TeraStation ディスク暗号化機能 運用ガイド

TeraStation
2022.06.21

TeraStation にはディスク暗号化機能が搭載されています。本稿ではこの機能の特徴を解説し、運用方針を提示します。

TeraStation のディスク暗号化機能の特徴

TeraStation のディスク暗号化機能はほかの一般的なLinuxベースのNASと比較しても特殊です。その原因は「鍵」の扱いにあります。鍵といってもHDDを取り出せなくするための物理的な鍵のことではありません。
(かぎ、key)とは、暗号アルゴリズムの手順を制御するためのデータです。TeraStationの他、一般的なNASが提供するディスク暗号化にも鍵が存在します。この鍵を用いることで常時暗号化や復号化を行いながらデータの読み書きを行っています。

Buffalo 社製ではない Synology, QNAP, IODATA (LAN DISK) の Linux ベースのNAS では鍵の扱いは次のいずれかもしくは両方をサポートしています:

  • 鍵を独立したファイルとして存在する
  • 鍵をHDD内の特殊領域に暗号化して保存する。ユーザーはそれを利用するためにパスワードを入力する

いずれにしても暗号化されたデータを復号するための情報はNAS本体とは切り離して存在させることができます。

一方、TeraStationのディスク暗号化は上記と異なり、TeraStation 本体を鍵とみなして設計されているようなのです。
「TS-XHL、TS-XL、TS-XELシリーズ/ TS-WXLシリーズ/TS-RXLシリーズ TeraStation設定ガイド」には次のような一説があります:

TeraStationに内蔵されているハードディスクをフォーマットする際に、設定画面で[暗号化]を選択して フォーマットするとAES128bitで暗号化され、ハードディスクを本製品以外の機器に取り付けてもデータを読み出せなくなります。

この実装では正規の手順上は本体が壊れるとデータが読みだせなくなります。キーファイルやパスワードと違って本体は複製できないのでその点に注意して利用する必要があります。

以下ではこのことを踏まえてTeraStation のディスク暗号化機能を利用するメリットとデメリットについて説明します。

メリット

TeraStation のディスク暗号化機能を用いるメリットは次の通りです:

  • HDD だけを盗まれたときにデータが流出しない
  • HDDが壊れた際の破棄がしやすい

TeraStationのディスク暗号化機能を利用すればBuffalo が言う通りハードディスクを本製品以外の機器に取り付けてもデータを読み出せなくなります。先に説明した他社製品の実装では本体と鍵もしくはパスワードが切り離されていますが、TeraStationはそうではありません。よって、本体まるごとの盗難という脅威に対しては全くの無力です。本体をサーバーラックに溶接しておくことを想定している機能なのでしょうか?

また、この機能を利用することによってHDDが壊れた際の破棄がしやすくなります。これはHDDに格納されているデータが暗号化されていることによってもたらされる副次的な効能です。
通常、HDDが物理的に故障してしまうと、HDDの廃棄に必要なランダムデータの上書きを行うことができません。そのため、HDDを物理的に破壊する必要が出てきます。しかし、物理的な破壊で論理的なランダムデータの上書きと同等の効果を得るのはなかなか難しいです。
ここで、格納されているデータがあらかじめ暗号化されていれば、このようなリスクを緩和することができます。格納されているデータが複号されない限りはランダムなデータが書き込まれているのと同じだからです。

ただし、これらはTeraStation のディスク暗号化機能にバックドアもしくは不備がない場合に限られます。
TeraStationのディスク暗号化機能では本体が暗号化のキーになっていると書きました。しかし、実際には本体の何をもって個体を識別しているのかは明かされていません。
例えば、これが本体表面からでも十分に確認可能な、シリアル番号やMACアドレスに表れているのならば、HDDを盗み出すときに同時に写真撮影して控えておけば解読できることになります。このように、何らかの理由で実際には本体がなくても複号できるのであれば上記に挙げたメリットを享受することはできません。
問題なのは、TeraStationのディスク暗号化機能の実装をどこまで信頼するかということです。
もし、どこかのデータ復旧業者が「ディスク暗号化したTeraStationから抜き出したHDDのみを使用して、データの復旧が可能である」と謳っていて、それが嘘でないのであれば、それは攻撃者にとっても同じであるということは忘れないでください。

デメリット

TeraStation のディスク暗号化機能を用いるデメリットは次の通りです:

  • アクセス速度が遅くなる
  • 本体が壊れたらデータが一切取り出せなくなる

TeraStation に限らずディスク暗号化機能では暗号化と復号化に計算コストがかかるためにデータ入出力のスループットが低下します。例えば、TS-XE2.0TL/R5 の場合には 今更ながらTeraStationのディスク暗号化機能をベンチマークしてみた – 特集 – NAS-RESCUE のようになります。

また、TeraStation のディスク暗号化機能では前述のとおり、本体が壊れると正規の方法ではデータが一切取り出せなくなります。このデメリットに対しては確実に対策を施す必要があります。レプリケーションやバックアップの仕組みを確実に配備し運用できなかった場合、本体の故障と同時に格納されている全データを一斉に喪失することになります。

まとめ

TeraStation のディスク暗号化機能を利用するメリットとデメリットは以下の通りです:
メリット
TeraStation のディスク暗号化機能を用いるメリットは次の通りです:

  • HDD だけを盗まれたときにデータが流出しない
  • HDDが壊れた際の破棄がしやすい

ただし、これらはTeraStation のディスク暗号化機能にバックドアもしくは不備がない場合に限られます。また、本体ごと盗まれた場合には暗号化とは全く無関係にデータの読み出しができる点にも注意が必要です。
デメリット
TeraStation のディスク暗号化機能を用いるデメリットは次の通りです:

  • アクセス速度が遅くなる
  • 本体が壊れたらデータが一切取り出せなくなる

特に後者のデメリットに対しては確実に対策を施す必要があります。レプリケーションやバックアップの仕組みを確実に配備し運用できないのであればディスク暗号化機能を用いるべきではありません。

TeraStationのディスク暗号化機能については、これらの特徴を踏まえた上でどうしても必要な場合にのみ利用することをおすすめします。