TeraStationの鍵のセキュリティ上の意味を考える

TeraStation

鍵を紛失されてお困りの方へ
わずかですが、弊社にTeraStationの鍵の予備が有ります。鍵が必要な方は、コチラへ。

TeraStation の鍵はどれくらい信頼できるのか

TeraStation の鍵は TeraStationの鍵をなくした場合にどのようにして鍵を開けるか – 特集 – NAS-RESCUE で書いたとおり、鍵をなくしても以下のいずれかの方法で前面カバーを開けることができます:

  • Buffalo から買う
  • 他のTeraStation の鍵を流用する
  • 前面カバーを取り外す

上記の中でも特筆すべきなのが、他のTeraStation の鍵を流用する方法です。これはTeraStationの鍵はどの機種でも一緒であることから可能になっています。

以下では、この事実を踏まえて、TeraStation の鍵にまつわるリスク分析を行っていきます。

TeraStation の鍵にまつわるリスク分析の概要

リスクマネジメント・プロセス上の詳細リスク分析と呼ばれる工程は一般的に以下の手順で行われます:

  1. 情報資産の識別
  2. 情報資産の評価・脅威の評価・脆弱性の評価・セーフガードの識別
  3. リスクの評価

情報資産の識別は、本稿ではTeraStation に格納された情報資産として抽象化して扱っているので詳細は割愛しますが、おおよそ以下のような性質を持つ資産を想定します:

  • 業務遂行に不可欠な情報資産が格納されている
  • 流出した場合には組織の社会的信用を著しく損なう

情報資産の評価における資産価値は、一般的に以下の3要素からなります:

  • 機密性
  • 完全性
  • 可用性

本稿では、簡単のためTeraStationに格納された情報資産の価値の各要素に対して0~4の5段階で次のように定めます:

分類 資産価値
機密性 4
完全性 3
可用性 2

「脅威の評価・脆弱性の評価・セーフガードの識別」の工程に関して、本稿はTeraStation の鍵のセキュリティ上の意味について扱っています。そのため、セーフガードとしてTeraStation の鍵を設定し、そこから脅威と脆弱性の評価を行うという手順になります。
今回は TeraStation の鍵のセキュリティ上の意味を明確にするため、鍵の他は精密電子機器を安定して運用できる環境下にあること以外にセーフガードが存在しない 野晒し の状態を基準にします。また、鍵については十分な知識を持つシステム管理者のみが使用可能なように適切に管理されているとします。

リスクの評価は、「情報資産の評価・脅威の評価・脆弱性の評価・セーフガードの識別」の手順で集めた情報をもとに行われます。

以下、本稿では下記の手順でTeraStation の鍵にまつわるリスク分析を進めていきます:

  1. セーフガードの識別
  2. 脅威の評価
  3. 脆弱性の評価
  4. リスクの評価

この手順および、結果として与えられる評価はあくまでも一例であることに注意してください。

セーフガードの識別

TeraStation の鍵にまつわる脆弱性を評価するためには、TeraStation の鍵が何に対するセーフガードになっているかということを識別しなければなりません。TeraStation の鍵が何に対するセーフガードになっているかを識別するためにはTeraStation の鍵が何の操作を制限しているかを識別する必要があります。TeraStation の鍵によって前面カバーを開けなければできないことを以下に列挙します:

  • HDD の取り出し
  • HDD の挿入
  • 初期化スイッチの押下
  • 内部清掃

初期化スイッチの押下によって可能な操作は 各種設定手順例 によれば以下のことです:

初期化スイッチでは、IPアドレス、イーサネットフレームサイズ設定、管理者(admin)パスワードが初期化されます。TeraStation設定画面で管理者パスワードを初期化しない設定を行うと、IPアドレスとイーサネットフレームサイズ設定のみ初期化されます。他項目の初期化はTeraStation設定画面で初期化します。

以下では、「TeraStation設定画面で管理者パスワードを初期化しない設定」は 施されていない ものとします。

脅威の評価

リスクマネジメント・プロセス上で脅威と呼ばれるものは下表のように大別されます:

脅威
人為的脅威 環境的脅威
意図的脅威 (D: deliberate) 偶発的脅威 (A: accidental) 環境的脅威 (E: environmental)

TeraStation の鍵に関係しそうな脅威を列挙し、これらに対して上記の分類を施し、脅威のレベルを高・中・低の3段階で評価します:

脅威 分類 (D, A, E) 脅威レベル
盗難 D
破壊 D
不正アクセス D
操作ミス A
塵埃による動作不良 E

ここでは以下の基準で脅威レベルを評価しています:

脅威レベル 説明
発生頻度は1年に1回あるかないか
発生する頻度は半年以内に1回あるかないか
発生頻度は1か月に1回以上

脆弱性の評価

上記2項の結果に基づいて関連する脆弱性を列挙し、そのレベルを高・中・低の3段階で評価します:

脆弱性 関連する脅威 脆弱性レベル
HDDを盗み出される 盗難(D)
HDDを破壊される 破壊(D)
初期化スイッチでadminのパスワードをリセットされ、データに不正アクセスされる 不正アクセス(D)
十分な知識を持たない職員がHDD交換を試行し装置が壊れる 操作ミス(A)
職員が間違ってリセットボタンを押したため、ネットワーク設定が変更され、業務が一時的に行えなくなる 操作ミス(A)
埃が詰まって壊れる 塵埃による動作不良(E)

参考にするため、鍵に直接関係しないものの、前記の脆弱性に関連する脆弱性についても列挙しておきます:

脆弱性 関連する脅威 脅威レベル
TeraStationを盗み出される 盗難(D)
TeraStationを破壊される 破壊(D)

ここでは以下の基準で脆弱性レベルを評価しています:

脆弱性レベル 意図的脅威 偶発的脅威 環境的脅威
高度な専門知識や設備を持つものによって可能な状況 通常の利用状況ではほとんどリスクが顕在化する恐れがない状況 通常の利用環境ではほとんどリスクが顕在化する恐れがない状況
一般者が調査を実施すれば可能な状況 一般者の不注意によりリスクが顕在化する恐れがある状況 一般者の不注意によりリスクが顕在化する恐れがある状況
一般者が普通に実施可能な状況 特段の対策を実施しておらず、いつリスクが顕在化してもおかしくない状況 特段の対策実施しておらず、いつリスクが顕在化してもおかしくない状況

リスクの評価

リスクの評価について、今回は発生頻度値を求めてから、関連する資産価値と組み合わせてリスク値を算出する手法をとります。

発生頻度値は以下のマトリクスから抽出します:

脅威のレベル
脆弱性のレベル
発生頻度値 0 1 2 1 2 3 2 3 4

よって、前述の脆弱性と脅威に関する発生頻度値は以下のようになります:

脆弱性 関連する脅威 脆弱性レベル 脅威レベル 発生頻度値
TeraStationを盗み出される 盗難(D) 4
TeraStationを破壊される 破壊(D) 3
HDDを盗み出される 盗難(D) 4
HDDを破壊される 破壊(D) 3
初期化スイッチでadminのパスワードをリセットされ、データに不正アクセスされる 不正アクセス(D) 4
十分な知識を持たない職員がHDD交換を試行し装置が壊れる 操作ミス(A) 1
職員が間違ってリセットボタンを押したため、ネットワーク設定が変更され、業務が一時的に行えなくなる 操作ミス(A) 1
埃が詰まって壊れる 塵埃による動作不良(E) 0

リスク値は以下のマトリクスから抽出します:

資産価値 0 1 2 3 4
発生頻度値
0 0 1 2 3 4
1 1 2 3 4 5
2 2 3 4 5 6
3 3 4 5 6 7
4 4 5 6 7 8

脆弱性・脅威に対して割り当てる資産価値は関連する資産価値分類の中で最も高いものとします。

確認のために、現在扱っているTeraStationの情報資産の価値を要素ごとに列挙した表を再掲します:

分類 資産価値
機密性 4
完全性 3
可用性 2

よって、前述の脆弱性・脅威・資産価値に対するリスク値は以下のようになります:

脆弱性 関連する脅威 発生頻度値 資産価値分類 資産価値 リスク値
TeraStationを盗み出される 盗難(D) 4 機密性 4 8
TeraStationを破壊される 破壊(D) 3 完全性 3 6
HDDを盗み出される 盗難(D) 4 機密性 4 8
HDDを破壊される 破壊(D) 3 完全性 3 6
初期化スイッチでadminのパスワードをリセットされ、データに不正アクセスされる 不正アクセス(D) 4 機密性 4 8
十分な知識を持たない職員がHDD交換を試行し装置が壊れる 操作ミス(A) 1 完全性 3 4
職員が間違ってリセットボタンを押したため、ネットワーク設定が変更され、業務が一時的に行えなくなる 操作ミス(A) 1 可用性 2 3
埃が詰まって壊れる 塵埃による動作不良(E) 0 可用性 2 2

TeraStation を意図的脅威から守る

容認可能とするリスク値の敷居をどこに設定するかについても議論の余地がありますが、TeraStationの鍵が偶発的脅威に対して十分に対処できることがお分かりいただけたと思います。一方で、はじめから自明のことではありますが、意図的脅威に対しては全く役に立たないということもわかりました。

リスクマネジメント・プロセスからいえば、この時点で意図的脅威に対してのセーフガードを選択し、リスクが容認可能な水準まで低下することを確認しなければなりません。
即座に思いつきそうなセーフガードの例として以下の2つを挙げます:

  • 鍵をより強固なものに交換する
  • TeraStation が設置されている空間への立ち入りを制限する

前者のセーフガードを設けた場合について考えます。このセーフガードによって以下の図のように一部の脆弱性レベルが引き下げられるとします:

脆弱性 関連する脅威 脆弱性レベル 脅威レベル 発生頻度値 資産価値分類 資産価値 リスク値
TeraStationを盗み出される 盗難(D) 4 機密性 4 8
TeraStationを破壊される 破壊(D) 3 完全性 3 6
HDDを盗み出される 盗難(D) 3 機密性 4 7
HDDを破壊される 破壊(D) 2 完全性 3 5
初期化スイッチでadminのパスワードをリセットされ、データに不正アクセスされる 不正アクセス(D) 3 機密性 4 7
十分な知識を持たない職員がHDD交換を試行し装置が壊れる 操作ミス(A) 1 完全性 3 4
職員が間違ってリセットボタンを押したため、ネットワーク設定が変更され、業務が一時的に行えなくなる 操作ミス(A) 1 可用性 2 3
埃が詰まって壊れる 塵埃による動作不良(E) 0 可用性 2 2

この場合にはリスク値があまり変化しないことが分かります。また、「HDDを盗み出される」脆弱性と「HDDを破壊される」脆弱性に対するセーフガードとしては作用しても、その上位の脆弱性である「TeraStationを盗み出される」脆弱性と「TeraStationを破壊される」脆弱性には作用しないので、結局は攻撃者の目標が達成されてしまい意味がありません。

次に、後者の「TeraStation が設置されている空間への立ち入りを制限する」というセーフガードを設けた場合について考えます。この場合には、TeraStationへのアクセスが制限されるのに加えて、攻撃者から直接見える場所にはTeraStation が配置されないので物理的な攻撃手段の対象になりにくいと考えることができます。よって、脆弱性レベルに加えて、脅威レベルの低下を見込むことができます:

脆弱性 関連する脅威 脆弱性レベル 脅威レベル 発生頻度値 資産価値分類 資産価値 リスク値
TeraStationを盗み出される 盗難(D) 0 機密性 4 4
TeraStationを破壊される 破壊(D) 0 完全性 3 3
HDDを盗み出される 盗難(D) 0 機密性 4 4
HDDを破壊される 破壊(D) 0 完全性 3 3
初期化スイッチでadminのパスワードをリセットされ、データに不正アクセスされる 不正アクセス(D) 0 機密性 4 4
十分な知識を持たない職員がHDD交換を試行し装置が壊れる 操作ミス(A) 0 完全性 3 3
職員が間違ってリセットボタンを押したため、ネットワーク設定が変更され、業務が一時的に行えなくなる 操作ミス(A) 0 可用性 2 2
埃が詰まって壊れる 塵埃による動作不良(E) 0 可用性 2 2

まとめ

TeraStationに格納された情報資産にまつわるリスク管理においてTeraStation の鍵は偶発的な脅威に対して役立つということを説明しました。TeraStationに格納された情報資産を意図的脅威から守るためには、TeraStation の筐体そのものへのアクセスを制限する必要があります。

NAS-RESCUEは、自力データ復旧もサポートします!

自力データ復旧は以下の方にお勧めです:

  • 5万円以下でデータを復旧したい
  • 第三者にデータを見られたくない

TeraStation専用データ復旧ソフト「NAS-RESCUE」、HDDクローン作成ソフト「CloneMeister」を利用する事で、安心のサポート付きで安くデータ復旧できます。

無料ダウンロード