ゼロトラストの時代のNASのリスクを考えると外付けHDDという選択肢もありだと思う

最近気になる記事を見た、それは家庭内ネットワーク上に設置したNASだけがランサムウェアにやられたという内容だった。
管理人はまだ家庭内のネットワーク上にNASは導入していない、まだPCにUSB接続したレイド構成のHDDを使用している。
実はこのほうが安全なのではないか?と考え始めた。
そんな事を書いてみた。

家庭内のNASだけがランサムウェアにやられたという記事

NASがランサムウェアにやられたという記事の内容は次のようなものだった。
・家庭内のネットワークにPCとNASが設置されている
・ランサムウェアによりNAS内のデータが暗号化されてしまった
・PCはセキュリティソフトにより?無事だった

ここで興味深いのはPC内のデータはランサムウェアにやられていないということだ。
たぶんPCのセキュリティソフトで守られたという解釈だった。

そこで家庭内ネットワークの入り口にファイアウォールを設置したという内容だった。

↓ 管理人が使用しているRATOCの外付けHDD、RAID構成で2本のHDDが入る、下はHDDをリビルド中の画像、USBでPCに接続なのでPCのセキュリティソフトで守られる

RATOCのRS-EC32PE-U3Rはホットスワップ可能なので稼働中にHDDはを交換できる

ネットワークの中までランサムウェアは侵入している

もし、これが記事の通りで使用していたNASが一般的なよくあるモノであると想定してみると次のようなことが想像できる。
・一般的なNASは独自OS(Linux系が多いと思う)なので、そこにランサムウェアが入り込んだ
 一般的なNASにはセキュリティソフトのような存在のものがないし積めない
・方やセキュリティソフトによりPCへのランサムウェアの侵入は阻止できた
・ということは家庭内ネットワークを標的にランサムウェアをNASに仕込まれたのでは?

家庭内ネットワークにファイアウォールを設置する人は少ないと思う(管理人はそのうち設置したいと思っている)。
それにファイアウォールを設置したとしても、すべてのランサムウェアやウィルスソフトを検知排除できるとは限らないと思う。

さらにスケジューラーで電源の投入と切断をコントロールしない限りPCを電源OFFしていても(留守の時など)NASは稼働している。
つまりNASは常にランサムウェアやウィルスソフトに無防備にさらされているということになりはしないか?ということだ。

NASもかなり慎重に選ばないといけない

管理人はルーターやファイアウォール等のネットワーク機器は除いて考えると、常に電源の入っている機器が少ないほうが安全だと思っている。
動いてないのだから感染の可能性は低くなる。
だから家庭内の機器で常に電源が入っている機器は極力少なくするようにしている。
もちろんPCも使用が終わればシャットダウンする。

だが最近はTVやセットトップBOX、それにGoogleHomeやAlexaのようなホームコントローラー等が増えている。
これらの機器はその特性上、常時電源が入っているかスリープのような状態だ。
ましてTVやセットトップBOXはAndroidで動いてたりするのでなおさらだと思う。
スマホだったらセキュリティソフトを入れたりするが、こうした機器ではセキュリティソフトを入れたとは聞いたことがない。

NASも同様で常時電源が入っていることが多い。
NAS自体にセキュリティ対策が施されて常にアップデートされているのであれば少しは安心だが、こうした仕組みを取り入れた家庭用NASは管理人が知っている限り無い。
独自OSを積んだNASもあるが、これとてどのようなセキュリティ対策がなされているかが問題だと思う。

NASではなくてUSB外付けHDDという選択

管理人の家庭内ネットワークではNASはまだ使用していない。
それは単純に現在使用しているPCにUSBで外付けしているHDD(レイド構成、HDD4TB×2本)に不便を感じないからだった。
そろそろNASも検討しなきゃいけないなぁと思っていたところで物色をしていたところだった。

今回のNASだけがランサムウェアにやられたという記事を見て、このまま外付けHDDでも良いのではないかと思い始めた。
PC自体はセキュリティソフトにより完璧ではないが守られている。
そのPCに接続された外付けHDDもセキュリティソフトにより、内蔵HDDと同様にPCの一部とみなされて守られる。
つまり外付けHDDとはネットワーク上には直接接続されていない。
一方NASではNW上に接続され、NAS自体を守るセキュリティソフトは無い状態だ。

いったいこれはどっちが安全なのだろうと考え込んでしまった。
翌々考えてみるとこの考え方って世間でよく言われているゼロトラストの考え方に近いのではないかと思った。

エンタープライズで流行りのゼロトラストとかEDRとか

管理人はエンタープライズ(法人向け)でのゼロトラストネットワークに最近注目している。
この考え方は随分前に世の中に出たようだが、最近になって俄然注目の技術となっている。

最近になって注目されるのには理由があってコロナ禍がひとつの原因だ。
コロナ禍で在宅勤務が増え、それに従って自宅や外部から社内ネットワークに接続する需要が劇的に増えているからだ。

これを実現する方法でよくあるのがIP-SECを用いたインターネットによりVPNを張るという方法だ。
だがこれもかなり対策を施さないとセキュリティ上は危ない。
アクセスする端末がすでになんらかのウィルスに感染している可能性もあるからだ。
この上にさらに対策をするのであれば、VDIのようなシンクライアントを用いることになるだろう。
さらに最近よく聞くのはRDP(リモートデスクトップ)接続でのセキュリティが問題となっていることだ。

これを解決するためにゼロトラストネットワークの概念がある。
それは閉じたネットワークの内側を安全とする従来の考え方(性善説)をやめて、接続してきた端末が信頼できるもので資格があるかをその都度チェックする(性悪説)。

家庭内のネットワークについても、管理人宅もそうだがほとんどは家庭用のルーターのみの構成だろうと思う。
家庭用のルーターのセキュリティレベルには疑問がある。
インターネットへの入り口で厳格なセキュリティレベルを保っていない以上、こうしたゼロトラストの考え方が必要なのではないだろうか。

こうして考えると家庭用のNASには少なくてもセキュリティ対策が施されたものが必要だろう。
NASよりもPCのセキュリティソフトの配下に入れることが可能な外付けHDDとのほうが安全なのではないだろうか。
外付けHDDはNASよりも利便性は落ちるがセキュリティと利便性は表裏の関係だ。

20210406追記
結局悩んだ末に現在使用しているRAIDできるHDDケース(RATOCのRS-EC32PE-U3R)の予備として「RS-EC32-U3RX」を注文しておいた(かなり長く使用しているのでちょっと不安だった)。
一つ前の機種だがUSB3.1対応でないだけの違いみたいだ。
これで現在使用しているHDDケースが壊れてもなんとかなると思うので一安心。

今回はこのへんで
では