Categories
軍事領域では、「Defense in Depth (DiD)」は「レジリエントディフェンス」または「レイヤードディフェンス」としても知られています。これは、包括的かつ多層的な防御戦略や先制攻撃を使用して、敵の進行を直接防ぐのではなく、その進行を遅らせるものです。この戦略は、いくつかの地域を犠牲にして時間を稼ぎ、敵により多くのリソースを消費させ、その攻撃の優位性を失わせ、元の出発点に撤退させ、さらには我々の側に反撃して状況を逆転する機会を提供することによって機能します。
大規模な戦争は今日の世界のほとんどの人々にとって遠いもののように思えるかもしれませんが、Defense in Depthの原則は、特にセキュリティ 関連の分野、核発電所や情報セキュリティを含む多くの非軍事領域で広く適用されています。これは、事故が発生するのを防ぐための複数の安全対策を実施し、事故が発生した後の損失を減らすための様々な措置を講じることを意味します。
企業や組織がITインフラの規模を拡大するにつれて、Defense in Depth戦略はさらに重要になります。ネットワークストレージ 技術の分野でのリーディングブランドであるQNAPは、多年にわたる開発を経て、包括的なセキュリティコントロールを提供しています。「管理セキュリティコントロール」から「物理セキュリティコントロール」、「技術セキュリティコントロール」に至るまで、QNAPは接続保護、脅威トラップ、権限保護、伝送保護、セキュリティ評価、災害復旧を含む完全なソリューションを提供します。
|
| 組み込みシステム | ソフトウェアパッケージのインストール |
|
接続保護 |
| |
|
脅威トラップ |
| |
|
権限保護 |
| |
|
伝送保護 |
| |
|
セキュリティ 評価 |
|
|
|
災害復旧 |
|
|
[レイヤー1] 接続保護: QVPN、 QuWAN、 QuFirewall
ユーザーがQNAP NAS にリモートで接続する際、安全かつ効率的な情報保護の最初のステップは、ネットワーク上での接続とファイル転送を確保することです。
QVPN サービス:安全かつ安心なファイル転送
VPNは公共ネットワークでのネットワークリソースおよびサービスへのアクセスのセキュリティを保証し、ネットワークトラフィックが傍受されるのを防ぎます。QVPN サービスはVPNサーバーとVPNクライアントの機能を統合し、リモートサーバーへの接続を可能にするか、ベンダーのVPNクライアントを介してコンテンツやサービスへのアクセスを容易にします。QVPN サービスはオープンソースのOpenVPNサービスをサポートし、市場で人気のあるOpenVPNサービス、例えばExpressVPN™、NordVPN®、Surfshark®、Astrill®などと統合し、より多様なVPN接続オプションを提供して、安全な仮想プライベートネットワークを保証します。
QNAPデバイスを QVPN サービスを通じて設定することで、リモートVPNサーバーに接続し、リモートリソースへのアクセスをより安全にし、地理的な制限をなくすことができます。接続はQNAPデバイスのデフォルトゲートウェイとしてさらに設定することもでき、すべての発信ネットワークトラフィックをVPNにリダイレクトします。 QVPN デバイスクライアントはQBeltおよびその他のプロトコルをサポートし、VPNを通じてQNAPデバイスに接続できます。接続ログは、履歴使用データを表示するために保持され、内蔵のスピードテスト機能はVPN接続速度をヘルプ 評価することができます。
QuWAN: 中小企業向けの新しいアジャイルITアーキテクチャの構築
Software-Defined Network (SDN) は、従来のネットワークにおけるデータフロー制御の方法を変えました。ネットワークデバイスの「コントロールプレーン」を分離し、外部サーバーに集約して中央コントローラーとしてすべてのデバイスを管理します。これにより、ネットワークシステム管理者はグローバルな視点を持ち、全体のネットワークを巨大なプログラム可能なソフトウェアのように動的にいつでも調整できるようになります。SDNの最も顕著な使用例の一つは、Googleが世界中のデータセンターを接続するために使用するB4広域ネットワーク(WAN)で、帯域利用率をほぼ100%に三倍にし、ネットワークをより安定して管理しやすくしています。
帯域幅の向上と管理の容易化に加えて、ポリシー展開に基づく情報 セキュリティは、SDNアプリケーションに非常に適している分野です。従来の企業ネットワークアーキテクチャでは、複数の場所を接続するには本部への接続が通常必要で、帯域幅が不足しているためにボトルネック問題に遭遇することがよくあります。しかし、市場に出回っている企業レベルのVPN機器は高価で展開に時間がかかり、一般の中小企業にとって手が出ないものです。
QNAP SD-WAN ( QuWAN ) は、高度な仮想化技術を使用して、外部に接続されたすべてのWANサービスを自動的に設定し、迅速にメッシュ仮想プライベートネットワーク(Auto Mesh VPN)を確立します。これにより、複数の支店ユニットが任意の支店で柔軟にネットワークを形成でき、低コストで高い柔軟性のあるネットワーク展開アーキテクチャを実現します。ネットワーク帯域幅を最適化し、企業の従業員が会社のイントラネットから内部システムにアクセスしやすくします。同時に、ネットワークセグメンテーションヘルプは、社外のユーザーへの内部データおよび情報の露出を制限します。
ソフトウェア定義 ネットワーキングは、セキュリティ分析と負荷分散を容易にします。QuWAN は、Deep Packet Inspection (DPI) 技術を利用してアプリケーション層で端末サービスを検出し、パケットの起源となるウェブサイト、デバイス、および潜在的なウイルスを効果的に識別します。また、重要なビジネスアプリケーションをカスタマイズし、それらに高い帯域幅の優先順位を割り当て、スムーズなネットワーク体験を提供できます。さらに、L7ファイアウォール機能を使用すると、悪意のあるパケットを自動的に検出し、特定のアプリケーションをブラックリストに登録してブロックし、企業ネットワークセキュリティを保証します。
myQNAPcloud Link: シンプルで安全なリモート接続サービス
myQNAPcloud Link は、QNAPが提供するリモート接続サービスで、インターネット経由で myQNAPcloud ウェブサイト(www.myqnapcloud.com)を通じてQNAPデバイスに接続できます。複雑なルーター設定は必要ありません。 myQNAPcloud Link アプリをインストールし、デバイスにQNAP IDを登録してから、そのQNAP IDを使用して myQNAPcloud ウェブサイトにログインし、QNAPデバイスに接続するだけです。
QuFirewall: QNAPデバイス専用ファイアウォール
Zero Trust Networksコンセプトに沿って、QNAPデバイスに QuFirewall をインストールして有効にすることで、重要なデータとサービスを保護するためのホストベースの「マイクロパーメータ」ファイアウォールを確立できます。また、ユーザー認証や権限設定など、他のセキュリティ機能をQNAPデバイスに統合して、デバイスをより堅牢で、ハッカーやマルウェアなどの脅威に対して高い抵抗力を持たせることができます。
[Layer 2] 脅威トラップ: ADRA NDR
情報セキュリティの分野では、行動分析は重要な技術です。異常なトラフィックや攻撃行動が検出されたときに、 セキュリティシステムをタイムリーにトリガーし、攻撃の実行を防ぐことがヘルプできます。
QNAPは、QGDシリーズアクセススイッチで、サブスクリプションベースのNDR(ネットワーク検出&対応)を導入しました。これは、Threat Watchを通じて一部のネットワークトラフィックを選択的かつ迅速にスクリーニングし、効率的で速度低下を引き起こさない方法です。また、Threat Trapを使用して、一般的なネットワークサービスのトラッピングメカニズムをシミュレートし、ターゲット型ランサムウェアやその他の悪意のあるソフトウェアのイントラネット侵入活動を早期に検出します。深層の脅威分析、脅威相関分析、および感染したデバイスの正確な自動ブロックなどの対策と組み合わせることで、イントラネット上のターゲット型ランサムウェアなどの悪意のあるソフトウェアの拡散がブロックされ、企業や組織の情報 セキュリティが確保され、被害から保護されます。
[レイヤー3] 権限 保護:委任された管理、AD/LDAP、二要素認証
情報セキュリティの分野では、データの漏洩、ネットワーク攻撃、およびその他の脅威を防ぐための技術的 セキュリティコントロールに加えて、管理セキュリティコントロールも重要です。管理セキュリティコントロールとは、システム管理者とセキュリティチームが内部システム、会社のリソース、およびその他の機密データおよびアプリケーションへのアクセスを制御するために設定した原則を指します。これにより、システム、デバイス、およびアプリケーションを不必要な人間関連のリスクにさらすことが避けられます。これは情報 セキュリティの不可欠な部分でもあります。
委任された管理:役割の分割
最小特権アクセスの原則とは、ユーザーに彼らの役割に必要なシステムおよびリソースアクセス権限のみを付与することを指します。このアプローチは、不正なユーザーが攻撃を実行したり、機密データにアクセスしたりすることからネットワークの他の部分へのリスクをヘルプ 最小限に抑えることができます。
組織が成長するにつれて、従業員とデバイスの数も増加します。アカウントとデバイスの数が絶えず増加する管理を担当するIT管理者が限られていると、日々の生産性に重い負担がかかり、頻繁にエラーが発生する可能性があります。従業員が特定の NAS 機能やタスクへのアクセスのみを必要とする場合、必要以上の権限を付与すると、NAS とそのデータに対してセキュリティリスクが生じる可能性があります。システム管理者がオフィスにいない、またはすぐにタスクに対処できない場合、特に緊急時に適切な権限を持つ他の人員が支援を提供できない場合、潜在的な災害につながる可能性があります。
したがって、「適切な権限 」を慎重に委任することは、生産性を向上させ、データセキュリティを確保し、チームの協力を促進することができます。アプリケーションタスクの実行とデータアクセスに限定された権限を付与することは、IT管理者の負担を軽減するだけでなく、部門マネージャーがデータをより大きくコントロールできるようにすることができます。これにより、組織の生産性とデータセキュリティが、権限の分散と責任の分担により向上します。
AD/LDAP: 権限の集中管理
企業がLDAPサーバーを設定することは、追加のハードウェア費用を意味します。幸いなことに、QNAP公式ウェブサイトのQPKGページは、OpenLDAPパッケージを提供しています。インストール後、QNAP NAS をLDAPサーバーに変換することができます。同じロジックに従って、LDAPプロトコルをサポートする他のサーバーも、LDAPサーバーにアップグレードされたQNAP NAS に参加し、統一された認証アカウントを提供することができます。
別の選択肢は、JumpCloudのクラウドLDAPサービスを借りることで、QNAP NAS をハイブリッドクラウドデータ運用センターに変え、クラウドディレクトリサービス(Directory as a Service)を提供し、クラウド内でLDAPサーバーによって元々提供されていたサービスを集中化することです。JumpCloudのウェブサイトからは、世界中のIT同僚が、訓練や調整の必要なく、一貫したLDAPサーバーを個別に設定できるように、集中化されたグローバル同僚ログインメカニズムを提供することができます。
これにより、ユーザーはJumpCloudのアカウントとパスワードのセットを使用して、世界中の同じドメイン内のさまざまなオフィスデバイスにログインできるだけでなく、すべての NAS 上のプリンターや公開フォルダー、またはOffice 365、AWS、G Suiteなどの100以上のクラウドサービスにログインするためにも使用できますが、オフィスWiFiアクセスの認証や、会社内のさまざまなローカルクラウドシステムへのログインにも使用できます。
二要素認証:身元確認
研究によると、多要素認証は悪意のある攻撃に対してより良い抵抗力を提供します。今日、強力なパスワードポリシーに依存するだけでなく、複雑なパスワードを使用するだけでは、不正アクセスから NAS を完全に保護するには不十分です。
モバイルデバイスにQNAP Authenticatorアプリをインストールし、時間ベースのワンタイムパスワード(TOTP)、ワンタイムパスワード(OTP)、QRコードスキャン、またはワンクリックログイン承認をサポートする NAS の二要素認証を設定することで、データセキュリティを大幅に向上させ、悪意のあるネットワーク攻撃を効果的に防ぐことができます。
[レイヤー4] 伝送保護: SMB 暗号化、最新の自己暗号化 ハードドライブ
「物理的 セキュリティ コントロール」は、改ざん、盗難、または不正アクセスなどの脅威からITシステムを保護するための重要な対策であり、データ暗号化はこの文脈で機密情報を保護する方法の一つです。暗号化は、読み取り可能なテキストを不正アクセスまたは悪意のある当事者によるアクセスを防ぐために解読不可能な暗号文に変換するプロセスであり、ネットワークセキュリティにとって重要です。QNAPは、データ転送から ハードドライブ上のストレージ まで、あらゆるものをカバーするソリューションの範囲を提供しています。
SMB (サーバーメッセージブロック)は、アプリケーションがコンピュータ上のファイルを読み書きしたり、ネットワーク上のサーバープログラムからサービスを要求することを可能にするネットワークファイル共有のためのプロトコルです。 SMB プロトコルは、ファイル共有およびリモートサーバー上のフォルダーや他のデータへのアクセス、リモートサーバー上のアプリケーションによるファイルの読み取り、作成、更新のためにTCP/IPまたは他のネットワークプロトコルを使用します。 SMB 3.0は、エンドツーエンドの暗号化を提供し、信頼できないネットワーク接続でデータが傍受されるリスクを軽減し、セキュリティを向上させます。主な利点は、展開、特定のハードウェア、またはWANアクセラレータのための追加コストを排除し、さらにインターネットプロトコルセキュリティ(IPSec)を強化することです。
QTS 5.0はAES-NIハードウェアアクセラレーションをサポートしており、これにより SMB 3転送プロトコルでのパケット署名、送信の暗号化および復号の効率が向上し、AES-NIハードウェアアクセラレーションがない場合と比較して最大5倍高速になります。重要なデータを保護しながらも、システムのパフォーマンスは効率的に保たれます。QuTS hero h5.1.0は、最新のAES-128-GMAC署名アクセラレーションをサポートしています(Windows 11®および Windows Server 2022®クライアントのみ適用)これにより、SMB 3.1.1転送プロトコルでのデータパケットの署名効率が大幅に向上し、CPUの利用率が向上し、パフォーマンスと保護の最適な組み合わせを提供します。
自己暗号化 ハードドライブ (SED)は、内蔵された暗号化プロセッサを通じて ハードドライブ 全体を暗号化し、情報 セキュリティの最終的な保護層を提供します。TCG-OPALおよびTCG-Enterpriseプロトコルをサポートするだけでなく、QTS 5.2は、TCG-Ruby SED標準に準拠した機械式 ハードドライブおよび固体状態ハードドライブ のサポートも追加し、NVMeおよびその他の新しいディスク技術の仕様を提供します。これは、現在の企業およびデータセンターのニーズにより適合し、GDPR、HIPPA、HITECHなどの規制要件の遵守を容易にします。
[レベル5] セキュリティ 評価: セキュリティ センター、 通知センター
予防は治療よりも優れています。新たに追加されたセキュリティセンターは、QNAP NAS のためのセキュリティハブとして、 QTS 5.2で機能します。これは、ファイル活動の監視、積極的な保護措置、 NAS セキュリティのステータスのスキャン、即時のアラート通知、および アンチウイルス ソフトウェアの統合を統合します。これは、NAS システムのステータス、ファイル活動、および潜在的なネットワークセキュリティの脅威を積極的に分析し、監視し、セキュリティリスクの評価を行い、データの損失とセキュリティの脆弱性を防ぐために即座に保護措置を講じることをユーザーに支援します。
さらに、 セキュリティセンターには「異常ファイル活動監視」という新機能が追加され、いつでもファイル活動を監視し、NAS ファイル活動のステータスと異常リスクを密接に検出します。ユーザーは視覚的な監視インターフェースを利用して、特定の時間内の平均ファイル変更量を迅速に把握できます。同時に、ファイル変更の数が閾値を超えた場合に警告イベントに対応するために保護措置をカスタマイズできます。例えば、即時保護(読み取り専用モード)、即時バックアップ(スナップショットの取得)、即時ブロック(スナップショットスケジュールの一時停止)などです。これにより、クリプトランサムウェア、マルウェア攻撃、または人為的エラーなどの脅威によって引き起こされるデータの損失のリスクと損害を最小限に抑え、NASセキュリティの管理をより効率的かつ包括的にします。
より広範なシステムのリアルタイム情報が必要なユーザーは、既存の QTS 通知センター にアクセスできます。これは、すべての QTS システムイベント、アラート、および通知を単一のアプリケーションに統合します。ユーザーは、各アプリケーションで個別に設定する必要なく、すべての通知を一元的に管理できます。これにより、ユーザーはいつでも NAS の状態を簡単に監視し、通知設定を迅速に構成し、システムログを単一のウィンドウを通じて表示できます。
[レイヤー6]災害復旧:SnapShot、SnapSync、バックアップ、Malware Remover、ADRA NDR
データストレージ 、共有、バックアップ、および復元は常にQNAP NAS の強みでした。これには、最新のマルウェア定義ファイルを自動的に更新する機能と、マルウェアに感染したデバイスをアクセス スイッチ で直接隔離する能力が含まれ、マルウェアに対する防御能力を大幅に強化します。この ヘルプ は攻撃を最小限の範囲内に収め、迅速な災害復旧を可能にします。
スナップショット機能は、写真を撮るのと同じです。任意の時点でのシステム状態とデータをバックアップとして記録し、将来的に復元することができます。スナップショットは従来のバックアップよりも少ないストレージ領域 を使用します。 NASデータが損傷した場合や、コンピュータが暗号化ランサムウェアに脅かされている場合、スナップショットを使用して重要なデータが失われないようにすぐに復元できます。SnapSyncはブロックレベルのリモートバックアップを使用して、ある QuTS hero NAS から別の NAS へデータを即座にバックアップし、バックアップ時間とデータ損失のリスクを減らします。
Hybrid Backup Sync は、ライセンスフリーのマルチサービスファイルバックアップ、復元、および同期ソリューションであり、企業の運営を中断させないことを保証します。ローカル、リモート、またはクラウドバックアップであっても、Hybrid Backup Syncは双方向のバックアップ、復元、およびデータ同期をローカル ストレージ 、クラウドサービス、またはリモートサーバーに実行し、包括的なデータ保護を提供します。
Malware Remover は定期的に NAS をスキャンして、最新のマルウェア定義ファイルをチェックおよびダウンロードできます。攻撃を受けた場合、悪意のあるコードを削除し、悪意のあるプログラムによって影響を受けたシステム設定およびファイルを復元することで、NAS の セキュリティ保護レベルを向上させます。 ADRA NDR は、すべてのネットワーク接続を切断することなく、影響を受けていないデバイスが無傷のままでいられることを保証します。QNAP NAS は、以前の無傷の時点にデータを復元でき、サイバーセキュリティ調査に必要な時間を大幅に短縮できます。これにより、従業員の作業用コンピュータや会社の運営に不可欠なサービスの迅速な復元が可能になります。
最も重要な防衛線:サイバーセキュリティ意識
最終的に、どれだけ進んだサイバー セキュリティ 技術であっても、それらは単なる「ツール」に過ぎません。その効果は、ユーザーがそれらを効果的に利用するための十分なサイバーセキュリティ意識を持っているかどうかにかかっています。サイバーセキュリティ意識とは、情報セキュリティリスクの認識と理解、および脅威や攻撃から情報を保護するための適切な対策の実施を指します。情報技術の急速な発展に伴い、サイバーセキュリティリスクも絶えず増加しています。このような状況下で、サイバーセキュリティ意識を高めることがデータ保護のための最も重要な防衛線となっています。
