Google Cloud向けデータ漏えい防止：NetAppのベストプラクティス

サイバー セキュリティ戦略の目標は、データ損失を防止することです。これは当然のことではありますが、環境を保護するための構成、カスタマイズ、無数の他社製ツールなど対応すべきものが多すぎて、一体何を保護しているのかわからなくなってしまうことがあります。組織は、生成されたデータで構成されています。組織のITプロフェッショナルは、データを戦略の中心に位置付け、不正使用、削除、破損から保護するための防御策を講じることが求められます。

データ損失の防止方法、そして実際にデータ損失が発生した場合の対処方法について、NetAppがご紹介するヒントとアドバイスをぜひご覧ください。

データ損失の防止方法について説明する前に、データを損失する原因について考えてみましょう。通常考えられる原因としては、故意または不注意による削除、停電、ソフトウェアの不具合、データベース破損などが挙げられます。自然災害が原因でデータが失われることもあります。ここでは、データ漏えいとデータ抜き取りという2種類のサイバー脅威からデータ損失を防止する方法に焦点を当てていきましょう。

データ漏えい：データ漏えいは、想像以上に頻繁に発生しています。たとえば、2021年1月には、Ubiquiti Networksの元従業員が盗難したファイルをWebに公開し、200万ドルの身代金を要求しました。要求額は犯罪組織に支払う身代金としてはかなり莫大な金額に思えますが、人質となっているデータの価値を考えれば比べ物にはなりません。結果的に、Ubiquiti Networksはこのランサムウェア攻撃によって時価総額40億ドルを失い、株価は20%暴落しました。

データ漏えいは、企業のシステムへの正当なアクセス権を持つ従業員などが、意図的にデータを盗難、漏えいすることで発生します。たとえば、機密データをフラッシュ ドライブにコピーして、競合他社と共有、あるいはデータを公開することで、データを流出させる場合があります。

データ抜き取り：データ抜き取りでは、組織外部の攻撃者が企業のネットワークに侵入し、データを破壊、暗号化して、一般のWebサイトに投稿することでデータを制御したり、あるいは単純にデータを盗み、ダークウェブで売買したりしてデータ損失を引き起こします。

たとえば、2021年4月には、ハッカー集団がQuanta Computerのネットワークにアクセスし、Apple製品の設計図を盗み出しました。ハッカー集団はデータと引き換えに5千万ドルを要求してきました。

一般的にデータ セキュリティの戦略では、非常に高くて強固な防御壁を構築することでネットワークを保護することに重点が置かれます。これはデータ セキュリティにとって必要な構成要素ではありますが、攻撃者を「壁の外側で」ブロックしておくことと、データを「壁の内側で」保護することはまったく別のものです。セキュリティ体制を強化するには、まずは防御壁自体ではなく、壁の内側に置くデータそのものに焦点を当てる必要があります。

では、データ主体のセキュリティでは何が求められるでしょうか。まずは、データを把握して、分類することから始めます。データの構成、保管場所、保護方法、アクセス権の所有者などを確認する必要があります。

データの詳細をすべて把握すれば、データを保護するために必要な対策が見えてきます。まず何から始めたらいいかについて詳細なガイダンスが必要な場合は、セキュリティに関するセルフ チェックリストを参照してください。

セキュリティの内側に一度入った後は自由にデータにアクセスできる従来のセキュリティ モデルとは異なり、データ主体のゼロトラスト アプローチでは、セキュリティ境界の内部にも厳格なアクセス制御が実装されます。アクセス制御を強化するには、最小権限の原則（ユーザ ロールに応じてできる限り少ないアクセス権限のみを付与すること）を適用するだけではなく、脆弱なオペレーティング システム、アプリケーション、ユーザ トレーニングを継続的に更新していく必要もあります。また、セキュリティを最大限に高めるには、データとユーザの動きを継続的に監視することが重要です。不審なユーザは自動的にブロックし、疑わしいデータは自動的に隔離します。

データの整合性を維持するうえで、暗号化、書き換え防止、削除防止は必須の機能です。データを暗号化することで、攻撃者が競合他社と（あるいは世界中に）機密データを共有することができなくなります。書き換え不可のデータ コピーの場合、攻撃者はマルウェアなどのウイルスの脅威にデータを感染させることはできません。削除防止機能が有効なコピーも削除できません。

これらの機能を組み合わせることで、サイバー攻撃者によるデータ利用を防ぐことができます。データ主体のセキュリティ ソリューションでは、簡単にリストアできる最新のバックアップ コピーを複数維持しておくことが決定的な鍵となります。これらのコピーは、ストレージの種類にかかわらず、複数のリージョンに格納できます。 

NetAppとGoogle Cloudを利用することで、機密データの損失、悪用、許可されていないユーザによる不正アクセスを防ぐことができます。また、企業に対するサイバー攻撃が発生してしまった場合でも、データを失うことなく容易にリカバリできます。NetApp^® Cloud Volumes Service for Google CloudとNetApp Cloud Volumes ONTAP^® for Google Cloudには、次のようなメリットがあります。

• Google Cloudでは、常に強固なアクセス制御が実現できます。すべてのアクセス要求に対して、必ず認証が行われます。
• 保管データや転送中のデータを暗号化。お客様管理による暗号化キーのオプションでセキュリティをさらに強化できます。
• Write Once Read Many（WORM）ストレージで変更や改ざんを防止して、ファイルレベルでデータを保護します。
• ほぼ瞬時のNetApp Snapshot™コピーにより99.99%の高可用性を実現。差分データに必要なスペースはごくわずかなので、データのコピーを頻繁に作成してリカバリを高速化できます。
• ノンストップ オペレーションを実現する自動フェイルオーバーとフォールト トレランスにより、ゼロRPOと60秒以下のRTOを達成できます。
• ボリューム レプリケーション：複数リージョンのGoogle Cloudボリューム間でデータをレプリケートします（Cloud Volumes ONTAPにより、Google CloudとオンプレミスのNetAppストレージ間で効率的かつセキュアにデータをレプリケート）。

IT運用に強固なデータ損失対策を組み込むことは、簡単には実現できませんが、今このような対策をしっかり進めておくことで、後から数多くの対策に手を煩わせる必要がなくなります。NetAppが提供するGoogle Cloud向けデータ損失防止およびデータ保護ソリューションの詳細は、スペシャリストにお問い合わせいただくか、サイバー レジリエンス専用ページから詳細に関するリソースをご覧ください。