| エンタープライズ:ニュース | 2002/07/24 23:55:00 更新 |
ストレージの一歩先の課題、それは“セキュリティ”
ベリタスソフトウェア(ベリタス)が都内のホテルで開催しているプライベートカンファレンス、「VERITAS VISION 2002 Japan」の2日目には、同社SANテクノロジストのロジャー・カミングス氏が登場し、「SANのセキュリティ」をテーマにセミナーを行った。同氏は業界団体、SNIAのセキュリティワークグループの共同議長も務めている。
最近のストレージ分野のホットトピックとしては、バーチャライゼーション(仮想化)とIPストレージが挙げられるだろう。前者はストレージの効率的な利用と管理を実現する手段として、各社が争うようにサポートしている。
一方IPストレージは、ファイバチャネル(FC)の代わりに、TCP/IPネットワーク経由でデータを転送するというアイデアで、iSCSIやFCIP、iFCPなど複数の手段が並行して模索されている。FCベースの製品群を提供してきたベンダーだけでなく、IBMやシスコシステムズ、アダプテックといった新しいベンダーも参入している。
ここで1つの問題が浮上してくる。転送されるデータをどうやって不正アクセスや破壊から保護するか、つまりどのようにセキュリティを実現するかだ。
「IPストレージの導入が進むにつれて、セキュリティが重要な課題になってきた」――ベリタスソフトウェア(ベリタス)のSANテクノロジスト、ロジャー・カミングス氏は、都内のホテルで開催されたプライベートカンファレンス、「VERITAS VISION 2002 Japan」のセミナーで次のように述べた。
カミングス氏は前日には、「iSCSI vs FC vs Infiniband」と題するセッションを行っており、IPストレージへの造詣は深い。また業界団体、SNIA(ストレージネットワーキング・インダストリ・アソシエーション)では、セキュリティワークグループの共同議長も務めている。
「最も弱いところが狙われる」とカミングス氏
「ストレージネットワークのセキュリティは新しい課題だ。1つのテクノロジで解決できるものではない」(カミングス氏)
ストレージの弱点は?
カミングス氏によれば、ストレージ分野においても、セキュリティ対策の基本は同じだ。すなわち、守るべきリソースを洗い出し、リスクをカテゴリ分けして脅威を評価し、リスクの重要度を計算する。これに応じて、自分が持つリソースや資金とのバランスをとりながら必要な対策を取り、その効果を測定する……この繰り返しである。
ところで、Webサーバなどに比べると、ストレージが危険にさらされる確率は低いように見える。ストレージデバイスにせよSANにせよ、物理的アクセスが限られているデータセンターなどに収容されるケースが多いからだ。しかし、「それでも攻撃を受ける可能性はある」とカミングス氏は指摘する。
その1つは、管理用インタフェースを経由しての攻撃だ。「SANスイッチやディスクアレイのデフォルトのパスワードを変更せずに運用しているケースが多い。だが、本当に気を付けなくてはならないのは、こうした実に簡単な事柄だ。さもないとここが弱点になり、攻撃にさらされてしまう」(カミングス氏)
もう1つ例としてあげられたのは、データセンターのオペレータによる操作ミスだ。この場合、悪意がなかったとしても結果は同じで、重要なデータが失われてしまう可能性は高い。また、既存のSANに不用意に新たなスイッチを追加したり、認証を得ないでソフトウェアアップグレードを行ったりしても、大きな影響が生じるという。
これに対しては、「IDごとに権限を分けて、特定のIDでしか再設定やアップグレード作業を許可しないようにしたり、SANの管理・監視用に特別のIDとパスワードを設定するといった対策が重要だ」(カミングス氏)。
パスワード設定とアクセス制御が重要に
同氏は現状を、「今のところ(顧客は)セキュリティにお金を支払う用意はない。安全でなくともパフォーマンスの高いシステムが求められている」と分析している。
だが、手をこまねいているわけにもいかない。カミングス氏は、ストレージネットワークを守る具体的な方策として、「ゾーンや論理ユニットでのアクセス制御」を挙げた。また、SSLやIPSecによる暗号化、RADIUSによる認証といった、ストレージとは別の次元のセキュリティメカニズムも、必要に応じて組み合わせるべきだという。
カミングス氏によれば、現在、IETFやT11.3、SNIAなど、複数の標準化団体・業界団体がストレージネットワークのセキュリティに取り組んでいるという。パフォーマンスとの両立をどう実現するかという問題は残るものの、いずれは強力な対抗手段が提供されるはずだ。
そしてそれまでの間、「やらなければならないことは単純だ。パスワードを変更して安全なものにし、必要に応じてLANセキュリティツールを併用し、SANインフラと設定機能に対するアクセス制限を行う。これらを絶対に行わなければならない」(同氏)という。
関連リンク
ベリタスソフトウェア[高橋睦美,ITmedia]
