの暗号化の目的は,以下に述べた他人の手に渡ることを防止することです.
- ローカル・ネットワーク経由からの流出
- 不正にアクセス権を取得されることで、ローカルネットワークに侵入されて、そのアクセス権でアクセス可能なファイルが流出する場合です
- 今回の暗号化した共有フォルダでは、ローカル・ネットワークにログインしてアクセス権があったとしても、暗号化した共有フォルダには、パスワードとは異なる暗号化キーを設定することができるので、その暗号化キーを知っていない限り、その共有フォルダ内のファイルを見ることができなくなります
- 具体的な対策方法は、共有フォルダの暗号化です.
- ランサムウェアによるデータ破損やロック
- クラッカーによるファイルの改竄 (かいざん)や破壊により、元のファイルがなくなる場合です
- メールの受信人の警戒意識を低下させるような、タイトルや内容に仕立てた架空のメールにより、リンクをクリックさせて悪意のあるウイルスを感染させます。管理者権限の取得もされてしまうと、どんなフォルダやファイルにも暗号を掛けロックして、それを人質に身代金 (ランサム)を要求してきます。侵入/暗号化を実行したハッカーからすれば、その情報の価値を把握できていることは稀でしょう。でも、その価値は、情報の持ち主が知っているのです
- 侵入者が行うフォルダやファイルのロックは、自前のツールや侵入先のシステムにインストールされているZIPなどの鍵付き圧縮コマンドなどが利用されると思われます。フォルダに対してはよく分かりませんが、WindowsではBitLockerというドライブ暗号化機能があります。Windowsでは、侵入してしてしまえば簡単にロックが可能なのかも知れません
- 個人に対してこの攻撃をすることは、ほとんどの場合、効率的でないので、少ないとは考えられますが、個人だからといって、自分にとっては変え難い情報であることに間違いはありません
- 身代金目当てであるため、企業に対して行われることが多く、最近では医療機関のカルテシステムのランサムが行われたり日本においても大きな問題になってきました (2022/11/15現在)。重要情報であればあるほど、そのランサムは高額になるのでしょう
- 具体的な対策方法は、(1)定期的なバックアップ、(2)もしもハックされた場合はバックアップからの復元、です。改竄や破壊またはロックされたフォルダやファイルは見捨てます。その代わりにバックアップから復元することで、影響を最低限にする対策です。アップデートの多いデータの場合は、きめ細かなバックアップ体制が必要となります。このように、身代金は支払わないというのが、世界の趨勢になっています。