Wasabi
データ保護に「不変性」だけでは不十分な理由
2017年のこと、とあるハッカーが盗んだAWSのログイン認証情報を使い、以前の雇用主の顧客に関連する23のアカウントを削除しました。その結果、同社は多くの顧客との契約を失いました。警察によると、アカウント削除による損失は推定で約70万ドルに上るそうです。 同社は削除されたデータを復元することはできませんでした。
2021年には、ニューヨークを拠点とする銀行の元従業員は、解雇された2日後、同行のアカウントにログインし、ランサムウェア対策ソフトをバイパスして、アカウントとローン住宅ローン申請に関連する何万ものファイルやディレクトリを削除しました。
実際、企業がクラウド・ストレージ・ソリューションを検討する際、セキュリティは依然として大きなネックとなっています。Wasabiが2023年に行ったクラウドストレージに関するアンケート調査によると、回答者の多くがネイティブのバックアップ、ディザスタリカバリ、データ保護ツールがないこと、ネイティブのセキュリティサービスがないことがクラウドストレージの最大の懸念事項であると述べています。
イミュータビリティ(不変性): 人からデータを守る
「うちは大丈夫、イミュータブルバケットやオブジェクトロックを使ったオフサイトバックアップを使っている」とおっしゃる方もいるでしょう。実際、イミュータブルバケットとオブジェクトロックは、貴社のアカウントにアクセスした悪者が、貴社のデータを暗号化、改ざん、削除するのを防ぎます。これはランサムウェアの連鎖の中で最も重要なステップです。攻撃者は多くの場合、まずバックアップを削除し、そこから復元できないようにします。しかし、データが暗号化、改ざん、削除されなければ、復元することができます。身代金を要求されることはありません。不変性はデータにとっては素晴らしい盾ですが、セキュリティシステムの最大の弱点である「人間」から守ることはできません。もし、あなたのイミュータブルバックアップを保管しているクラウドアカウントの鍵をハッカーや退職者が持っていたらどうなるでしょうか?
上に示したように、悪意のある攻撃は外部からだけでなく、組織内部からも来る可能性があります。精通したインサイダーは、AWS サポートスタッフからユーザー名とメールアドレスをソーシャルエンジニアリングすることができます。彼らはパスワードを知っているか、AWSルートの登録メールアカウントのメールを傍受することができるか、AWSサポート経由でこのステップをソーシャルエンジニアリングすることができるのです。
多要素認証(MFA)では不十分?
多要素認証は、セキュリティにおける人的要素に対するもう一つの防御線です。しかし、ここでもやはり、内部者が優位に立つ可能性があります。アカウント保有者として、悪者はルート・アカウントに関連するMFAデバイスを所有しているかもしれませんし、内部サポート・システムへのアクセスを通じてソーシャル・エンジニアリングでこのステップを回避できるかもしれません。MFAは部外者の侵入を防ぐには優れていますが、内部からの攻撃にはまだ脆弱と言えるでしょう。
マルチユーザー認証(MUA)の重要性
データの第三の防御策は、マルチユーザー認証です。Wasabiの独創的なマルチユーザー認証は、核ミサイルの発射プロトコルに似たコンセプトを採用しています。WasabiのMUAでは、Wasabiユーザーは、アカウント削除を確認する必要がある個人を最大3人まで指定することができます。指定された個人のいずれかが削除を拒否した場合、削除プロセスは自動的にキャンセルされます。ハッカーであれ、不正な従業員であれ、不注意な管理者であれ、ひとりでアカウントが削除できる権限を持つ人はいません。
これは、クラウドアカウントのセキュリティの世界では革命的なことです。このようなセキュリティ機能を提供するクラウドストレージプロバイダーは、現時点でWasabiのみです。
たとえ誰かがルートアカウントの認証情報を保持していたとしても、アカウントを完全に削除する能力を保持していれば、ユーザーのデータは完全に消去されてしまいます。純粋にセキュアな設定では、この重大な脆弱性は、すべての主要クラウドベンダーのオブジェクトロック実装に存在します。そのため、Wasabiの新しいマルチユーザー認証は、Wasabiのお客様のアカウントセキュリティに革命をもたらす、画期的な機能なのです。つまりは、冒頭の例に登場した企業がWasabiのようなMUA機能を備えたクラウドストレージプロバイダーを利用していれば、重要なアカウントを削除されずに済んだわけです。
シナリオを振り返ってみましょう
さて、冒頭のハッカーによる攻撃の例を振り返って、もしこの企業が旧来のアカウント削除機能ではなくWasabiのマルチユーザー認証機能を使っていると考えてみてください。
ハッカーがお客様のWasabiルートユーザー認証情報にアクセスします。
ハッカーはWasabiに保存されたデータを削除を試みますが、データが不変であるため削除できないことに気づきます。
そして、Wasabiアカウントとすべてのデータを削除することに決めます。
Wasabiのマルチユーザー認証機能では、最大3人のセキュリティ担当者が削除を承認する必要があるため、セキュリティ担当者が削除要求を拒否した場合、アカウントは削除されません。
通知機能により、お客様のセキュリティ担当者は、社内およびWasabiサポートにアラートを通知することができます。
ランサムウェア攻撃は再び増加傾向
何年か減少していたランサムウェア攻撃ですが、2023年になって再び増加傾向にあります。
バックアップは、ランサムウェアに対する最も重要な防御策のひとつですが、適切に設定されていなければ、防御に穴が開いてしまうかもしれません。悪名高いランサムウェア集団、DroppelPaymerのメンバーが最近インタビュアーに以下の様にコメントしました。
「クラウドバックアップはランサム攻撃に対して非常に良いオプションですが、クラウドバックアップの設定が甘い場合もあり、オフラインバックアップが古いこともあるため、100%保護することはできていません。システムバックアップは大変良いですが、人的要因に抜け穴があります。」
貴社のデータとアカウントを保護するために、以下の手順に従ってください:
多要素認証(MFA)を有効にします。
できる限り、コンプライアンスをデフォルトとしたイミュータブル機能を使用します。
ユーザー権限を制限します。ルートアカウントの認証情報は絶対に共有しないでください。
パスワードは定期的に更新します。
追加アカウントセキュリティ設定として、Wasabiのマルチユーザー認証を有効にします。
(Wasabiは、in-flightおよびat-restのすべてのデータを暗号化します。Wasabiのデフォルトキーを使用するか、S3 APIの一部として独自のキーを提供することができます。よって、 Wasabiのお客様がご自身で暗号化を行う必要はありません)
ハイパースケールクラウドの主要ベンダーには、このような穴が存在します。Wasabiのマルチユーザー認証機能は、アカウントセキュリティの世界において革命的です。Wasabiは、このユニークなセキュリティ機能を提供する唯一のクラウドストレージプロバイダーです。もし、WasabiのMUA機能がアカウント削除の被害に遭われた方々に利用されていたなら、彼らのデータは現在も利用可能だったことでしょう。
企業のDX推進において、クラウド活用は不可欠な要素となりました。しかし、ビジネスのグローバル化に伴い、データが国境を越えるクラウド環境では、各国の法規制や業界基準、いわゆる「コンプライアンス」への対応がこれまで以上に重要になっています。コンプライアンス違反は、罰金やブランドイメージの失墜など、深刻な経営リスクに直結する課題です。本記事では、クラウド利用におけるコンプライアンスの重要性や、企業が遵守すべき主要な規制、そして信頼できるクラウドサービスを選ぶためのポイントについて解説します。なぜ今、クラウドにおけるコンプライアンスが重要なのか?新型コロナの世界的流行を契機に、日本でもリモートワークが急速に普及し、場所を問わずデータにアクセスできるクラウドの利便性が、改めて注目されるようになりました。しかし、この利便性の裏側には大きなリスクが潜んでいます。企業の重要なデータや個人情報が国境を越えて保管されるようになり、それぞれの国や地域で定められたデータ保護規制への対応が求められるようになったためです。もちろん、コンプライアンスの遵守は単なる法的リスクの回避にとどまりません。適切なデータ管理とセキュリティ対策を実施することで、顧客や取引先からの信頼を獲得し、ブランド価値を向上させることができます。一方で、コンプライアンス違反による情報漏洩や不適切なデータ管理は、企業の評判を著しく損ない、ビジネスの継続性そのものを脅かす可能性があります。今やコンプライアンス対応は、企業の持続的な成長を支える重要な経営課題となっています。企業が知るべき世界の主要なコンプライアンス規制クラウドサービスを利用する企業は、自社のビジネス領域や取り扱うデータの種類、顧客の所在地などに応じて、さまざまな規制への対応が求められます。ここでは、特に重要な国内外の主要な規制について、その概要と企業が注意すべきポイントを解説します。GDPR(EU一般データ保護規則)2018年5月に施行されたGDPRは、EU域内の個人データ保護に関する統一的な規制です。この規制は適用範囲の広さが特徴で、EU域内に拠点を持たない日本企業であっても、EU市民の個人データを取り扱う場合には適用対象となります。GDPRでは、個人データの収集・処理に関する明確な法的根拠の確保、データ主体の権利(アクセス権、削除権、データポータビリティ権など)の保障、データ侵害発生時の72時間以内の監督機関への通知義務など、厳格な要件が定められています。違反した場合は巨額の制裁金が科される可能性があるため、EU市場でビジネスを展開する企業にとって、GDPRへの準拠は最優先で取り組むべき事項です。HIPAA(医療保険の携行性と責任に関する法律)1996年に制定されたHIPAAは、米国における医療情報の保護を目的とした連邦法です。保護対象健康情報(PHI)の適切な取り扱いを義務付けており、医療機関はもちろん、医療保険会社や医療情報を処理するITベンダーなど、PHIを取り扱うすべての事業者が対象となります。HIPAAでは、物理的、技術的、管理的なセーフガードの実装が求められており、データの暗号化やアクセス制御、監査ログの保持などが必須要件となっています。罰則も厳しく、意図的な違反の場合は最大で150万ドルの罰金が科される可能性があります。医療分野でクラウドサービスを活用する際は、HIPAA準拠が確認されたサービスの選択が不可欠です。CCPA/CPRA(カリフォルニア州消費者プライバシー法/プライバシー権法)2020年1月に施行されたCCPAと、2023年1月に施行されたその改正法であるCPRAは、カリフォルニア州民の個人情報保護に関する権利を定めた州法です。年間総収入2,500万ドル以上の企業や、5万人以上のカリフォルニア州民の個人情報を取り扱う企業などが対象となります。これらの法律は、消費者に自身の個人情報へのアクセス権、削除権、オプトアウト権などを保障しており、企業には透明性の高いプライバシーポリシーの策定や、消費者の権利行使への適切な対応が求められます。カリフォルニア州は世界最大級の経済規模を持つことから、米国市場でビジネスを展開する日本企業にとっても無視できない規制です。金融・政府機関の規制(FISC、FedRAMPなど)金融機関や政府機関向けのクラウドサービスでは、より厳格なセキュリティ基準への準拠が必要です。日本では、金融情報システムセンター(FISC)が策定した「金融機関等コンピュータシステムの安全対策基準」(FISCガイドライン)が、金融機関のシステム構築・運用における事実上の標準となっています。米国では、政府機関が利用するクラウドサービスに対してFedRAMP(Federal Risk and Authorization Management Program)認証の取得が求められます。この認証は、NISTのセキュリティ基準に基づく厳格な評価プロセスを経て付与されるもので、高い信頼性の証明です。これらの業界特有の規制への対応は、該当分野でビジネスを展開する上で欠かせない条件となっています。コンプライアンスに対応したクラウド選びの3つのポイントコンプライアンス要件を満たすクラウドサービスの選定は、企業のリスク管理において極めて重要な意思決定です。数多くのクラウドサービスが存在する中で、自社の要件に合った信頼性の高いサービスを選ぶために、以下の3つのポイントに注目しましょう。データセンターの所在地とデータ主権クラウドサービスを選択する際、最初に確認すべきはデータセンターの物理的な所在地です。データが保管される国や地域によって、適用される法規制が異なるためです。たとえば、EU域内にデータセンターを持つサービスを利用する場合、GDPRの要件を満たす必要があります。一部の国では、データローカライゼーション法により、特定の種類のデータを国外に持ち出すことが制限されている場合もあります。各国の規制要件に適切に対応するためには、データの保管場所を柔軟に選択できるクラウドサービスを選ぶことも重要です。第三者認証の取得状況(ISO 27001など)クラウドサービスプロバイダーが取得している第三者認証は、そのサービスの信頼性を客観的に評価する重要な指標です。特にISO 27001は、情報セキュリティマネジメントシステムに関する国際標準規格であり、組織の情報資産が適切に保護されていることを示す包括的な管理体制の証明となります。その他にも、SOC 2(Service Organization...
おかげさまで日本国内でも大学・機関におけるWasabiのご利用が増えてきました。そこで、各大学様においてどのようにWasabiが利用されているかをまとめてみましたのでご参照の上、採用の検討材料にしていただければ幸いです。大学でのWasabi活用例バックアップストレージとして活用一括購入したストレージのマルチテナント管理長期的なログの保存に活用GakuNin RDMの機関ストレージ・拡張ストレージとして活用監視カメラ録画のストレージとして活用まとめ:Wasabiの大学・機関での活用バックアップストレージとして活用オンプレにある仮想マシンやファイルサーバに対し、バックアップソフトウェアを介してバックアップデータをWasabi Hot Cloud Storageに保存いただいています。上記のように一次バックアップをオンプレストレージ、二次バックアップをWasabi、という形で保存いただく際のメリットは以下の通りです。1次バックアップからのリカバリ1次バックアップをオンプレに配置することで、誤って消去してしまったデータや急ぎで復旧させなければならないデータなどをLAN経由で高速にリカバリが可能です。 Wasabiへの2次バックアップ11x9sのデータ耐久性とオブジェクトロックを兼ね備えたWasabi Hot Cloud Storageに書き換え不可能なバックアップデータを保存することで、万が一本番環境と一次バックアップが災害で復旧不可能になった、ランサムウェアに暗号化されてしまった、といった場合でも、クラウド環境や他のキャンパスの環境にWasabiからデータを復旧することが可能です。また、Wasabi Hot...
ChatGPTをはじめとする生成AIの進化が、ビジネスに大きな変革をもたらしています。このAI革命の裏側で、モデルの学習に不可欠な「データ」の重要性がかつてないほど高まっています。AIに「食わせる」データが膨大になるにつれて、それを保管し、処理するためのデータセンター、とりわけデータストレージへの需要が世界的に急増しているのです。 本記事では、なぜ今データセンターとストレージが注目されるのか、その背景を深り下げ、生成AI時代を生き抜くためのデータ管理の重要性について解説します。生成AIが牽引する世界のデータセンター需要ChatGPTやGemini、Claude 4といった生成AIサービスが、企業のあらゆる業務で活用されるようになりました。これらのサービスの中核となる大規模言語モデル(LLM)や画像生成モデルは、学習と推論の両段階で膨大な計算能力を必要とします。たとえば、GPT-4の学習には数万台のGPUサーバーが数ヶ月間稼働し続ける必要があり、1回の学習コストは数十億円に達するとされています。この計算処理を担うGPUサーバーを大量に設置・稼働させるため、世界中でハイパースケールデータセンターの新設・増設が相次いできました。「情報通信白書令和6年版」によると、2020年に19.1兆円だったデータセンターシステムの市場規模は、2024年には36.7兆円まで拡大すると予測されています。 AIの性能は「データ」が命!その理由とは?「Garbage In, Garbage Out(ゴミからはゴミしか出てこない)」という慣用句が示す通り、AIの精度や信頼性は学習データの質と量に大きく依存します。どれほど優れたアルゴリズムを用いても、学習データが適切でなければ、期待通りの性能は得られません。なぜ「大量のデータ」が必要なのか?モデルの精度を高め、より複雑な文脈やニュアンスを理解させるためには、多様かつ大量のデータが不可欠です。人間の言語の微細な違いや、業界特有の表現を正確に理解するには、膨大なサンプルが求められます。特に、テキスト、画像、音声、動画といった、ビジネス活動で日々生成される多様な「非構造化データ」は、AIにとって貴重な学習資源となります。これらのデータを適切に処理・活用することで、より実用的で精度の高いAIシステムの構築が可能になるのです。企業独自のデータ活用が競争力になる汎用的なモデルに対し、自社が保有する独自のデータを追加学習させる「ファインチューニング」や、外部の最新データソースを参照する「RAG(Retrieval-Augmented Generation)」といった技術の重要性が高まっています。これにより、業界特有の専門用語を理解させたり、自社の製品情報に基づいた顧客対応を自動化したりと、企業独自の競争力に直結する成果が期待できます。汎用AIでは対応できない、自社固有のビジネス課題を解決する鍵となるのです。生成AIの「データを食わせる」段階で直面する3つの壁学習データを準備し、AIに供給するプロセスにおいて、多くの企業が共通して直面するインフラ上の課題があります。AI活用を成功させるには、まずこれらの壁を乗り越えることが必要です。壁1:爆発的に増え続ける「データ保管コスト」AIの学習データは、一度使って終わりではありません。モデルの再学習や精度検証、法規制への対応のためには、データの長期的な保管が必要です。ペタバイト級に達することも珍しくないこれらのデータを、従来のオンプレミスストレージや一般的なクラウドストレージで保管し続けると、月額数千万円から数億円のコストが発生して、経営を圧迫する大きな要因となります。特に、データ量の増加に比例して保管コストが急増する従来のストレージモデルでは、長期的な事業計画の策定は困難です。壁2:学習効率を落とす「データアクセス速度」大量のGPUが一斉に学習データを読み込む際、ストレージの読み出し速度(スループット)がボトルネックとなり、高価なGPUリソースを遊ばせてしまう「I/Oバウンド」と呼ばれる問題が発生しやすくなります。データの読み込み待ちにより、1台数百万円するGPUの稼働率が低下すると、学習時間の延長だけでなく大幅なコスト増加につながります。学習サイクルを高速化し、開発スピードを向上させるためには、大容量データを低遅延でGPUに供給できる高性能なストレージが不可欠です。壁3:データの散在が招く「管理の複雑化とセキュリティリスク」データが複数の部署のサーバーや、異なるクラウドサービスに点在している「データのサイロ化」も、AI活用における大きな障壁です。一元的なデータ管理ができないと、必要なデータを探すのに時間がかかったり、アクセス権の管理が煩雑になりセキュリティホールを生んだりするリスクがあります。また、データの重複や不整合が発生し、AI学習の品質低下や、予期せぬ学習結果を招く原因にもなります。生成AI時代に必須となるストレージ基盤の3つの条件上記の課題を乗り越え、AI活用を成功に導くために、これからのデータストレージに求められる要件を整理します。これらの条件を満たすストレージ基盤を選ぶことが、AI戦略の成否を左右します。条件1:ペタバイト級にも即応する「無限のスケーラビリティ」将来のデータ増加量を予測することなく、ビジネスの成長に応じてシームレスに容量を拡張できる能力が重要です。AI学習用のデータは、モデルの高度化とともに指数関数的に増加する傾向があります。この点で、物理的な制約が少なく柔軟にスケールアウトできるクラウドのオブジェクトストレージが、AIデータレイクの基盤として最適です。容量の上限を気にすることなく、必要に応じて即座に拡張できる環境が、継続的なAI開発を支える土台となります。条件2:コストと性能を両立する「経済合理性」従来の「高速だが高価なストレージ」と「安価だが低速なアーカイブストレージ」という階層化の考え方では、AI学習の「大容量データに頻繁かつ高速にアクセスしたい」というニーズに応えきれません。特に、データを読み出す際の転送料金(エグレス料金)が、AI学習のように繰り返しデータを読み出す用途では想定外の高コストにつながるケースがあります。月額数千万円の転送料金が発生し、プロジェクトの採算性を大きく損なう事例も報告されています。これからのストレージには、予測可能な低コストで、かつ高速なアクセス性能を提供する「費用対効果」の高さが強く求められます。条件3:データサイロを解消する「統合的データ管理機能」データの散在によるセキュリティリスクと管理の複雑化を解決するため、全社のデータを一元的に管理できる統合プラットフォームが必要です。部署ごとに異なるシステムでデータを管理している状況を解消し、データへのアクセス権限をきめ細かく制御できる機能が重要となります。また、データの来歴を追跡できるデータリネージュ機能や、自動的なデータ分類・タグ付け機能により、必要なデータを迅速に発見できる環境の構築が求められます。暗号化やアクセスログの管理といったセキュリティ機能も統合され、企業のガバナンス要件を満たしながら、AI開発チームがデータに安全かつ効率的にアクセスできる環境が理想的です。まとめ生成AIのビジネス活用が本格化する中で、その競争力の源泉は、AIモデルそのものだけでなく、その燃料となる「データ」をいかに効果的に管理・活用できるかにシフトしています。データセンター需要の高まりは、単なる計算リソースの需要増だけではなく、「データを保管し、供給する」ストレージの重要性が増していることの表れです。増え続けるデータを、低コストかつ高速に、そして安全に扱えるストレージ戦略こそが、企業のAI戦略、さらには事業成長の成否を分ける鍵となります。こうした要件を満たす最適なソリューションが、従来のクラウドストレージと比較して最大80%のコスト削減を実現したWasabi Hot Cloud Storageです。データ転送料やAPIリクエスト料金が一切かからない完全定額制により、AI学習で頻繁にデータアクセスが発生しても、予期しないコスト増加の心配はありません。Wasabiは多くの企業にとって、AI時代のデータ管理基盤として理想的な選択肢となるはずです。...