機能概要

セキュリティ

ランサムウェア対策

ランサムウェアによるデータの破壊・不正な暗号化はバックアップデータに対しても脅威となります。
マルウェアなどによって不正侵入され特権アカウントを搾取された場合はその影響範囲が業務系システムだけでなく、その特権アカウントでアクセス可能な範囲全体へ及ぶためです。Commvault製品はこういった脅威に対して、保存されているバックアップデータに不正アクセスから保護する機能も標準で搭載しています。

  • バックアップデータの保護

ランサムウェア対策が無い場合

Commvaultランサムウェア対策機能 適用

Commvaultのランサムウェア対策機能を使用した場合は、バックアップデータの保存先に対するアクセス権を持ったユーザーであってもアクセスは制限されます。
※ 本機能を利用する場合のバックアップデータの保存サーバーはWindows・Linux(RHEL7.6~7.9)システムに限られます。

  • その他のランサムウェア対策機能
  • バックアップ対象ノード内のファイルアクティビティ異常の検出
  • バックアップ対象ノード内の特定ファイルの不正書き換え検出
  • 対策の範囲

ランサムウェア攻撃はファイル共有サーバーのみがターゲットではなく、データベースなども攻撃の対象になります。
不正侵入・データの破壊に備えて企業は使用しているデータ全体を保護しておく必要があり、対策漏れの有無・短時間での復旧可否も視野に入れ対策しておく必要があります。
またバックアップシステムに対しては必要最低限の通信のみを許可し、管理者コンソールへのログインは二要素認証を適用するだけでなく、ログインイベントの監査・監視システムを整備しておくことが重要です。

シングルサインオン

標準でシングルサインオン機能を使用することで、既存の認証基盤を用いたユーザーアクセスを行うことができます。
特にエンドポイントバックアップの場合はActive Directoryなどで設定されているグループとCommvaultの画面や操作を紐づけることができるため、短時間でセキュアな運用を開始することができます。

  • 連携可能な ID Provider / SSO認証
  • Active Directory
  • Azure Active Directory
  • Okta
  • OpenID
  • SAML
  • CAS

二要素認証

バックアップシステムへアクセスする際に二要素認証を使用することができます。
シングルサインオンで連携している ID Provider側の二要素認証を使用することもできますが、バックアップシステム内で作成したローカルユーザーに対してCommvaultの二要素認証を使用することもできるため、例えばバックアップ管理者アカウントをローカルで作成する場合に認証を強化することができます。

  • 認証アプリケーション
  • EMailへのPIN通知
  • モバイルアプリケーション ( Commvault Token / Google Authenticator / Microsoft Authenticator )
  • Commvaultトークンデスクトップアプリケーション

エンドポイント向けセキュリティ機能

エンドポイントのバックアップを使用している場合は以下のセキュリティ機能を使用することができます。

  • エンドポイント向けセキュリティ
  • データ損失防止(DLP)機能
  • Secure Erase (リモートワイプ機能)

Secure Erase (リモートワイプ機能) の実行画面例

暗号化

データ転送時の通信・データ保存時の暗号化を標準で搭載しています。
また外部のHSMやクラウド上の鍵管理サービスを使用することもできます。

  • 暗号化アルゴリズム
  • AES(128,256 bits) / 3-DES(192 bits) / Blowfish(128, 256 bits) / GOST(256 bits) / Twofish(128, 256 bits) /
    Serpent(128, 256 bits)
  • 3rdベンダー鍵管理
  • Safenet (Thales)
  • Vormetric (Thales)
  • IBM Security Key Lifecycle Manager (SKLM)
  • Amazon Web Services (AWS) key management service
  • Microsoft Azure Key Vault

認証・コンプライアンス

Commvault製品は以下の認証に対応・取得しています。

  • FIPS 140-2 Level-1 Certified
  • ISO/IEC 27001:2013
  • NIST 800-53 CP9
  • NIST 800-53 CP10
  • SOC 2 Type II
  • VPAT 2.0 – WCAG and 508
  • Center for Internet Security Benchmarks
  • GDPR