知られざるNASの世界

第4回

ID漏洩!……でも物理キーで保護すれば大丈夫、USBメモリでNASをアクセス制限する方法

ドライブ全体を暗号化してUSBデバイスを物理的な暗号化キーとして利用

ID+パスワードに加え、「USBメモリ」でデータを保護

ASUSTORの4ベイNAS「AS6204T」。ドライブをリムーバブルディスクのように扱う「MyArchive」機能が利用できます
前面のUSBポートは、ドライブの増設などの用途に加え、USBメモリを暗号化のキーとして使うための差込口としても機能します

 NASは複数人で使うことも多いものですが、そうなると、「自分だけでみたい」「一部の人だけに見せたい」というニーズが必ずでてきます。オフィスでも家庭でも、なんらかのアクセス権限を設定するのは、もはや当たり前と言っていいでしょう。

 しかし、アクセスに必要なIDとパスワードが漏洩してしまうと、重要なデータが覗き見られる状態になってしまいます。データが読み取られたこと自体はログを見ればわかりますが、いったん流出したデータは戻ってきません。

 そこで、ASUSTORが用意したのがUSBデバイスによるアクセス制限+暗号化機能(一部モデルに搭載)。この機能では、USBメモリをはじめとするUSBデバイスを物理的な暗号化キーとして利用できます。つまり、本体前面のUSBポートにUSBメモリを挿している間だけ、読み書きが可能となり、抜いてしまうと一切の読み書きができなくなるというわけです。

 IDとパスワードを使う場合、両者が漏洩すると、データはネットワーク越しにアクセスされますが、USBメモリが「鍵」ならば、USBメモリをNASに差し込まないとアクセスできないため、「ネットワーク越しにアクセス」というわけにはいかず、さらにNAS本体が盗難に遭って解析されても、ドライブへのアクセスができない、というわけです

 実際のシーンで考えると、「夜間など、NASを使わない時間帯はUSBメモリを別の場所に保管しておく」「NASの置き場所を、自分の目の届くところにしておく」といったかたちになるでしょう。

 また、複数のUSBメモリを使い分けたり、複数のドライブを1つのUSBメモリに紐付けることもできるため、「挿したUSBメモリに応じて違うドライブを有効にする」「1つのUSBメモリで複数のドライブを有効にする」といったことも可能です。NASの置き場所にもよりますが、ID/パスワードよりも手軽に有効/無効を切り替えられるため、「アクセスする時だけUSBメモリを挿しておく」という運用をすれば、ランサムウェアへの感染防止にも、一定の効果がありそうです。

 この、USBメモリを利用した暗号化機能はドライブをリムーバブルディスクのように扱う“MyArchive”機能と組み合わせて利用します。今回は、ASUSTORの4ベイNAS“AS6204T”を例に、USBメモリを暗号化キーとして使う方法をご紹介しましょう。

まずは暗号化の設定から

 まずは設定の手順を見ていきましょう。

 MyArchiveのドライブを暗号化するにあたっては、セットアップの時点で[MyArchive暗号化]にチェックを入れておく必要があります。すでにデータが書き込まれているMyArchiveのドライブを、あとから暗号化することはできません。導入の時点でセットアップするか、あるいはいったんドライブ内のデータを別の場所に移し、暗号化がONの状態で再度セットアップしてからデータを戻す必要があります。

 セットアップウィザードで[MyArchive暗号化]にチェックを入れたのち、[設定が完了すると、エクスポートキーを暗号化。]にチェックを入れると、暗号化キーがローカルドライブに保存されます。書き出されたファイルを手持ちのUSBメモリに保存すれば準備完了。このUSBメモリをNAS前面のUSBポートに差し込んでいる間は、MyArchiveドライブの復号が行われ、データへのアクセスが可能になるというわけです。

カートリッジをリムーバブルディスクのように使えるMyArchive機能は、ストレージマネージャからセットアップを行います。具体的な手順は前回の記事を参考にしてください
ドライブを暗号化するにあたっては、セットアップの時点で[MyArchive暗号化]にチェックを入れます。また[設定が完了すると、エクスポートキーを暗号化。]にもチェックを入れます
暗号化キーがローカルドライブに保存されますので、手持ちのUSBメモリに保存すれば準備完了です
暗号化キーを保存したUSBメモリを、NAS前面のUSBポートに装着します(前面のみ対応しています)
ストレージマネージャのボリュームを一覧表示する画面で[バインディング]というボタンが表示されています。このボタンは暗号化を行っている時だけ表示されます

 さて、これらの設定を有効にすると、ストレージマネージャでボリュームの一覧を表示した際、画面の上部に[バインディング]というボタンが表示されるようになります。暗号化していなかった時にはなかったボタンです。

 このボタンをクリックすると、ドライブがバインドされた状態となり、取り外したドライブを再度装着した際に、NAS本体にUSBメモリが装着されているか、またその中に暗号化キーが保管されているか、チェックに行くようになります。ちなみにバインドが有効になっている状態では、ボタンのラベルは[バインド解除]へと書き替わります。

[バインディング]ボタンをクリックするとパスワードの入力が求められますので入力します
バインドに成功しました。ステータス欄に“アンマウント”とあることからもわかるように、この時点ですでにMyArchiveドライブはアンマウントされ、物理的に取り外しが可能な状態になっています

ドライブ利用中にUSBメモリを抜くとどうなる?

 では具体的に、どのような動きをするのでしょうか。USBメモリが差し込まれている状態では、MyAcrhiveドライブのマウント・アンマウントの操作は、通常と変わりません。[ストレージマネージャ]画面の[取り出し]を押すとアンマウントされ、取り外しが可能になります。ドライブを再び装着するとマウントが自動的に行われ、ファイルの読み取りができるようになります。

バインドされた状態でドライブをアンマウントするには[取り出し]をクリックします
アンマウントされました。この状態でドライブを物理的に取り外すことができます

 ではもし、ドライブを使っている最中に、USBメモリを抜くとどうなるのでしょか。USBメモリを抜くと、その瞬間から、MyArchiveドライブへのアクセスは不可能になります。Windowsの場合、エクスプローラーで表示されていた“MyArchive”フォルダーそのものが見えなくなります。ふだんからUSBメモリを差した状態で使っていることを知らなければ、どうすれば読み取れるようになるのか、皆目見当がつかないはずです。

USBメモリをNAS本体から取り外すと……
MyArchiveドライブがアンマウントされた状態になります

 次にこの状態で、再びUSBメモリを装着するとどうなるでしょうか。装着してしばらく待つと、マウントが自動的に行われ、Windowsのエクスプローラーにも再びMyArchiveのフォルダーが表示されるようになります。わざわざブラウザーでADMの画面を開いてパスワードを入力しなくとも、USBメモリの抜き差しだけでマウントおよびアンマウントが行われるため、手間いらずです。

USBメモリをNAS本体に再び装着すると……
MyArchiveドライブがマウントされた状態になります。ちなみにマウント完了までは数十秒待つ必要があります

複数の暗号化ドライブを管理するには?

 MyArchiveのドライブは、1台のNASに対して“ベイ数-1”台、つまり2ベイのNASであれば1台、4ベイのNASであれば最大3台まで作成することができます。これら複数のドライブそれぞれに対して、暗号化キーを作成したとして、USBメモリは暗号化キーの数だけ必要になるのでしょうか。

 これについては、1本のUSBメモリの中に、MyArchiveドライブの台数ぶんの暗号化キーを保存しておくことで、まとめて認識してくれます。もし仮に、USBメモリ1本に対してひとつの暗号化キーしか保存できないようであれば、利用するMyArchiveドライブが変わるたびにUSBメモリを差し直さなくてはいけませんが、そのような面倒な作業をする必要はありません。

 もうひとつ、設定時に書き出した暗号化キーを複製することはできるのでしょうか。こちらについても、問題なく対応しています。予備のコピーを作成し、USBメモリとは別の場所に保管しておくこともできますので、万一USBメモリを紛失してしまった場合も、暗号化データが読み出せなくなる心配はありません。

侵入者の裏をかく便利な方法。オフィスはもちろん家庭利用にもおすすめ

 悪意を持った第三者によるデータの盗難が発生する際、書庫であるハードディスクへのアクセスは、ネットワーク経由で行われることがほとんどです。もし漏洩したIDやパスワードを用いてのアクセスがうまくいかない場合、侵入者のほとんどは、IDやパスワードが間違っているか、アクセス権限がないと考えるのが普通でしょう。“USBメモリが抜かれているために復号できない”ことに気づく侵入者はそう多くはないはずで、侵入者の裏をかく意味で、非常に有効な方法です。

 また、仮にUSBメモリが暗号化解除のためのキーになっていることに気づいても、ネットワーク経由でアクセスしている場合、NASの置き場所まで足を運んでUSBメモリを差すわけにいきませんし、そもそもUSBメモリに保存された暗号化キーは、管理者しか所有していません。不正なアクセスへの対抗手段という点では、非常に強固な仕組みと言えます。

 今回はオフィスでの利用を前提に紹介しましたが、自宅内で家族から見られないファイルの入ったフォルダーを隠すといった、カジュアルなニーズにもぴったりです。ASUSTORのNASだけが備えるこのMyArchive機能、今回紹介したUSBメモリをキーとして用いる暗号化を含め、ぜひ活用してみてください。

[制作協力:ASUSTOR / ユニスター]