バックアップの暗号化オプションについて

データのバックアップは、データ損失の防止と迅速な復旧にとって極めて重要です。安全かつ強靭なデータ保護戦略の一環として、情報漏洩や権限のない者によるデータへのアクセスを防ぐためのバックアップ暗号化が挙げられます。本ブログ記事では、データの暗号化が行われる場所に応じた暗号化の種類について解説し、効果的なバックアップ暗号化戦略を構築するための具体的なアプローチについて説明します。

NAKIVOで身代金要求に"ノー"を

ランサムウェア攻撃後の迅速なデータ復旧には、バックアップを活用してください。多彩な復旧オプション、改ざん防止機能を備えたローカルおよびクラウドストレージ、復旧の自動化機能などを備えています。

ソリューションを見る

バックアップ暗号化の種類

暗号化は、使用する暗号化アルゴリズム、鍵の長さ、および暗号化が行われる場所に基づいて、さまざまな種類に分類することができます。"送信元側暗号化"と"受信側暗号化"は、データ暗号化の文脈、特にクラウドストレージやデータバックアップなどのシナリオにおいて、システム間でデータが転送される際に用いられる用語です。これらは、暗号化および復号化の処理が行われる場所を指します。

送信元側暗号化

ソースサイド暗号化(クライアントサイド暗号化とも呼ばれる)とは、データがクラウドストレージサービスやリモートサーバーなどの別のシステムに送信される前に、クライアント(送信元)システム上でデータを暗号化する手法です。このプロセスにより、データがクライアントの管理下を離れた瞬間から保護され、送信および保存の全過程を通じて機密性と完全性が維持されます。

注: ソースサイド暗号化は、一般にクライアントサイド暗号化と呼ばれるものと密接に関連しています。実際、この2つの用語はしばしば同じ意味で使用されますが、具体的なアプリケーションやシステムによっては、その文脈が異なる場合があります。

ソースサイド暗号化の仕組み

ユーザーやアプリケーションがコンピュータやサーバーなどのデバイス上でデータを生成すると、そのデータはまずそのデバイス上でローカルに暗号化されます。この暗号化プロセスでは、AES(Advanced Encryption Standard)のような強力な暗号化アルゴリズムが使用され、読み取り可能なデータが、対応する復号鍵なしでは解読できない暗号化された形式に変換されます。 この暗号化キーは通常、クライアントによって管理されます。つまり、クライアント、あるいはそのキーへのアクセス権を持つ承認されたエンティティのみが、データを復号して元のデータにアクセスできるということです。

データが暗号化されると、宛先システムへ送信されます。この送信中、データは暗号化されたまま保持されるため、途中で傍受された場合でも情報漏洩のリスクが低減されます。 データはクライアント環境を離れる前にすでに暗号化されているため、受信システムはその内容を知る必要も、データを復号する能力を持つ必要もありません。

ターゲットシステムに到達した後、データは暗号化された状態で保存されます。サーバーまたはストレージサービスは暗号化されたデータのみを保持し、通常は復号鍵へのアクセス権を持たないため、独自にデータを復号することはできません。 この構成により、正しい復号鍵がなければデータを読み取ることができないため、ストレージシステムが侵害された場合でもデータの安全性が確保されます。

クライアントまたは承認されたユーザーが保存されたデータにアクセスする必要がある場合、暗号化されたデータはターゲットシステムから取得され、クライアント(送信元システム)に返されます。その後、クライアントは元の復号鍵を使用してデータをローカルで復号し、元の読み取り可能な形式に戻します。 この復号プロセスは完全にクライアントのシステム上で行われるため、データのライフサイクル全体を通じて、データがクライアントの管理下にあることが保証されます。

送信元側暗号化は、クラウド環境に機密情報を保存する場合など、クライアントがデータセキュリティの管理権限を維持したいシナリオにおいて特に有用です。ただし、暗号化キーを紛失するとデータに永久にアクセスできなくなるため、クライアントは暗号化キーを安全に管理する必要があります。このアプローチは、強力なデータ保護レベルを提供します。

送信元側暗号化のメリット

送信元側暗号化により、クライアントは暗号化キーを含め、暗号化プロセス全体を完全に管理することができます。このアプローチにより、データがクライアントの環境を離れる前に確実に保護されるため、より高いレベルの信頼性と自律性が確保されます。クライアントは、特定のセキュリティ要件やコンプライアンス要件に合わせて暗号化方式や鍵管理戦略を調整できるため、このアプローチは機密性の高いデータや規制対象のデータにおいて特に有効です。

セキュリティ

ソースサイド暗号化の主なセキュリティ上の利点の一つは、データが発信元で暗号化されるため、転送中および保存中の両方で安全が確保される点です。暗号化キーはクライアントが管理するため、キーを保有していないサービスプロバイダーや第三者を含め、いかなる者もデータにアクセスすることはできません。その結果、たとえストレージシステムが侵害された場合でも、不正アクセスやデータ漏洩のリスクが大幅に低減されます。 さらに、この暗号化はエンドツーエンドで行われるため、データのライフサイクル全体を通じて保護が維持されます。

パフォーマンス

送信側暗号化では、暗号化および復号化の処理がクライアント(送信元)デバイス上で行われるため、パフォーマンスに顕著な影響が生じる可能性があります。データのサイズや複雑さによっては、多大な計算リソースが必要となり、特に大規模なデータセットやリソースに制約のあるデバイスでは、処理速度が低下する恐れがあります。また、鍵管理も複雑さを増す要因となり、鍵の取り扱いを誤るとパフォーマンスのボトルネックやデータ損失につながる可能性があるため、慎重な対応が求められます。

受信側での暗号化

ターゲット側暗号化(サーバー側暗号化とも呼ばれる)とは、送信元(クライアント)からデータを受信した後、ターゲットシステム(クラウドサービスプロバイダー、リモートサーバー、データベースなど)がデータを暗号化するプロセスを指します。 この暗号化手法は、クラウドストレージサービスやデータベースなど、データを受信・保存した後に保護する必要があるシナリオで広く利用されています。この方法では、データの暗号化と保護の責任を、クライアント(送信元)ではなくサーバー(受信側)に委ねます。

ターゲット側暗号化の仕組み

クライアントがターゲットシステムにデータを送信する場合、そのデータは通常、プレーンテキストで送信されますが、TLS/SSLなどのトランスポート層セキュリティプロトコルを使用して、送信中に保護されることもあります。データがターゲットシステムに到達すると、サーバーが暗号化処理を引き継ぎます。 サーバーは、AES(Advanced Encryption Standard)などの強力な暗号化アルゴリズムを使用して、データを暗号化された形式に変換します。これにより、サーバーのストレージに不正アクセスしたユーザーやアプリケーションがデータを読み取れないように保護されます。

ターゲットサーバーは、このプロセスに必要な暗号化キーを管理します。これらのキーはサーバー自身によって生成・保存される場合もあれば、専用のキー管理サービス(KMS)を通じて管理される場合もあります。 暗号化キーはデータの暗号化と復号化の両方において極めて重要であり、その管理は暗号化されたデータのセキュリティを維持する上で中心的な役割を果たします。

データを暗号化した後、ターゲットサーバーはディスク上、データベース内、またはクラウドストレージシステム内など、いずれの場所であっても、そのデータを暗号化された形式で保存します。データは保存中も暗号化されたままとなるため、たとえ物理的な保存媒体に不正な人物がアクセスしたとしても、彼らは暗号化されたデータしか見ることができず、復号化キーがなければそのデータは役に立ちません。

権限のあるユーザーやシステムがデータを要求すると、サーバーはデータを復号してからクライアントに返します。この復号プロセスは通常、クライアントには見えません。クライアントは、保存中にデータが暗号化されていたことさえ気づかない場合があります。クライアントは、そのまま使用可能な元の読み取り可能な形式でデータを受け取ります。

ターゲット側暗号化は、クライアント(送信側)にとってプロセスを簡素化します。クライアントは、暗号化の処理や鍵の管理について心配する必要がないからです。サーバーまたはクラウドプロバイダーがこれらの責任を担い、プロバイダーのセキュリティポリシーに従ってデータが一貫して暗号化され、保護されることを保証します。 しかし、これは同時に、クライアントが、サーバーが暗号化キーを安全に管理し、暗号化および復号化のプロセスを適切に実行することを信頼しなければならないことを意味します。

この方法は、クラウドストレージサービス、データベース、および大量のデータを安全に保存する必要があるその他の環境で一般的に使用されています。これは保存中のデータを保護する効率的な方法を提供するため、運用におけるクライアント側の複雑さを増すことなくデータセキュリティを確保したい組織にとって、人気のある選択肢となっています。

ターゲット側暗号化のメリット

ターゲット側暗号化は、暗号化の責任をターゲットとなるサーバーやクラウドプロバイダーに移すことで、送信元側のクライアントにおける暗号化プロセスを簡素化します。暗号化アルゴリズムの実装や暗号鍵の管理といった作業はターゲットシステムによって処理されるため、クライアントはこれらを気にする必要がありません。これにより、特に使いやすさや拡張性が重視される環境において、既存のワークフローへの暗号化の組み込みが容易になります。また、サーバー上に保存されるすべてのデータに対して、暗号化ポリシーが一貫して適用されることも保証されます。

セキュリティ

ターゲットサイド暗号化は、保存中のデータを確実に暗号化しますが、その一方で、クライアントは、暗号化プロセスの管理や暗号化キーの保護をサーバーまたはクラウドプロバイダーに委ねる必要があります。データのセキュリティは、サーバーがキーを適切に管理し、セキュリティポリシーを確実に適用できるかどうかにかかっています。しかし、サーバーが侵害された場合、権限のないユーザーが、暗号化されたデータと、それを復号するために必要なキーの両方にアクセスできてしまうリスクがあります。 このリスクを軽減するため、多くのサービスでは、鍵管理サービス(KMS)やハードウェアセキュリティモジュール(HSM)などの追加のセキュリティ機能を提供し、鍵の保護を強化しています。

パフォーマンス

ターゲット側暗号化は、暗号化と復号化の負荷の大きい処理がターゲットサーバー側で行われるため、一般的にクライアント(送信側)へのパフォーマンスへの影響は小さくなります。これにより、特に処理能力が限られているデバイスにおいて、クライアント側のパフォーマンスが向上する可能性があります。ただし、暗号化と復号化の処理はサーバーのリソースを消費するため、特に負荷の高い環境では、サーバーのパフォーマンスに影響を与える可能性があります。 さらに、データをクライアントに返送する前にサーバー側で復号化する必要があるため、多少の遅延が生じる可能性があります。ただし、適切に最適化されたシステムでは、この遅延は通常ごくわずかです。

送信元側暗号化 対 ターゲット側暗号化

以下の表は、送信側暗号化と受信側暗号化(クライアント側暗号化対サーバー側暗号化)の違いを要約した主なパラメータを示しています。

NAKIVOによるソースサイドのバックアップ暗号化

データバックアップには、送信元側暗号化と受信側暗号化の両方が利用可能です。ここでは、データバックアップにおける送信元側暗号化について詳しく見ていきましょう。

NAKIVO Backup & Replication は、バックアップの暗号化に対応した高度なデータ保護ソリューションです。NAKIVOソリューションでは、強力なAES-256(256ビットの暗号鍵長)アルゴリズムが暗号化に使用されています。暗号化はバックアップリポジトリレベル(そのリポジトリに保存されるすべてのバックアップに対して)で設定可能です。 バックアップリポジトリ) をターゲット暗号化として設定します。もう 1 つの選択肢は、ソース側暗号化を使用してバックアップジョブレベルで暗号化を設定することです。その結果、バックアップデータは転送中に暗号化され、バックアップリポジトリに暗号化されたデータとして保存されます。

ソース側バックアップ暗号化では、パスワードの入力が必要です。 指定されたパスワードに基づいて生成された強力なハッシュが、暗号化/復号化キーの作成に使用されます。暗号化されたバックアップからデータを復元するにはこのパスワードが必要となるため、暗号化パスワードを紛失しないよう注意が必要です。

ソースサイド暗号化の要件:

• NAKIVO Backup & Replication バージョン11.0以降
• データ保存方式:増分バックアップ(フルバックアップを含む)(テープも対応)

送信元側暗号化の設定

バックアップの送信元側暗号化は、Webインターフェースでジョブ単位で設定します。

1. [ここ](https://example.com)へ移動 Options バックアップジョブウィザードの NAKIVO Backup & Replication 暗号化オプションを設定するには。
2. 設定する Backup encryption ～するオプション Enabled バックアップに対してソースサイド暗号化を実装する。

   注: ネットワーク暗号化が有効になっている場合、バックアップデータはネットワーク経由で転送される前に暗号化され、バックアップ先リポジトリに書き込まれる際に復号されます。負荷は 輸送業者 データの暗号化および復号化にかかる負荷が増加します。バックアップ暗号化を有効にすると、データは送信元で暗号化され、暗号化された状態で転送され、バックアップリポジトリにも暗号化された状態で保存されます。バックアップ暗号化とネットワーク暗号化の両方を有効にすると、データの二重暗号化による負荷が増大するため、必要はありません。

   

3. クリック Settings 暗号化キーを設定するには。
4. 必要なパラメータを Set a Password ウィンドウ。
   • 新しいパスワードを設定し、確認してください。
   • 説明を入力してください。例えば、 Backup encryption password.

   クリックすると Proceed、新しいパスワードはデータベースに保存されます。 NAKIVO Director、後で他のバックアップジョブでもこのパスワードを選択できます。

   

さらにセキュリティを強化するために、Key Management Service(KMS)を設定することもできます。 NAKIVO Backup & Replication AWS KMSに対応しています。

1. AWS KMS を有効にするには、次の操作が必要です。 AWSアカウントを追加する NAKIVOのインベントリに。

   

2. バックアップの暗号化のためにAWS Key Management Serviceを有効にするには、次の手順に従ってください。 Settings > General > System Settings そして、 Encryption タブ。
   • [AWS Key Management Service を使用する] チェックボックスを選択します。
   • NAKIVOのインベントリに追加されたAWSアカウントを選択してください。
   • AWSリージョンを選択してください。
   • キーを選択してください。

   

以下のページにアクセスして、暗号化の状態を確認できます Settings > Repositories そして、バックアップリポジトリを選択します(例: Onboard repository). リポジトリ名をクリックすると、そのリポジトリ内のバックアップ一覧が表示されます。

このページには、バックアップ名、暗号化ステータス、暗号化パスワードのステータス、ジョブ名、およびサイズが表示されます。

バックアップの暗号化 ステータス:

• 暗号化済み
• 暗号化されていない

暗号化パスワードの状態:

• Available – 対応するパスワードハッシュは、NAKIVO Directorのデータベースに保存されます。
• Not available – バックアップ(リカバリポイント)は暗号化されていますが、その暗号化パスワードのハッシュ値がDirectorのデータベースに存在しません。
• Not applicable – バックアップのリカバリポイントが暗号化されていない場合、このメッセージが表示されます。

バックアップジョブのオプションはいつでも編集でき、バックアップの暗号化設定を変更することも可能です。

結論

ソースサイド暗号化は、ネットワーク経由でバックアップデータを転送し、目的のバックアップリポジトリに保存する際に、データを保護するための安全かつ効果的な手段です。この種のバックアップ暗号化は、ローカルバックアップやパブリッククラウドへのバックアップなど、さまざまなシナリオで有効です。パスワードを使用して暗号化キーを生成する方法は、コスト効率が良く、ユーザーにとっても使いやすいものです。さらに、AWS KMS などの高度なキー管理サービスを利用することで、暗号化キーの紛失や忘れを防ぐことができます。

最新バージョンをダウンロード NAKIVO Backup & Replication ソース側暗号化およびターゲット側暗号化に対応しており、バックアップ戦略を効果的に実施できます。

試してみてください NAKIVO Backup & Replication

無料トライアルをご利用いただき、本ソリューションのデータ保護機能をすべてお試しください。15日間無料です。機能や容量の制限は一切ありません。クレジットカードも不要です。

無料でお試しください