ストレージ接続を保護するためのベストプラクティス

| 2024年07月03日

ビデオ編集者やその他のポストプロダクションのプロであれば、おそらく接続されたストレージデバイスなしでは機能しないでしょう。 そしてそれこそが、ストレージ接続を保護することが非常に重要な理由なのだ。.

結局のところ、ネットワーク・アタッチド・ストレージ(NAS)のような接続ストレージ・デバイスは、サイバー犯罪者から特に狙われやすいと考えられている。それは次のような理由からだ:

  • これらのデータには、非常に貴重な(つまり専門的な、ビジネス上の)データが含まれていることが多く、被害者が身代金を支払う動機付けになる。
  • バックアップされていないことが多い。
  • よりも妥協しやすい。 サーバー IT部門が管理する。

世の中には、クラウドストレージ(Amazon S3、Azure Blob Storage、Google Cloud Storageなど)から、以下のようなさまざまなタイプの接続デジタルストレージがあります。 ストレージエリアネットワーク (SAN)やオンプレミスのネットワーク・アタッチド・ストレージ(NAS)デバイスがある。

この記事では NASストレージ接続 オフィスや家庭のネットワークの外からアクセスできる、消費者向けのオフィス/家庭用ネットワーク・ルーターの背後にある。しかし、ストレージ接続の安全性に関するこれらのポイントのほとんどは、オンプレミスに接続されたストレージにも当てはまる。

目次

より多くのコラボレーション、より少ない構成

MASVは、共有ストレージへのセキュアで統一されたエントリーポイントとして機能することで、データの取り込みを簡素化します。

MASVを無料で試す

ストレージ・コネクションの脅威の状況

セキュリティ研究者ジェイコブ・ホルコム 監査対象NASデバイス 2014年に10社から集めた。その結果は?そのすべてに壊滅的な脆弱性が含まれていた。

それ以来、コネクテッド・ストレージのセキュリティは間違いなく向上しているが、コネクテッド・ストレージ・デバイスは依然として広範な攻撃を受けている:

  • Synology NAS デバイスは、2021 年に攻撃に直面した。 過去1年以内.
  • QNAP機器は、2021年のQlockerランサムウェア攻撃の標的となった。
  • ウエスタンデジタルNAS デバイスが2021年にリモートコード実行の脆弱性を介して攻撃された。
  • 最近では、4月に10万人近くが死亡したと報じられた。 D-リンク NAS デバイスにはバックドアの脆弱性がある。
プレースホルダー画像

ポート開放の危険性

ハッカーは、適切な予防措置を講じなければ、必ずしも脆弱性を突いてシステムやストレージ・アカウントに侵入する必要はない。

ポートの開放または転送 例えば、ルーターに接続されたストレージへのリモートアクセスを許可することは、大きなリスクとなりうる。

ボットネット攻撃 NASストレージ・デバイス は非常に一般的です。これらのボットネットは、NASやその他の接続ストレージで使用されているオープンポートを見つけると、ほぼ間違いなくブルートフォースで侵入し、管理者認証情報を盗み出そうとする(そして、データを盗むか暗号化して身代金を要求する)。

また、ストレージ・デバイスのデフォルトの「admin」アカウントを使用しているときにポートを開けたままにしておくと、攻撃者はあなたのアカウント・ユーザー名を推測する必要がないため、ブルートフォース攻撃を成功させるのが非常に簡単になります(これについては後で詳しく説明します)。

コネクテッド・ストレージの専門家によると、ここ数年、NASデバイスに対するこの種の攻撃が顕著に増加しているという。だからこそ、少なくとも年に一度はNASのセキュリティをチェックし、アップデートすることが不可欠なのだ。

ストレージ接続を保護する方法

複雑なパスワード(パスフレーズがあればなおよい)を使用する、システムのパッチを適用して常に最新の状態に保つ、といった標準的なサイバーセキュリティに加え、ストレージ接続を保護するために他に何ができるでしょうか? ファイルアップロードを安全に保つ?

結局のところ、自分自身の接続デバイスを保護し、維持することは、例えばグーグル・クラウド・ストレージ接続よりも多くの責任を伴う。

他のことをする前に、そうすべきだ:

  • ストレージデバイスと他のデバイス間のネットワークトラフィックを暗号化するHTTPS接続を使用するように、ストレージデバイスを設定します。
  • 有効なSSL/TSL証明書がインストールされていることを確認してください(通常、デバイスの管理インターフェイスから証明書を取得し、インストールできます)。
  • データに万が一のことが起こった場合に備えて、バックアップ・ストレージを導入する。

ここでは、データ管理のベストプラクティスの一環として、ストレージ接続をロックするためのその他の対策を紹介する。

ネットワークを安全に保つ

まずは基本から:基本的なことから始めましょう。 自宅やオフィスのネットワークの安全性 接続されているストレージがそこにある可能性が高いからだ。ルーター、ファイアウォール、その他のネットワーク機器は、常に比較的新しく、最新の状態に保ち、新しいパスワードで設定すること。

ルーターを保護するには、まず ルーターのIPアドレスを調べる.それをブラウザのアドレスバーに入力します。そこからルーターにログインし、以下のようなあらゆる種類の便利なセキュリティ設定を追加することができます:

  • 無効化 WPS.
  • HTTPSログインを有効にする。
  • リモートアクセスを無効にする。
  • WPA2暗号化を有効にする。
  • ファームウェアのアップデート
  • 万が一に備えてロギングを有効にする。

また、ログイン中にパスワードを更新することもできます(ルーターの現在のユーザー名をデフォルトの「admin」から変更することもできます)。

ユーザー名の変更といえば...。

ストレージデバイスの管理者アカウントを無効にする

ほとんどの接続されたストレージデバイスは、デフォルトで "admin "というユーザー名になっています。これはすぐに変更すべきです。ハッカーはadminが一般的なデフォルトユーザー名であることを知っていて、総当たり攻撃でそれを利用しようとするからだ。

このビデオを見る を参照してください。Synology NAS ユーザーがポート 5000 または 5001 を開いたままにした場合に発生する可能性のある例を示しています: 短時間のうちに未知のエンティティから数千回のログイン試行があり、すべてユーザー名「admin」を使用している。

管理者アカウントを無効にするには、adminという名前ではない、管理者権限を持つ新しいアカウントを作成するだけです。そして、元の管理者アカウントを停止する。こうすることで、多くのブルートフォースアタックを防ぐことができる。

IPおよびユーザー名のブロックを有効にする

Synology や QNAP など、多くの接続ストレージデバイスには自動ブロック機能が搭載されており、NAS が一度に多数のログイン試行失敗を検出した場合、特定の IP をブロックします。

ほとんどのデバイスでは、自動ブロックルールのカスタマイズも可能です。例えば、5分以内に10回失敗したらIPアドレスをブロックするように設定できる。

💡 :誤って自分のNASから閉め出されることがないように、特定の時間経過後にIPアドレスのブロックを解除する自動ブロックを設定できます。

Synology および QNAP NAS デバイスには、同じユーザー名で何度もログインを試みるのを監視 (最終的にはブロック) するアカウント保護機能もあります。または、企業は フェイルツーバン侵入防御デーモンは、何度も失敗した試行を生成するIPを禁止することによって、ブルートフォース攻撃を防御する。

ボットネット攻撃を軽減するには、IPブロックよりもユーザー名をブロックする方が効果的な場合があります。ボットネットは感染したマシンから何千ものIPアドレスを循環させることができるからだ。

2FAまたはアダプティブMFAを使用する

2ファクター(2FA)を有効にするオプションがある場合、あるいは、2ファクター(2FA)を有効にするオプションがない場合は、2ファクター(2FA)を有効にするオプションがあることは言うまでもない。 多要素認証 (MFA)をデバイスにインストールする必要があります(これはほとんどすべてのデバイスに当てはまります)。2FAまたはMFAを備えたほとんどのNASデバイスは、ログイン時に一意のコードを生成するために、セキュアなUSBキーまたは認証アプリを必要とします。

つまり、ハッカーが何らかの方法であなたのユーザー名とパスワードにアクセスしたとしても、接続されたストレージにアクセスするためには、あなたの電子メールや電話にも侵入する必要がある。ほとんどのハッカーは、(特にあなたをターゲットにしていない限り)わざわざこのようなことはしません。

実際、2FAを有効にすることは、多くのハッカーが侵入にそれほど労力を必要としないソフト・ターゲットに焦点を当てているため、特に効果的である。

2FAを有効にするだけでなく、デバイスによっては適応型多要素認証が可能なものもある。つまり、通常とは異なるIPアドレスからログインしようとする人は、自動的に追加の認証情報の入力を求められることになる。このオプションがある場合は、これも有効にしておこう。

NASファイアウォールとDoS保護を有効にする

NASやその他の接続されたストレージ・デバイスには、ファイアウォールが内蔵されていることが多い。しかし、NASデバイスの中には、ファイアウォールを積極的にオンにしないものもある。ユーザーは手動でそれを行う必要がある。

とはいえ、NASのファイアウォールを設定し、オンにしておくのは常に良いアイデアだ。

ビデオ編集者やポストプロダクションのプロフェッショナルで、特定の国の共同作業者としかビジネスを行わない場合は、ファイアウォールを有効にすることもできます。 ジオ・ブロッキング を使えば、一緒に仕事をしていない地域の人をブロックすることができます。ジオブロックは通常、国別に行われます。

米国におけるサイバー攻撃の多くは海外から発生しているため、ジオブロッキングを導入することで、ストレージ接続に対する攻撃量を桁違いに減らすことができる。

デバイスのファイアウォールを設定するのと同様に、デバイスのサービス拒否(DoS)攻撃対策も手動で行う必要がある。

ポートの保護

開いているポートを検出するためのポート・スキャンは、車のドアの取っ手を揺すってドアが開いているかどうかを確認するのと同じようなものだ:それは簡単で、常に行われ、災難につながる可能性がある。 Redditのあるコメント ファイアウォールでポートスキャンを監視している人からは、1秒間に10件もの報告があった。

それが重要な理由だ:

  • 絶対に必要な場合を除き、ポートは閉じたままにしておくこと。安全な接続のための基本的なセキュリティ慣行は、外部との通信に必要のないポートはすべて閉じることです。
  • どのポート番号をオープンにしておくか、注意してください。ポート番号5000と5001についてはすでに述べた。ポート番号22は、Secure Shellプロトコル(SSH)に関連しており、リモートデバイス接続用のデフォルトポートであるため、攻撃者の間で人気がある。つまり、すでに述べた多くのポート番号と同様に、人気のないポート番号よりも不正ログインの試行回数が多いということです。

いずれにせよ、ポートを開いたままにしたり、ポート転送(リモート・サーバーがプライベート・ローカル・エリア・ネットワーク(LAN)上のデバイスにアクセスできるようにすることで、攻撃者があなたのデバイスをコントロールできるようになる)を許可することは、本質的に危険である。

しかし、このようなことをしなくても、ストレージをウェブに接続する方法はあります。Synology NAS デバイスに関して言えば、セキュリティの専門家の中には、以下を使用することを推奨する者もいます。 クイックコネクト QuickConnectはポート転送を必要としないためです。

しかし、QuickConnectの欠点は、大きなファイルやフォルダをインターネット経由で共同作業者やクライアントにエクスポートする場合、非常に時間がかかると考えられていることだ。

VPNを利用する

ストレージ接続を保護する最も効果的な方法の1つは、仮想プライベート・ネットワーク(VPN)を使用して、すべてのネットワーク・トラフィックに暗号化レイヤーを追加することです。

ほとんどのNASデバイスでは、ユーザーは次のようなこともできる。 独自のVPNサーバーを立ち上げる.

しかし、VPNを使うことの主な欠点は、クライアントやパートナーと仕事をするときに、VPNを使うのが面倒なことだ。例えば、NASから大きなファイルやフォルダをダウンロードするために、クライアントにVPNへのアクセス権を与えたくはないでしょう。

VPNはセキュリティに関しても万能ではない。VPNは認証ポリシーやユーザー権限を強制することができず、リモート・ユーザーが破損したデバイスから接続することを許してしまう(ネットワークが危険にさらされたままになってしまう)。

デフォルトのポート番号を変更する

「Security by obscurity(不明瞭さによるセキュリティ)」は、サイバーセキュリティの世界では評判が悪い。確かに単独では強力なセキュリティ手法ではないが、他のより実質的で効果的なセキュリティ安全策と一緒に使えば、それなりの価値がある。

そのため、次のようなアドバイスもある。 デフォルトポート番号の変更 接続されたストレージで使用されます:

  • たとえば、Synology NAS はデフォルトでポート 5000(HTTP 接続用)と 5001(HTTPS 接続用)に設定されています。そのため、NAS に侵入しようとするハッカーは、これらのポートを嗅ぎまわって簡単な標的を探すことがよくあります。
  • その気になれば、HTTP(80)、HTTPS(443)、SSH(22)接続用のルーターのデフォルトポート番号を変更することもできます。ポート番号は1~65,535の間で自由に変更できます。

ポート番号を変更することの主な欠点は、ユーザーがアップデートを認識していなければNASにアクセスできないことである。

また、攻撃者は使用中のあらゆるポート番号をスキャンして簡単に見つけることができるが、そのようなことをするのは、特にあなたを標的にした場合に限られるだろう。 そして、ただ単に人気のあるポート番号を試しているわけではない。

MASV Centralized Ingestでポートを開かずにデータを収集

ストレージ接続を保護することは難しいことではありませんが、ちょっとした努力と勤勉さが必要です。接続されているNASやその他のストレージデバイスを保護するために、以下のことを考慮する必要があります:

  • ネットワークを安全に保つ
  • ストレージデバイスの管理者アカウントを無効にする。
  • IPおよびユーザー名のブロックを有効にする。
  • 2FAまたはアダプティブMFAを使用する。
  • デフォルトのポート番号を変更する。
  • NASのファイアウォールとDoS保護を有効にします。
  • ポートの保護
  • VPNの使用。

上記のほとんどの対策は、摩擦が少なく、実施も簡単だが、残念ながら、断固とした攻撃者にとっては依然としてリスクにさらされる可能性がある。

Synology QuickConnect や VPN を使用するなどの他のテクニックは、次のような場合にパフォーマンスやその他の変数に関する問題を引き起こす可能性があります。 大容量ファイルの送受信 またはデータセット。

MASV集中インジェスト一方、オンプレミス、クラウドを問わず、ユーザーは接続されたストレージへの単一のエントリーポイントを通じて、データ取り込みプロセスを一元化することができます。共有ストレージへのセキュアで統一されたエントリーポイントであるため、複数のストレージ・プラットフォームやリモート・ユーザーを設定・管理する際のITやセキュリティの負担を軽減することができる。

オンプレミスの接続ストレージを MASV は、ポート転送やポートの開放を一切必要としません。ユーザーは、ストレージやネットワークへの直接アクセスを許可することなく、MASV PortalのセキュアなWebアップローダーを使って共同作業者からファイルを収集することができます。MASVは、Trusted Partner Network(TPN)認証のファイル転送サービスです。 強力な暗号化とアクセス管理また、ISO 27001、SOC 2、その他のデータ保護規制に準拠しています。

集中インジェストでは、お客様またはお客様のITチームは、インジェストパスを簡単に定義し、アップロードアクセスをストレージシステム全体ではなく、単一のバケットまたはフォルダに制限することができます。

MASVに登録する 今すぐCentralized Ingestをお試しください。

ポートを開けずにNASに接続

MASV Centralized Ingestを使用すると、ポートの開放やポート転送を行うことなく、クラウドまたは接続されたオンプレミスのストレージにデータを保存できます。

MASVを無料で試す