データセンターの安全性解説。セキュリティ対策を学ぶ。

データセンターとは

データセンターとは、企業や組織が運用する多数のコンピューターサーバーやネットワーク機器、ストレージシステムなどを集約し高速なネットワークに接続するとともに、セキュリティや冷却などの設備を整備して運用する施設のことです。
コンピューターサーバーやネットワーク機器を安定的に運用するためには、安定した電力や空調、ネットワーク環境が必要です。それらを提供することで、データのセキュリティやシステムの可用性を高めます。

また最近では、クラウドコンピューティングにより、データセンターは大量のコンピューティングリソースをオンデマンドで利用可能にしています。
これらのことからデータセンターは、企業や組織のIT基盤の中心的な役割を果たし、ビジネスの成長に必要な高速で安定したインフラストラクチャーを提供するものになっています。

データセンターのリスク

データセンターは、企業や組織が大量のデータを集中管理するための中心的な場所であり、機密情報や重要なアプリケーションを保持しています。そのため、データセンターは、様々なリスクに晒される可能性があります。
それらのリスクについて整理していきましょう。

１．災害・人災

データセンターはまず直接的なリスクへの対策が大切です。直接的なリスクとは盗難、火災、洪水、地震、爆発など、自然災害や人災によるリスクです。これらはデータセンターの破壊や損傷を及ぼすものとして考えられます。

２．内部不正・ミス

外部要因だけでなく、残念ながら社員などの内部のリスクも考えなければなりません。従業員や元従業員による意図的な攻撃、管理者の不注意、またはシステムの誤構成などから、障害やデータ消失に繋がるケースもあります。

最近では従業員が顧客情報を不正に持ち出し、販売するなどの事件も発生しております。健全な企業活動には内部統制が重要です。

３．サイバー攻撃

ネットワークからの攻撃は、悪意のある攻撃者がデータセンターにアクセスし、重要なデータを盗む、改ざんする、あるいは破壊するなどの危険性があります。代表的な攻撃手法には、大量のパケットによりサーバーがダウンしてサービスを提供できなくなるDDoS攻撃、ソフトウエアなどの裏で動作して個人情報を収集するマルウェア攻撃、データベース言語のSQL文をアプリ内の要所に配置してデータ改ざんや削除などを実行するSQLインジェクション、実在する企業名などを名乗って偽造したメールやSMSを使い、個人情報を窃取するフィッシング攻撃などがあります。

データセンターには企業の重要な情報や、企業活動の基幹となるシステムなどが管理されています。そのためサイバー攻撃の危険性があります。

４．組織的なサイバー攻撃

サイバー攻撃の中でも、犯罪組織などの非合法なグループによる攻撃に注意が必要です。

データセンターでは顧客情報や財務情報、製品の設計データなど、企業活動に必要な機密情報も保持されています。これらの情報にいきなり接続できなくなるとしたら如何でしょうか？
犯罪組織などの非合法なグループによって、このようなデータを勝手に暗号化し、脅迫する攻撃が発生しています。
企業活動において重要なデータやアプリケーションは計画的なサイバー攻撃の対象になりえるのが昨今です。

このようなあらゆるリスクに晒されているデータセンターのため、安心して保管できる運用が必要です。自社での運用は非常に負担になるという方は、ハウジングサービスなどの選択肢がございます。ご興味がありましたら是非お問い合わせください。

データセンターのセキュリティ対策とは

上記のような様々なリスクが考えられるデータセンターだからこそ、適切なセキュリティ対策を講じることが大切です。
機密性、可用性、および完全性を確保するために、物理的、技術的、手順的なセキュリティ対策を総合的に実施することが必要になります。以下にいくつかの主要なセキュリティ対策を示します。
もしデータセンターの活用を考えているのでしたら、以下のような対策が講じられているかを確認していただくといいかもしれません。

物理的なアクセス制限

上記にも記載したように、データセンターでは従業員の意図的な不正や盗難などのリスクが懸念されます。

その対策として、データセンターにアクセスする入り口を制限し、鍵や認証システムなどによるアクセスを制御が有効です。また、防火壁や防犯カメラ、監視員による巡回監視などの物理的な対策を実施することで、不正アクセスや盗難などのリスクを軽減します。

あらゆるサイバー攻撃に合わせた防御策

データセンターにはネットワークやサーバーなどのシステムに対してサイバー攻撃の脅威に晒されています。

代表的なサイバー攻撃の手法には、DDoS攻撃、マルウェア攻撃、SQLインジェクション、フィッシング攻撃などがあげられます。これらを初期侵入の段階で防ぐ必要があります。
ファイアウォール、侵入検知システム、暗号化、マルウェア検出などの技術的なセキュリティ対策を実施することが必要です。これにより初期侵入に気がつくことのできる体制が構築され、内部侵入される危険性が低減されます。

内部統制

意図的なリスクだけでなく、偶発的なミスなどによるデータ消失などへの対策も必要です。データセンターの重要なデータは、担当者のうっかりなどで消失する恐れがあります。

対策として、データセンター内のシステムやデータの管理に関する手順や規則を定め、明文化しましょう。それを基に社内教育を実施することで、社員のセキュリティ意識を高めます。
また、違反や異常を検知するための監視体制を整備することも必要です。どんなに教育を実施したり、マニュアル化をしてもうっかりミスなどは完全に防げるものではありません。また上記のサイバー攻撃も完全に防げる手段は残念ながらありませんので、なにか異常があった際にすぐに気がつける体制を構築することが大切です。

BCP体制

サイバー攻撃や偶発的なミスによるデータ消失は完全に防げるものではありません。最悪発生してしまった後の復旧対応として、バックアップ体制が講じられているかが大切です。データセンター内のデータのバックアップを定期的に実施することで、データの損失を防ぎます。

また、システムの障害や災害時に備え、災害復旧計画を策定することも重要です。システム障害や災害は予期せぬタイミングで発生するものです。イレギュラー時でも早急な復旧と安定した稼働が実現できるよう、日ごろから復旧計画を熟知していることが大切になります。

アクセス制限

データセンター内のデータやシステムにアクセスする権限を明確にし、必要最小限の人員にのみアクセスを許可することも有効的な対策です。

上述したように、サイバー攻撃や内部不正・ミスを完全に防ぐ方法はありません。それらが発生した際に、最小限の被害で納めるために、データやシステムへのアクセス制限を必要最低限の人員にしましょう。そしてそれらの権限を明確にすることで、万が一の際は素早い初期対応が行え、不正アクセスやデータの漏洩が防げます。

ＮＸワンビシアーカイブズのデータセンターの強み

データセンターのリスクとその対処について整理していきましたが、どのような運用を行えばいいのか具体的な方法に悩まれるかと思います。
ＮＸワンビシアーカイブズではお客様の大切なIT機器を保管、及びディザスタリカバリの支援を行うデータセンターを運用しています。そこで当社のデータセンターでどのようなセキュリティ対策を講じているかをご紹介いたします。

立地

BCP(Business Continuity Plan:事業継続計画)や災害対策の観点からは、企業オフィスとデータセンターは離れていることが望ましいです。しかしシステムエンジニアがオフィスからデータセンターに行く場合や、バックアップテープなどをオフィスとデータセンター間で送受する場合を考え、業務に支障が発生しない程度の距離に構えたいところです。

ＮＸワンビシアーカイブズでは大都市圏との同時被災を回避する距離にデータセンターを設置しています。また都市部との効率的な集配送ができる交通条件があり、都心部のお客様だけでなく、中部や関西など他の地方のお客様のデータも安全に効率的に保存できる環境をご用意しています。

地盤

今後高い確率で発生すると危険視されている都区部直下地震ですが、発生時には首都圏全域で震度6弱以上の揺れが想定されています。
ＮＸワンビシアーカイブズではそのような事態でも被害を局限し得る地盤上にデータセンターを建設しています。地盤調査（標準貫入試験）の基盤測定において、N値50以上の固い地盤であることが証明されている土地に建設しております。また液状化の危険性がない地質でもあるため、地震による二次被害も低減します。

その他災害への対応

上記以外にも様々なリスクに対応した運用を行っています。

情報漏えい・紛失などのリスクを低減する外周警備・アクセス管理を行っている他、火気取り扱いを制限して、データ消失・漏えい対策に努めています。
また上記のような運用だけでなく、そのセキュリティをより強固にするための教育も欠かしていません。情報の取り扱いに関する資質や適性を重視した教育を行い、企業としての品質をより一層高めています。

上記のような運用や災害復旧計画など、大切なことは従業員がそれらの本質を理解し、遵守することだと思います。ＮＸワンビシアーカイブズでは立地や設備だけを強化するだけでなく、業務に関わる人の意識やスキルを向上させることで、強固なデータセンター運用を行っています。

ＮＸワンビシアーカイブズではこのような徹底した運用をしたデータセンターにて、ハウジングサービスを提供しております。ご興味がありましたら是非お問い合わせください。

まとめ

企業の重要なデータやシステムは自然災害、人的災害、サイバー攻撃などによって消失するリスクが存在しています。それを理解し、万全な処置を講じたデータセンターであれば、安心して企業の重要なデータなどを保管することができます。

もし自社でデータセンターを運用したり、ハウジングサービスなどで活用したりする場合には、安心してデータを預けられる運用がされているかを是非ご検討ください。