2021年7月15日 21-NR106 2021年9月1日更新
国際的なイベント(国際サミットやスポーツの国際大会など)開催中はサイバー攻撃も活性化し、官民問わずサイバー攻撃にさらされます。(※)
また、サイバー攻撃を行う犯罪集団は無作為に攻撃を行うため、大企業も中小企業も関係なく脅威にさらされる事になります。
サイバー攻撃から自社の大切なデータを守るためにも下記の準備内容をご覧いただき、皆様の環境下でのNASのセキュリティ状況の確認と見直しにお役立てください。
※ 参考:独立行政法人情報処理推進機構(IPA)が事務局を担う
「サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)」による注意喚起
独立行政法人情報処理推進機構サイトへ
重要なデータが保存されるNASですが、運用で押さえるべきポイントを絞りこむことにより、情報セキュリティ対策をコストを掛けずに導入することが可能です。
主なポイントは、「脅威そのものへの対策」および、万が一事故が発生した際の「復旧手段の準備」、発生後に何があったか確認するための「証拠保全」の3つになります。
それぞれのポイントで対策方法は異なります。
各ポイントにおける具体的なチェックシートを用意しましたのでご自身のNASの状態を把握し、対策にお役立てください。
社内全体のセキュリティ対策としては、インターネットの出入り口のセキュリティ強化やエンドポイント対策(サーバーPCやクライアントPCのセキュリティ対策)も必要ですが、侵入された際に被害を最小限に押さえる対策も必要です。
NASのファームウェアやOSを最新バージョンに更新している | 脆弱性が存在するとそこを突いた不正アクセスなどによる情報漏えいといった被害につながる可能性があります。脆弱性の対策やバグ修正を放置せず常に最新状態を保てるよう、ファームウェアやOSの最新バージョンを適用します。 | |
ビジネス向けNASを使用して、アクセス権限を設定している | ビジネス向けモデルでないNASでは、ログ取得、アクセス権の細かな設定、バックアップといったセキュリティ関連の機能が無い場合があります。 | |
バックアップ先をネットワーク共有されないUSBハードディスクにしている | USBハードディスクにバックアップしたデータを改ざんされたり、削除されないようにネットワークからアクセスできないように設定します。 | |
共有フォルダに、フルアクセス設定しない | 共有フォルダはフルアクセス(全ユーザーが自由に読み書きできる)設定せず、必要なユーザーのみに設定します。 | |
権限付与を細かく必要なアカウントのみにする | 共有するフォルダは必要なユーザーのみに設定し、不必要なユーザーにアクセス権限を設定しないことで、侵入されたユーザーアカウント以外のデータを守る事ができます。 |
古い(購入後5年以上)NASを使っていない | 世代の古いNASでは、データのバックアップ等の機能が不十分な場合があります。 | |
NASのバックアップを実施している | クライアントPC、サーバーのバックアップデータや、NASに保存される共有データをさらにUSBハードディスクや、クラウドストレージにバックアップすることでデータの消失や改ざんされたときに、復旧する事が可能です。 | |
NASの複数世代の世代バックアップを実施している | 暗号化された状態やファイル削除された状態をバックアップしてしまうことで、必要なデータの復旧が困難になる場合があります。 毎日バックアップを実施している場合に4世代以上の世代バックアップを実施する事で、週明けに気がつくことが遅れてもバックアップを遡ることでデータを復元できます。 |
ファイルアクセスログの取得を行っている | NASに保存されたファイルへのアクセスに対してアクセスログを保存することで、セキュリティ問題が発生した際の被害範囲を特定するとができます。 ※当社LAN DISK HおよびLAN DISK Xはログ拡張パッケージを利用することで、詳細なファイルアクセスログの取得が可能です。(LAN DISK Xは今後対応予定 ファームウェアアップデートによりLAN DISK Xも対応しました。(2021年9月1日追記)) |
参考:追加コストなし!中小企業で可能な、LAN DISK H の情報セキュリティ対策(ホワイトペーパー:PDF)
その他のホワイトペーパーはこちら
当社の法人・企業向けNASは、豊富なバックアップ方法やセキュリティ対策が可能です。
当社製NAS「LAN DISK」を用いたオンライン「NASセキュリティ対策セミナー」を開催いたします。
NASセキュリティ対策セミナー -あなたの会社のサイバー攻撃対策は大丈夫?-
【開催日時】2021年7月28日(水) 17:00 ~ 17:30
【開催形式】オンラインセミナー(無料)
【申込みURL】 https://wssl.iodata.jp/report/entry
上記セミナーのアーカイブは、こちらよりご覧いただけます。(2021年9月1日追記)
このページの情報は発表時点の内容です。