無料ダウンロード
IT業界の新人必見!インフラ知識が学べる
  1. TOP
  2. Lv.1_ストレージを最初に学ぶ人が読む記事
更新日:2024-11-01
Level 1 ストレージを最初に学ぶ人が読む記事
第2章 ストレージの機能

第1節 ストレージスナップショットだけはNG?データを守る機能
(ストレージスナップショット・レプリケーション・アプリ連携・暗号化・認証)

第1章で説明したストレージの基礎を踏まえ、今回からは第2章ストレージの機能について解説します。
まずは「ストレージのデータを守る機能」について理解していきましょう。

ストレージのデータを守る機能とは?

ストレージ博士
ここまではストレージの基礎について勉強してきたが、
第2章からはストレージの様々な機能について見ていくぞ。
hakase
tameru_laugh
出板 ためる
博士…了解です。
いよいよ2章でレベルアップですね!
ストレージ博士
まずはデータを守る機能からじゃ!
hakase
tameru_question
出板 ためる
データを守るのはRAIDじゃないんですか?
ストレージ博士
うむ。もデータを守る重要な技術じゃったな。
ただし、RAIDは「ドライブ障害から」データの損失を防ぐのであって、それ以外の場合…
例えば君が誤って作業中にストレージ上から重要なデータを消してしまったとすると…
hakase
データ損失
tameru_shock
出板 ためる
そうか、それも立派なデータ損失なんですね!
ストレージ博士
立派かどうかは置いておいて。
ここで様々なデータ保護方法について紹介しよう。
データ保護方法は大きく以下の3種類に分類できる。
hakase
バックアップ レプリケーション アーカイブ
目的 データ復旧 データ復旧
システムの継続
データを安全に
長期保管・再利用
大事なデータが消えてしまったので、元に戻したい 本番ストレージが災害で使えなくなった際に継続して使用したい 法律である年数の保存を義務付けられた書類を、改ざんされることなく保存したい
保存頻度 定期的 定期的/リアルタイム 長期間
データの
編集
可能 可能 不可能

ストレージスナップショット:論理的バックアップ

ストレージ博士
バックアップとは、データを定期的に保存することじゃな。ストレージのバックアップにおいて代表的なのがスナップショットという機能じゃ。
hakase
tameru_laugh
出板 ためる
スナップショット?
写真のことですか?
ストレージ博士
うむ。ある時点でのデータ領域を、まるで写真を撮るように素早く、そしてそのままの状態を保存する、という“論理バックアップ機能”じゃ。
hakase
スナップショット取得

①本番ボリュームのスナップショットを作成

スナップショットを作成

②本番ボリュームの内容が変更されても、スナップショット作成時点のデータを保持

スナップショット作成時のデータを保持
スナップショットからリストア
スナップショットからリストア
ストレージ博士
とは言え、実際に毎回本番ボリュームを丸ごとコピーしている訳ではない。それだとすぐに容量がいっぱいになってしまうからのう。
本番ボリュームからの差分を保存して、仮想的にスナップショット作成時点のボリュームのように見せているんじゃ。
hakase
tameru_idea
出板 ためる
なるほど、
バックアップと言っても同じストレージの中に保存しているから「論理バックアップ」ということですね。
ということは、本番側のストレージが壊れたらスナップショットもなくなっちゃうんでしょうか?
ストレージ博士
いいところに気づいたのう。
通常、企業向けのストレージが完全に壊れるということはなかなかないが、災害などが発生すればどうなるか分からない。
よって、さらにデータを別の場所にバックアップし、データを守ることが多い。
そのバックアップ先として代表的なのが、ディスクテープ、そしてクラウドじゃ。
hakase
  • D2D(Disk-to-Disk)…ディスクからディスクへ
  • D2T(Disk-to-Tape)…ディスクからテープへ
  • D2C(Disk-to-Cloud)…ディスクからクラウドへ
D2D_D2T_D2C
tameru_laugh
出板 ためる
Disk-to-Disk だから、略してD2Dですね。
ちょっとカッコいいですね!

レプリケーション:ボリュームの同期で災害対策

ストレージ博士
そのD2Dでよく使われるのが、
先程も少し出てきたレプリケーションじゃ。
複製(レプリカ)を作るという意味なんじゃが、その名の通り別のストレージにデータを複製する機能なんじゃ。つまり、本番ストレージ上と別のストレージ上のボリュームを同期させるイメージじゃな。
hakase
レプリケーション
tameru_laugh
出板 ためる
なるほど、
遠く離れた場所に複製したデータをおいておけるから、万が一災害が発生して本番ストレージのデータが使えなくなったとしても、データの損失を防ぐことができるということですね。
ストレージ博士
うむ、レプリケーションはこのようにデータの遠隔地保管でも使用されるが、
本当の意味での「災害対策(DR対策) 」を実現するためにはストレージだけではなく、システム全体を遠隔地に構築することも検討が必要じゃ。

その場合、DRサイトにも本番サイトと同様の機器やアプリケーションが必要となるが、いざという時に、DR サイトでシステムを立ち上げることができる。
hakase
データの遠隔地保管の場合
万が一の際は、遠隔地に保管したデータを本番ストレージに戻して使用する必要がある
遠隔地から本番環境にダウンロード
DR対策をしている場合
万が一の際は、遠隔地でそのままシステムを立ち上げることができる
遠隔地でそのままリカバリ
DRとは
DRとは、Disaster Recoveryの略で、 災害復旧のこと。地震や津波などの災害によってシステムの継続が困難になった際にシステム復旧し被害を最小限に抑えるための予防措置のこと。
DR対策
tameru_shock
出板 ためる
でも、お高いんでしょう…??
ストレージ博士
DRサイトは、いざという時に最低限使えればいいという要件なら本番サイトよりサーバー台数を減らしたり、多少コストを抑えることができるがもちろん遠隔地保管と比較するとコストはかかるのう。
データの遠隔地保管だけでいいのか、DR対策まで必要なのか、要件とコストをよく考えて、構成を検討することが大事じゃ。
hakase
tameru_think
出板 ためる
今は地震も多いし、最低でもデータの遠隔地保管は考えたほうが良さそうですね…
そういえばD2TやD2C、テープやクラウドへのバックアップだと安くなったりしないんですか?
地震から避難する様子
ストレージ博士
初期コストを少しでも抑えたいということであれば、テープメディアや、安いストレージにバックアップを取るというのも1つの手じゃな。
しかし遠隔地保管が目的の場合、今度はテープの輸送が必要になるのでその運用や配送に関わるコストや手間も考慮する必要がある。
hakase
考慮①ストレージコスト
テープメディアや安価なストレージにバックアップしコストを抑える必要はあるか?
ストレージコストを抑える
考慮②運用コスト
テープで遠隔地する場合、運用費や輸送費まで考慮されているか?
運輸費がかかる
ストレージ博士
クラウドへのバックアップも、もちろん選択肢の1つじゃな。ただしクラウドは従量課金。データが増える程、コストは増える。
バックアップデータは基本的には増え続けるものなので、本当にクラウドが安くなるかどうかはしっかりと試算をする必要がある。
hakase
バックアップデータが増えるだけコストがかかる
tameru_cry
出板 ためる
う~ん。
データを守るためには、色んな所でコストがかかるものなんですね。
ストレージ博士
まあそう落ち込まんでくれ。
とは言え、ストレージ機能によるレプリケーションであればそのストレージの機能を最大限に使えるため、メリットも多い。
コストが許せば、同じメーカー、同じシリーズのストレージ2台でレプリケーション構成にするのがオススメじゃ。
hakase

アプリケーション連携バックアップ

ストレージ博士
ここまで紹介したのは、あくまでもストレージ上にあるデータのバックアップを取る機能じゃ。
しかーし!
それだけではデータの整合性の取れた状態でバックアップが取れているとは言えない。
hakase
tameru_surprise
出板 ためる
ええーっ!
ストレージ上にあるデータだけじゃダメなんですか!?
データの整合性」ってなんですか?
ストレージ博士
ストレージのスナップショット取得中に、仮想マシンのデータベースサーバーでユーザーがデータを書きかえてしまった。
するとこのバックアップ中のデータはどうなるかな?
どんなに小さな変化でも変化が発生した場合、このバックアップは不整合となる。
不整合のバックアップからは、最悪の場合データの復旧ができなくなることもあるのじゃ。
hakase
不整合
tameru_surprise
出板 ためる
ええーっ!
バックアップの意味がないじゃないですか!
でも一体どうすればいいんでしょう??
ストレージ博士
不整合を防ぐために、例えばこういった作業が必要になる。仮想マシン上のデータに変更が入ってもバックアップに影響がないように、サーバー側で都度作業をしてやるんじゃ。
hakase
サーバー管理者とストレージ管理者で連携
tameru_think
出板 ためる
ストレージだけで完結するものじゃないんですね。
ちょっと面倒ですね…。
ストレージ博士
そう、面倒じゃろう!
ここで、内部的にストレージ側の機能と連携し、簡単にバックアップ/リストアができるアプリケーション連携バックアップ機能の登場じゃ。

仮想マシン側のスナップショットと、ストレージ側のスナップショットを連携してバックアップを取得することで、整合性の取れたバックアップを実現するんじゃ。
下記のような一連の手順を自動で実施してくれるから煩わしい作業が不要となる。
hakase
アプリケーション連携スナップショット
tameru_question
出板 ためる
これはラクラクですね!
あれ?待てよ。そういえばバックアップソフトでも整合性の取れたバックアップが取れると聞いたことがあります。どこが違うんでしょうか?
ストレージ博士
お!いいところに気づいたのう。
基本的には同じ考え方じゃな。
hakase
tameru_laugh
出板 ためる
じゃあストレージがあれば、
バックアップソフトは不要なんですね!?
ストレージ博士
バッカモーン!
あくまでストレージにおけるバックアップは、ストレージ内で実行する「論理バックアップ」じゃ。スナップショットやレプリケーションだけではデータ保護として十分とはいえん。
バックアップの超基本的概念として代表的なのが、
3-2-1ルールじゃ。様々なリスクを考慮し、「物理バックアップ」を提唱する考え方じゃ。ありとあらゆる場所に保管するためバックアップソフトも必要なんじゃ。
hakase_angry

3‐2‐1ルール

3-2-1ルールとは、バックアップ業界全体が推奨しているデータ保護の考え方のこと。“3つ” のデータコピーを用意したら、バックアップデータは “2つ” の異なるメディアに保存して、かつ少なくとも “1つ” はオフサイトに保存し、データを安全に保護しましょう、という推奨ルールのこと。

3-2-1ルール

※物理バックアップは「バックアップ編」で詳しく解説。

自己暗号化ドライブによるデータ暗号化

tameru_shock
出板 ためる
バックアップもレプリケーションもやって…
まだ必要なことが他にもあるんですか…!?
ストレージ博士
うむ、データを守る機能が必要じゃ。
ただし今度はドライブの障害やデータ損失などから冗長化や可用性で備える話ではなく、情報漏洩などセキュリティな観点でデータを守る話じゃ。
hakase
tameru_think
出板 ためる
最近、企業の機密情報が漏洩して問題になったニュースもよく見かけますよね。
そっちの「守る」も考えないといけないんですね。
ストレージ博士
ストレージにおいても、例えばドライブが抜き取られて盗難にあったらそのドライブの内容が読み込めてしまうことがある。それを防ぐために「暗号化」を行うんじゃ。様々な方式があるが、よく使われているのは自己暗号化ドライブを使用する方法じゃ。
hakase

自己暗号化ドライブによる暗号化

キー管理サーバーと通信し、鍵を入手することでドライブにアクセス可能になるのでドライブを盗難し、別のストレージに入れたとしても読み込むことができない。

自己暗号化ドライブ
ストレージ博士
ただし暗号化と一言で言っても、AES256bitなど様々な方式がある。案件仕様書などで方式が指定されている場合もあるので、そのストレージが求められている暗号化方式に対応しているかは要確認じゃ。
hakase

独自プロトコル通信でデータ転送

tameru_question
出板 ためる
これは安心ですね!でも最近は社外からアクセスするケースもよくあります。
VPNで暗号化通信を行えば、データが盗まれることはないんでしょうか?
ストレージ博士
いいところに気づいたな。
すでにリモートワークで普及しているVPN(Virtual private network)は通信を暗号化するインターネットを安全に利用するための技術じゃが、VPN機器の脆弱性を狙ったサイバー攻撃も多発しておる。
そこで独自プロトコルのデータ転送じゃ。
hakase

独自プロトコルでデータ転送

多くのランサムウェアは汎用的なOS/プロトコル用に開発されているため、CIFS/NFS接続で通信を行っていると、簡単にストレージに侵入されてしまう。独自プロトコル用に開発されたランサムウェアでない限り、ストレージには侵入されない。

独自プロトコル通信

多要素認証(MFA)

tameru_tehe
出板 ためる
とりあえず暗号化さえやっておけば、もう怖いものなしですね!
ストレージ博士
最近はそんなことも言ってられんぞ。
近年ニュースで話題となっているランサムウェアは、
ストレージのスナップショットまでも削除・変更・暗号化してしまうんじゃ。
hakase
tameru_shock
出板 ためる
えっ…
データを守るために暗号化してるのに、
その上からさらにランサムウェアが暗号化したり、削除しちゃうんですか…!?
直前のデータで復旧するためにストレージスナップショットしておいても復旧できないことがあるんですか?
ストレージ博士
そうじゃ。
ランサムウェアは攻撃を仕掛けたあと本番環境に侵入し、あらゆるAdmin権限を入手してインフラ全体を掌握するんじゃ。
基本的にスナップショットはRead Onlyじゃが、ランサムウェアがストレージのAdmin権限を乗っ取ると、スナップショットも削除されてしまう
それを防ぐためにどんな機能があるかのう?
hakase
tameru_laugh
出板 ためる
多要素認証(MFA)ですね!
僕も仕事で使ってます!PCからログイン画面でパスワードを入力したあと、スマホの専用アプリから本人確認を行ってやっとログインできるやつですよね!
MFA
ストレージ博士
そうじゃ。
多要素認証(MFA)は、3つの認証方法の中から異なる2つ以上の要素を組み合わせ、システムの操作者が利用権限である本人かを確認するための認証方法。 昔の主流だった二段階認証との違いは以下の通りじゃ。
hakase

多要素認証(MFA)と二段階認証の違い

多要素認証(MFA)
3つの承認方法から異なる2つ以上の要素で認証を行うこと。二段階認証よりもより確実な本人確認が可能。
MFA

認証の要素が2つの場合は二要素認証という。(二要素認証も多要素認証に含まれる)

二段階認証
要素の種類に関わらず、二段階で承認を行うこと。1要素の場合は多要素認証よりもセキュリティリスクが高い。
2段階認証

認証のための3つの要素

知識情報
知識情報
  • ID/パスワード
  • PINコード
  • 合言葉(秘密の質問)
所持情報
所持情報
  • スマホ/タブレット
  • USBトークン
  • ICカード/電子証明書
生体情報
生体情報
  • 指紋/静脈パターン
  • 顔/虹彩
  • 声紋

複数管理者認証(4-Eyes認証)とデータ削除防止機能

ストレージ博士
さらにセキュリティを強化する承認方法として、4-Eyes認証(Four-Eyes承認)がある。
hakase
tameru_question
出板 ためる
4-Eyes認証?
包帯をほどくと第四の目・邪気眼が現れるんですか?
4つの目
ストレージ博士
…ゴホン。
4-Eyes認証とは4つの目、つまり二人以上の承認を必要とする「複数管理者認証」のことじゃ。
hakase
tameru_surprise
出板 ためる
はっ…!
たしかに複数人の承認をもって実行できると安心ですね!入社当時、僕が仕事でやらかしてしまった時に上司が張り付いてたのも4-Eyes認証だったんですね…!?
監視体制
ストレージ博士
それは知らんが…
例えば、ストレージスナップショットはそもそもイミュータブル(不変)じゃが、Admin権限を奪われてしまうと削除されてしまう危険性がある。
複数人の承認が必要な設定にすれば、たとえ管理者であっても一人で削除が出来ないため、万が一ストレージのAdmin権限が奪われても悪意ある第三者はスナップショットの削除ができない
ランサムウェア対策だけでなく、内部の悪意あるユーザーによる故意の削除や、誤操作の防止にもなる。
hakase

4-Eyes認証(複数管理者認証)を利用した
スナップショット削除防止機能

削除防止機能なし
スナップショット削除完了
削除防止機能あり
スナップショット削除不可
tameru_laugh
出板 ためる
じゃあ…ストレージスナップショットを守れば、ランサムウェア対策は万全ですか?
やっぱりバックアップソフトは不要なんですね!?
ストレージ博士
バッカモーン!何度言ったらわかるんじゃ!
バックアップはランサムウェア対策や災害対策など、あらゆるデータ損失のリスクに備えて非常に重要じゃ。
何も信頼しない「ゼロトラストセキュリティ」の概念に基づき、ランサムウェア対策において「この機能を導入すれば絶対安心」というものは存在しない。
どこまでのきめ細かいセキュリティ製品やバックアップ製品が必要か、ストレージと併せて検討すべきなんじゃ。
いずれにしても餅は餅屋じゃ。
hakase_angry

バックアップについて勉強したい人は、「バックアップ編」も要チェック。
ストレージ博士の兄、「バックアップ博士」が紹介しているぞ!

tameru_laugh
出板 ためる
わー!
バックアップ博士とストレージ博士、まるで同一人物みたいにそっくりですね!

WORMストレージ(イミュータブルストレージ)

ストレージ博士
また、ストレージスナップショットの削除防止だけでなく、バックアップストレージ側でデータを書き換え不能にするWORM*⑴機能も一般的じゃ。
最近はイミュータブルストレージとも言われるのう。

*⑴WORM…書き込みは一回のみ、読み込みは何回でも可能とすること
hakase

企業で導入される主なWORMストレージ
(イミュータブルストレージ)

WORMストレージ
ストレージ博士
もちろんCD-RやDVD-R、BD-RもWORMじゃが、
第一章「ストレージの基礎」で伝えた通り、メディアの耐久性や冗長化など考えると、企業の重要データの保管先としては適切じゃないのう。WORMについては「Level 3 バックアップをもっと学ぶ人が読む記事(ランサムウェア対策編)」で詳しく解説しておるから併せて読んでほしい。
hakase
tameru_think
出板 ためる
いざという時の復旧に備えるためにも、ストレージとバックアップ、どちらも企業向けの高性能な製品が必要ですね!バックアップ製品も早速勉強してみます!

今回はストレージのデータを守る機能を解説しました。
ドライブの故障だけでなく、ランサムウェアなどのマルウェア、災害、人的ミスからデータ損失を防ぐ機能も必要です。
あらゆるリスクを想定して適切なストレージを選定しましょう。
次回はストレージの容量効率を上げる機能、重複排除・圧縮・階層化を解説します。早速次のページに進んでみましょう。

  1. TOP
  2. Lv.1_ストレージを最初に学ぶ人が読む記事