先日、SynologyのDiskStation Manager 7.2 (DSM 7.2) Beta版が公式サイトよりリリースされました。
ランサムウェアに対抗しデータの暗号化や削除を防ぐ「WriteOnce共有フォルダ」やボリューム全体の暗号化、通知機能ではTeams対応など、長い間待ち望んでいた機能が7.2で利用可能になります。
保存データの改ざん防止策(WriteOnce共有フォルダ)
データが変更、削除されることを防ぐ改ざん防止機能「WORM(Write Once Read Many)」を、バックアップメディアのテープでお聞きになった事があると思いますが、その機能がSynology NAS の共有フォルダで実現可能になります。
長い間、お客様から
「バックアップ先のNAS共有フォルダではランサムウェアを防げませんよね」
と指摘を受けておりましたが、新OS(DSM7.2)はバックアップストレージが要塞化し、ランサムウェアの脅威に対抗するソリューションとなります。
保存データの改ざん防止策として、膨大なデータをより効率的かつ安全に保守管理するための大容量バックアップ装置としての運用が可能となります。
この機能は、「イミュータブルストレージ」や「イミュータブルバックアップ」ともいわれ、データを変更不可能にし、削除、暗号化を阻止してデータを保護します。
イミュータブルとは「作成後にその状態を変えることのできない変更不可能」という意味です。
早速社内の機器にインストールして検証しましたので一部画面をお見せしながらご紹介します。
※公式サイト紹介ページ
OSファイルのダウンロードはページ下部にボタンがありますのでご確認ください。
https://www.synology.com/ja-jp/DSM72
DiskStation Manager 7.2 (DSM 7.2) の概要
イミュータブルストレージとバックアップ、高速フルボリューム暗号化、より厳格なアクセス制御。
新しいDSMにより、ご利用のシステムが真のデータ要塞になります。
Synologyサイトより引用
データの安全性やビジネスの効率化を支える多くの機能が追加され、DSMはデータ保護において更に強化されます。
機能紹介(WriteOnce共有フォルダと通知機能の強化)
○WriteOnce共有フォルダ
変更や削除ができないようにロックされ、データ保持ポリシーを技術面から強化します。
定められた期間フォルダを保護したり、あるいは変更を永久に無効にすることができます。
○通知機能の強化
・通知ツールの拡充、設定の簡易化
通知の手段としてメール、SMS、プッシュサービス、Webhookアプリケーションがありました。
Webhookについては少し設定が難しかったですが、今回のDSM7.2からアプリケーションの選択リストに
Microsoft TeamsやLINE Developersが追加されて、簡単に設定できるようになりました。
・より効果的なダイレクト通知
通知ルール毎に通知先を設定可能になりました。
検証
WriteOnce共有フォルダ
作成する場所は今まで同様共有フォルダから作成します。
ウィザードに従って進めると[追加的なセキュリティ対策を有効化]の画面が表示されます。
ここで「この共有フォルダをWriteOnceで保護」を選択します。
・企業モード
モードの下の説明文を見ると管理者であれば共有フォルダ等削除可能になるようです。
このままでは普通の共有フォルダと変わらないので「自動ロックを有効化」を設定します。
この機能は共有フォルダ配下のファイルを対象に定義した時間、更新がないファイルは自動的にロックされます。
検証では【自動ロックタイマー:2時間/保持:1日/ロック状態:Immutable】に設定します。
作成した共有フォルダは共有フォルダ名の隣に[WriteOnce]と記載されていて一目で分かるようになっていました。
自動ロックの動作確認を行います。
[test]フォルダの中に[memo.txt]ファイルを作成します。
[FileStation]からだと「ロック状態」も確認できるようになっています。
ロック状態なるまで2時間待つことはできないので、編集画面から「直ちにロック」をかけたいと思います。
再度、[FileStation]を確認すると[Locked (Immutable)]且つ、削除できないようになっているのが確認できました。
設定を修正すると、新しい設定はロック解除されたファイルのみに適用され、既にロックされたファイルの設定は変更されないと記載がありました。
このファイルはしっかり1日待たないと使用できないようです。
・コンプライアンスモード
企業モードに比べて更に強固なモードです。
モードの下の説明文を見ると「誰も削除する事ができません」と記載されていました。
ボリューム/ストレージプールからも削除できないので本当に削除したいときは初期化するしかないのかもしれません。
削除しようとしたところ、やはり削除できませんでした。
WriteOnce共有フォルダを試してみて、ファイルのロックによってファイルが暗号化されてしまうランサムウェアに対抗できる機能になっています。
通知機能の強化
Synology NASの通知をWebhookを用いて、Microsoft Teamsで受信する設定を行ってみます。
通知の設定画面の比較すると[Webhook]タブが追加されているのが分かります。
DSM 7.2
「コントロールパネル」-「通知」-「Webhook」
DSM7.1以前
「コントロールパネル」-「通知」
Teams
通知を受けるTeamsのグループにて接続に必要なURLを取得します。
グループの右上「…」からコネクタを選択します。
サービスの一覧が表示されるので「Incoming Webhook 」を追加します。
(画面では2回目以降なので「構成」になっています。)
名前とアイコンを設定します。
名前はTeams内で使用する名前です。(今回はサーバ名にしました。)
[作成]をクリックするとURLが表示されますのでコピーしてメモします。
[完了]をクリックするとTeamsのチーム内に完了通知が届きますのでご確認下さい。
Synology
[Webhook]タブで「追加」して下記項目を設定します。
プロバイダー:[Microsoft Teams]を指定します。
規則:通知するログレベルを指定します。
プロバイダー名:Synologyで表示する名前を指定します。(任意の値)
件名:通知内容の変更が必要であれば変えて下さい。(画像はデフォルト)
URL:先ほど控えたURLを入力します。
設定が追加されたので、テストメッセージを送信してみます。
Teams
メッセージを確認できました。
設定は以上です。
TeamsのWebhook通知機能を試してみて、メールでは気づきにくかったり、簡単に通知受ける人を設定できるので便利です。
弊社ではSynology NASを利用して、様々はソリューションをお客様に提供しております。
設定のお悩みや導入のご相談はこちらからお願いします。