データ漏洩やランサムウェア攻撃の影響と頻度の拡大に伴って、データのセキュリティがニュースに取り上げられることがますます多くなっています。一次データを保護するためのセキュリティ対策は進化しつつありますが、これらの攻撃は今後もやむことはなく、さらに高度化していくことを念頭に置く必要があります。この事実を理解して、その結果に備える必要があります。
単に境界を保護し、悪意のあるアクティビティを検出して対応するだけでは、データを保護するために十分でなくなりつつあります。最適な防衛を行うには、バックアップをセキュリティ戦略の中心に置く必要があります。ただし、バックアップなら何でもよいというわけではありません。高度なセキュリティ機能による、プロアクティブでインテリジェントな方法が必要なのです。このような方法は、バックアップアプリケーション自体が脆弱性とならないために必要です。最近リリースされたMicro Focus Data Protector 10.01は、セキュリティと使いやすさに関するさまざまな機能拡張を導入して、データに最大限の保護を提供することで、お客様のニーズを満たします。
セキュリティに関する主な機能拡張の概要を以下に示します。
- セキュアピアリング
Cell Managerとインストールサーバーの間のすべての通信に、セキュアピアリングが使用されるようになりました。すなわち、それぞれのアイデンティティが最初に確認され、構成時に検証されます。これにより、攻撃者が作成した「偽のクライアント」や「偽のCell Manager」が、悪意のある目的でバックアップ/リカバリ動作に干渉する恐れがなくなります。
このセキュア通信は、インストールまたはアップグレードプロセス中に開始されます。このプロセスでは、自己署名証明書と秘密鍵が生成されます。Cell Managerとインストールサーバーのそれぞれのフィンガープリントが検証され、Cell Managerの証明書がインストールサーバーに受け入れられるまで、両者の間の通信は開始されません。検証が完了すると、両者の間のすべての通信はセキュアになり、暗号化された状態で行われます。
注: クライアントがセルから削除された場合、それに関する対応する信頼関係も削除されます。クライアントとの通信を再確立してインポートを可能にするには、セキュアピアリング設定を再実行する必要があります。このための最善の方法は、インストールサーバーの手順を使用することです。
- SMB署名
Windows環境にクライアントをインストールすると、サーバーメッセージブロック (SMB) プロトコルを使用して、インストールサーバーからクライアントにデータがコピーされます。Data Protectorバージョン10.00以降、SMBサーバーとクライアントの両方がSMB署名を要求するようになり、アップグレードを含むすべての種類のリモートプッシュ操作の際に、有効なユーザー資格情報の指定が必須となります。
SMB署名を使用するということは、インストールサーバーからクライアントにファイルがコピーされる際に、署名され検証されたパッケージが使用されるということです。署名されたSMBトラフィックを使用することで、データの整合性を実現できます。インストール時にクライアントにセキュアなデータが渡され、攻撃者がデータを変更できないからです。
- SSH
Linuxクライアントのインストールおよびアップグレードパッケージは、従来rshとrexecを使用してインストールサーバーからクライアントにプッシュされていました (設定によりSSHも使用可能)。Data Protectorバージョン10.00では、新規Linuxクライアントにソフトウェアを送信してインストールするメカニズムとして、SSHがデフォルトになりました。インストールサーバーとクライアントの間にSSHキーがあらかじめ設定されていない場合、クライアントごとにパスワードの入力を求めるプロンプトが表示されます。
SSHは暗号化されたデータを送信するため、rshおよびrexecよりもはるかにセキュアなプロトコルです。もう1つの固有の利点は、Cell Managerとクライアントの間の証明書 (公開鍵) の相互交換が、セキュアなSSHチャネル上で行われることです。
- ポート数の削減
ポートの最大数は、Data Protector 9.09以降、3個に削減されました。この変更により、管理がはるかに容易になるとともに、ファイアウォールで開いておくポートの数が減り、設定の誤りの可能性が小さくなるため、セキュリティが向上します。Data Protector 10.00では、ポートのセキュリティをさらに高めるため、INETポートが、IANAに登録された新しいData Protector専用のポート5565/TCPに変更されました。このポートは、バージョン10.00以降のData Protectorの新規インストールでデフォルトで使用されます。
過去との互換性を維持するため、アップグレードでは引き続きポート5555を使用することができます。また、アップグレードされていないクライアントに対しては、古いセキュリティモデルが維持されます。クライアントがアップグレードされると、セキュアピアリングを採用した新しいセキュリティモデルが用いられ、Data ProtectorはTLS1.2をオンにします。TLS1.2の詳細についてはこちらをご覧ください。改善点としては、改良された暗号化スイートの使用によるプライバシーおよびセキュリティの改善とパフォーマンスの向上、および最新の規制要件への適合が挙げられます。
データセキュリティへの脅威はますます大きくなっており、特に新しいセキュリティパッチが発表されたときには、本番環境だけでなくバックアップ環境のコンポーネントも最新の状態に維持することが重要です。これにより、高度なセキュリティ機能を入手しながら、ビジネスソフトウェアやアプリケーションとの互換性を維持することができます。
(本ドキュメントは、以下のBlogドキュメントの日本語訳となります)
4 Enhancements to increase your Data Backup Security with Micro Focus Data Protector 10