
災害は予告なく発生し、人為的なミスも起こります。どれだけ NAS やクラウドストレージが安全でも、バックアップは依然として必要であることは誰もが知っています。そうでなければ、ファイルを誤って削除した場合、取り戻すことはできません。それは永久に失われます。
どのようにバックアップを取りますか?データを外部のハードドライブにコピーするだけで十分でしょうか?バックアップについて議論するたびに、3-2-1-1-0 バックアップ戦略を再確認する価値があります。3-2-1-1-0 の意味は次の通りです:
- 3: データのコピーを少なくとも 3 つ保持します(元のデータ + 2 つのバックアップ)。
- 2: 2 種類の異なるストレージメディア(例: ハードドライブ、NAS、クラウドストレージ)を使用してバックアップを取ります。
- 1: 少なくとも 1 つのバックアップをオフサイトに保管します(元のデータとは異なる物理的な場所、例: クラウドや別の場所にあるストレージデバイス)。
- 1: ランサムウェアから保護するために、1 つのオフラインでアクセス不能なバックアップを保持します。
- 0: 未確認のバックアップがゼロであるべきです(バックアップを定期的にテストして検証し、使用可能であることを確認してください)。
重要な概念の 1 つは、「少なくとも 1 つのオフラインバックアップを持つこと」です。それは、データを外部のハードドライブにバックアップしてから、それを取り外すようなものです。接続したままにするのではなく、コンピュータがウイルスやランサムウェアに感染した場合でも、外部のハードドライブは安全でない環境から隔離されます。それはまるでノアの箱舟の種子バンクのようなものです。
ネットワーク環境内でのデータバックアップの文脈では、「オフライン」とは必ずしもケーブルを物理的に取り外すことを意味するわけではありません。それはバックアップを「ネットワーク接続なし」の状態に置くことを意味し、同じ効果を達成します。
理由は簡単で理解しやすいですが、それを手動で実行するのは非常に面倒です。特に上記のタスクを数時間以内に完了させる必要がある場合や、毎日 1 回実行する必要がある場合、かなりの人手と時間を消費します。
幸いなことに、QNAP は包括的なバックアップソリューションを提供しており、これにより上記のすべてのタスクを定期的なスケジュールで自動化するために一度のセットアップだけで済みます。多くのユーザーはすでに QNAP の Hybrid Backup Sync (HBS 3) に精通しており、これを使用してローカルのストレージや複数のクラウドサービス間で同期およびバックアップタスクを一括管理することができ、3-2-1-1-0 戦略の実用的な要件を完全に満たします。
Airgap+、私たちが今回紹介するソリューションは、このアプローチのセキュリティをさらに強化します。その名の通り、Airgap+ は「エアギャップ」、つまりネットワーク接続における意図的な「分離または障壁」を指します。絶対に必要でない限り、バックアップノードはオフラインのままにしておくべきです。これは直感的で効果的な防御戦略です。

(キャプション: Airgap+ は QHora ルーターを介して不要なネットワーク接続を切断し、バックアップ時にのみ再接続します。)
この概念をより直感的に説明するために、例を挙げてみましょう。あなたが会計事務所を運営していると想像してください。当然ながら、その事務所は一般に公開されており、毎日さまざまなクライアントや訪問者が相談に訪れます。事務所内には多くのクライアントの会計記録やファイルがあります。セキュリティの理由から、これらの記録やファイルの「コピー」を別の物理的な場所に保管する必要があります。そのため、事務所の近くに倉庫があり、事務所から物理的に隔離されています。
なぜ隔離が必要なのでしょうか?説明するまでもありません。それは、外出時にすべての鍵を同じ場所に置かないのと同じです。第一に、リスクを分散させるためです。第二に、他人にその場所を推測されるのを防ぐためです。ことわざにもあるように、「卵を一つのバスケットに盛るな」ということです。
しかし、物理的に分離されていても、実際の運用上のリスクは依然として存在します。例えば、会社が「当社の倉庫は XX 通り X 階にあります」といった明らかな看板を掲げていたり、会社にアクセスできる全ての人員が倉庫にも自由にアクセスでき、しかもアクセス制限時間がない場合を想像してみてください。その場合、倉庫のセキュリティは大幅に損なわれるでしょう。
馬鹿げているように聞こえますよね?誰が公の場に機密情報を堂々と掲示するでしょうか?しかし、サイバーセキュリティ意識が低いユーザーは想像以上に多いのです。実際、全員がネットワークエンジニアである必要はなく、サイバーセキュリティの技術的な詳細を理解することを期待されるべきではありません。しかし、重要なデータを保護する責任がある場合や、会社でネットワーク管理者の役割を担っている場合、公開された IP やポートが存在する限り、それは自宅の玄関を開けっ放しにして鍵をかけていないのと同じであり、malware や悪意のある人物が侵入しやすくなることを明確に理解する必要があります。
Airgap+ が行うのは、異なるノード間のアクセス制御を管理し、バックアップやデータの転送、またはレプリケーション作業を処理することです。非必要な時間帯にネットワークを切断することで、会社の人員が倉庫に直接アクセスできないようにし、主要な NAS とバックアップ NAS が接続されないようにします。これらは指定された時間や特定の必要がある場合にのみ接続・通信が可能です。それは、銀行が午後 3 時 30 分に閉店するのと似ています。もちろん、営業時間外には外部の人間は立ち入りできません。
3 台以上の NAS デバイスを使用して 3-2-1-1-0 戦略の「3」の要件を満たす場合、Airgap+ は「隔離」をより効果的に実現できます。会社と倉庫の間に「郵便室」を追加して記録を一時的に保管することを想像してください。会社の担当者は郵便室の場所しか知らず、郵便室の担当者だけが倉庫の正確な場所を知っています。これにより、倉庫の実際の場所を効果的に隠し、複数の保護層を実装してデータを保護します。
NAS バックアップに適用すると、外部に公開されているプライマリ NAS は会計事務所のようなもので、Bridge NAS は郵便室の役割を果たし、バックアップ NAS は倉庫に相当します。プライマリ NAS はスケジュールされた時間にのみ Bridge NAS に接続し、Bridge NAS は指定された時間にバックアップ NAS と同期します。「3 台のデバイスが同時に接続される」状況はなく、プライマリ NAS はバックアップ NAS の場所を知りません。時間分離と接続制御を効果的に利用して「ファイアウォール空間」を作り出すことが、Airgap+ の本質であり、それは文字通りにも実際の応用においても重要です。

(キャプション: プライマリ NAS が Bridge NAS とデータを同期する必要がある場合、接続が確立され、この段階ではバックアップ NAS は関与しません。)

(キャプション: その後、Bridge NAS がバックアップ NAS とデータを同期し、プライマリ NAS はもはや関与しません。プライマリ NAS への接続は切断されています。)
Airgap+ の実装は難しくありません。必要なのは、2 台以上の QNAP NAS デバイスと、接続を管理するために特別に設計された QHora ルーターだけです。まず、QHora ルーターは QNAP NAS とシームレスに統合し、セキュリティポリシーに直接準拠します。次に、QHora ルーターは、より低いセキュリティを持つルーターをユーザーが採用するのを防ぎ、他の問題を引き起こす可能性を排除します。
この時点で、鋭い読者の中にはすでに気づいた方もいるかもしれません:これは本質的に柔軟で安全なコールドストレージの形態ではないでしょうか?その通りです。これは、QNAP の製品ラインアップがコールドストレージをヘルプ実装する多くの方法の 1 つに過ぎません。他の技術やアプローチについては、今後の議論で取り上げます。
では、Airgap+ をすぐに採用する際に何か困難や障害はあるのでしょうか?まず、企業が 2 台以上の NAS デバイスを持つことは非常に一般的です。実際、Hybrid Backup Sync (HBS 3) をサポートする QNAP の NAS は、この機能にすでに対応しています。本当に必要なのは、QHora ルーター と QuRouter 2.4.2 以降を備えたデプロイメントを行うことです。それが整えば、すぐにフレームワークを実装できます。
もちろん、QHora ルーターは Airgap+ のためだけに作られたわけではありません。それは完全な機能を備えたエンタープライズグレードのルーターであり、一部のフラッグシップゲーミングルーターよりもさらに手頃な価格です。さらに、QHora ルーターは、より統一された一貫性のある仮想ネットワーク管理を可能にします。その用途は非常に多岐にわたり、バックアップを支援するだけではありません。
最後に一言。ネットワーク管理における「エアギャップ」という概念は新しいものではありません。ルーターを手動で切断したり、ネットワークケーブルを抜いたり、NAS の電源を切ったりすることで実現できます。しかし、正直なところ、それは実用的ではありません。自動化、無人操作、リモートコントロール、スケジュールタスクを含む仕組みが、3-2-1-1- 0 バックアップ戦略の要求を真に満たすためには不可欠です。それによって初めて企業はコストを削減できます。結局のところ、大きなファイルのコピーを待つのにイライラすることが多い私たちが、手動操作に頼る現実性はどれほどあるでしょうか?
Airgap+ にお任せください!