総合的なデータセキュリティ対策の必要性

はじめに

企業によるデータセキュリティへの取り組みは企業責務となっています。法令順守のみならず、データの保護、外部攻撃者だけでなく従業員の内部脅威を最小限に抑える責任が顧客および株主に対して求められ、データセキュリティの責任は企業に対し、より一層重く課せられています。
一方でデータがビジネス上の優位性を獲得するための要因であり、データ駆動型社会の推進によって更にデータ活用がビジネス上の要点になり、ストレージにおいては容量・処理スピードアップ、そのうえで顧客にとっての重要な機密情報であるデータを守るセキュリティが求められる、ということになります。
ここでは、企業でみられるデータセキュリティとその弱点を、具体的にはオールフラッシュストレージアレイ(以下AFA)とビジネスシーンに分けて説明し、最後にデータセキュリティの要件を満たしながらビジネスを推進する手段を紹介します。


企業でみられるデータセキュリティとその弱点

ハッカーからのデータ保護を考える際に、留意すべき2つの用語があります。
「ソフトウェア環境における攻撃可能面(アタックサーフェス)は、不正なユーザー(「攻撃者」)がデータを環境(攻撃対象)に入力、またはデータを取り出し可能な様々な箇所(「アタックベクター」 (侵入に使用される経路や方法)の集合です。攻撃対象となりえる箇所を最小限にしておくことは、基本的なセキュリティ対策です。(ウィキペディア)

ストレージアレイでは性能ペナルティなしで即座に暗号化が可能なので、ストレージ側でのセキュリティ対策は最も容易な方法とも言えます。しかしながら、ストレージレベルの暗号化は、アタックサーフェスを減らすために役立つでしょうか。
何もしないよりは少しは役立ちますが、他のすべてのレイヤは暗号化されていない状態であり、そのデータは保護されていないネットワーク間で配信されます。それでは、どこでデータを暗号化すべきか?
このように考えると、個人データ/機密データの暗号化レベルが高いほど、より多くのレイヤで保護された状態になります。
例)
アプリケーション、アプリケーションOS、データベース、VM暗号化、ファブリック(移動するデータ)、ストレージシステム、バックアップ・・・・。

貴重なデータを出し入れするストレージシステムについても攻撃対象であることの高い意識をもったデータ保護を考えるべきですが、実はAFAはこの点に関して妨げになっている点があります。
ほぼすべてのAFAではディスクレベルの暗号化を提供しています。しかしこれは暗号化が可能な唯一のレベルです。また、データはどこでも暗号化されますが、AFAでデータ削減ができないと、AFA全体のコスト管理が難しくなります。AFAを顧客が支払い可能な最低ラインまで下げるには、データ削減(1:3から1:6の比率で)するしか方法がありません。すなわち、本番環境のインフラストラクチャーの基盤にAFAを選択する顧客は、データプライバシーに関わる全ての規制(GDPR、SB−1386、HIPAA、PCI−DSS、NY−DFS等)で必要となるエンドツーエンド暗号化ポリシーを実際には導入しようとしないということになり得ます。

また、ビジネスシーンにおいては以下のようなシーンでデータセキュリティが妨げられています。

○暗号化ができない、もはやサポートされていない10年使用されたアプリケーション
○メンテナンスを受けるのに1年かかるビジネスクリティカルアプリ
○暗号化に時間をかけようとしないアプリケーションオーナー

重要な局面でデータセキュリティの強化を犠牲にすることがしばしば見られます。多くの顧客は、このような環境でより低いレベルのスタック(DB/VM/OS)で暗号化を終えている企業も見られます。


データ駆動型社会に求められるデータセキュリティ

では、どのような対策を取る必要があるでしょうか。具体的には高いスタックのセキュリティ対策を講じることです。

配分 / 性能

セルフ暗号化ドライブ(SED)を除いて、性能にはかなりのCPUパワーが必要です。ITスタックには、必ずストレージアレイよりも多くのホストがあり、データ暗号化タスクをスタックの上位に移動させます。これは、個々のデバイスのワークロードを削減し、性能を最適に配分しながら、ワークロードをより広く配分するということも意味します。

セキュリティレベル

暗号化するスタックレベルが高いほど、セキュリティはより強化されます。 アプリケーションは、データのコンテキスト/意味を「認識」するので、個人を特定できる情報(PII)だけを暗号化することができます。これは、より低いオーバーヘッドにもつながります。下位レベルでは、データベース管理者(DBA)は暗号化された表領域と暗号化されていない表領域を提供し、適切なデータを適切な場所に置くことができます。この場合セキュリティは弱くなりますが、VMまたはLUN全体を暗号化するよりももっと有効な方法です。

クラウド対応

データが常に同じレベルで保護され、ネットワーク(WAN)上で保護状態を維持する必要がある場合、どのようなクラウド移行の場合でも前提として暗号化をスタック上に移動する必要があります。ソース(オンプレミス)ですでに暗号化されているデータは、クラウドにバーストまたは移行する際に、追加のセキュリティ対策は必要ありません。そのため、アプリケーションが特定のクラウドプロバイダーのセキュリティメカニズムに縛られていないので、マルチクラウド戦略と同様にハイブリッドクラウド戦略が可能になります。

統合の容易さ

OS/DB/ハイパーバイザーレベルで暗号化を統合することには利点があり、各フレーバはごくわずかですが、この環境には多くのアプリケーションが存在します。運用の観点から考えると、複雑さを低減することができます。


データセキュリティと処理性能の両立のための提案

日商エレクトロニクスは企業が直面するデータセキュリティへの取り組みとして、InfiniBox®エンタープライズストレージアレイのご使用を強く推奨致します。
上記記載の利点を包括しつつ、多様なアプリケーションワークロードのためのAFAよりも速い性能、高可用性を提供しており、数ペタバイト規模での処理が可能です。
ゼロインパクトのスナップショットおよびアクティブ/アクティブレプリケーションは、ビジネスにおける俊敏性を劇的に改善し、一方、保存データの暗号化により、ほとんどの本番環境において、廃止済みアレイを安全に消去する必要性がなくなります。InfiniBoxでは、企業のIT組織やクラウドサービスプロバイダーは、目標を上回るサービスを提供することができ、一方で、ペタバイト規模のストレージ運用の費用と複雑さの低減にも貢献します。