アイ・オー・データ、企業におけるNASのセキュリティ対策について注意喚起
- 2021/07/19 10:00
- SecurityInsight
アイ・オー・データは7月15日、国際的なイベント(国際サミットやスポーツの国際大会など)開催中はサイバー攻撃も活性化し、官民問わずサイバー攻撃にさらされることから、企業におけるNASのセキュリティ対策について注意喚起を行なった。
■情報セキュリティ対策の押さえるべきポイント
●脅威そのものへの対策
□NASのファームウェアやOSを最新バージョンに更新している
脆弱性が存在するとそこを突いた不正アクセスなどによる情報漏洩といった被害につながる可能性がある。脆弱性の対策やバグ修正を放置せず常に最新状態を保てるよう、ファームウェアやOSの最新バージョンを適用する。
□ビジネス向けNASを使用して、アクセス権限を設定している
ビジネス向けモデルでないNASでは、ログ取得、アクセス権の細かな設定、バックアップといったセキュリティ関連の機能がない場合がある。
□バックアップ先をネットワーク共有されないUSBハードディスクにしている
USBハードディスクにバックアップしたデータを改竄されたり、削除されないようにネットワークからアクセスできないように設定する。
□共有フォルダーにフルアクセス設定しない
共有フォルダーはフルアクセス(全ユーザーが自由に読み書きできる)設定せず、必要なユーザーのみに設定する。
□権限付与を細かく必要なアカウントのみにする
共有するフォルダーは必要なユーザーのみに設定し、不必要なユーザーにアクセス権限を設定しないことで、侵入されたユーザーアカウント以外のデータを守る事ができる。
●復旧手段の準備
□古い(購入後5年以上)NASを使っていない
世代の古いNASでは、データのバックアップ等の機能が不十分な場合がある。
□NASのバックアップを実施している
クライアントPC、サーバーのバックアップデータや、NASに保存される共有データをさらにUSBハードディスクや、クラウドストレージにバックアップすることでデータの消失や改竄された時に、復旧することが可能。
□NASの複数世代の世代バックアップを実施している
暗号化された状態やファイル削除された状態をバックアップしてしまうことで、必要なデータの復旧が困難になる場合がある。毎日バックアップを実施している場合に4世代以上の世代バックアップを実施することで、週明けに気がつくことが遅れてもバックアップを遡ることでデータを復元できる。
●証拠保全
□ファイルアクセスログの取得を行っている
NASに保存されたファイルへのアクセスに対してアクセスログを保存することで、セキュリティ問題が発生した際の被害範囲を特定することができる。