クラウド ストレージ アーキテクチャにおけるエンタープライズ レベルのデータ転送プラットフォームの技術ソリューション

企業がデータクラウドストレージを構築する上で、現在直面している重要な課題は、データ漏洩によるセキュリティインシデントを防ぎながら、企業がクラウド内でデータを一元的に保管し、簡単に交換・転送できるようにするとともに、内部統制のトレーサビリティ監査を実現し、外部の規制要件を満たすことです。

1. 現在の状況

銀行業界における金融イノベーションの急速な発展と情報技術の急速な進歩により、銀行に蓄積されるデータの量は飛躍的に増加しました。増え続けるオフィスデータに加え、大量の顧客情報や取引データも含まれます。個人情報の漏洩は、訴訟、セキュリティインシデント、否定的なニュース、その他の悪影響につながる可能性があります。金融業界では、中国人民銀行が2020年に「個人金融情報保護技術仕様」を発行し、個人の財務や個人のプライバシーなどの重要な情報データの保護に関する明確な管理要件を提示しました。

現在、銀行では、セキュリティインシデントを監視し、外部からの不正アクセスを防止するために、ファイアウォール、侵入検知、DDOS攻撃対策製品などのセキュリティ製品を導入し、外部からの攻撃に対するセキュリティ対策を実施しています。そのため、外部からの攻撃による情報漏洩などのセキュリティリスクが発生する可能性はすでに非常に低く、内部ユーザーは FTP に似たファイル転送デバイスを使用してネットワーク経由でファイルをコピーできるため、内部ユーザーのデータ転送動作が情報漏洩の主なセキュリティリスクになりつつあります。セキュリティポリシーの積極的な違反（顧客情報、業務データ、ソースコードなどの機密ファイルをイントラネットから外部ネットワークに一括転送するなど）であっても、意図しない情報損失（USBフラッシュドライブの紛失など）であっても、情報漏洩のリスクが発生します。

したがって、企業がデータクラウドストレージを構築する上で、企業が現在直面している重要な課題は、企業がデータクラウドストレージを構築する上で、企業が現在直面している重要な課題です。データ漏洩によるセキュリティインシデントを防ぎながら、企業がクラウドにデータを集中的に保存し、ポータブルな交換と伝送を実現する方法を確立することです。

2. 事業状況

企業の既存のファイル交換方法では、USB ディスクと FTP を使用する必要があります。一時的なデータのやり取りとデータの保存の問題を解決できますが、セキュリティと管理の面で一定の制限があり、主に次の点に反映されます。

• 保存されたインタラクション ファイル内の機密情報を検出して照合することは不可能です。
• FTP 方式はコピーと循環に使用されますが、相互作用の効率が低く、必要な監査が不足しています。
• U ディスク ストレージでは、ウイルスなどの状況をタイムリーに検出できず、ウイルスやトロイの木馬を運ぶ傾向があります。
• 現在の方法は、大規模ネットワークや端末が分散した環境でのデータ ストレージのニーズを管理するのに適していません。銀行のオフィス業務のファイル保存ニーズを満たすには、このような機器をすべての部門や支店に導入する必要があります。
• 部門内の内部ファイル共有や在宅勤務の従業員などの関連アプリケーションシナリオを実現することは不可能です。

3. 設計要件

企業の現在の業務状況から判断すると、社内データストレージプラットフォームを構築する意義は、既存のセキュリティ管理を基礎として、企業イントラネットのセキュリティ構築とデータセキュリティガバナンスをさらに向上させ、社内業務ネットワーク、インターネット、開発・テストネットワークの端末とデータのセキュリティを確保し、端末ユーザーにネットワークと端末オフィスの便利な使用を最大限に提供することです。

図1: データ交換プラットフォームのアーキテクチャ

企業におけるファイルストレージの需要を最大化するために、従業員に効率的で安全、制御可能でユニークなファイルストレージプラットフォームを提供し、企業のITネットワークを信頼できるネットワークに構築し、生産および非生産ネットワークにおける社内従業員のデータの「管理可能、制御可能、監査可能」という目標を達成します。同時に、信頼できるデータ クラウド ストレージ プラットフォームの構築では、プラットフォーム自体のセキュリティと統合も考慮する必要があるため、プラットフォームには次の機能が必要です。

• データ ストレージ プラットフォーム システムは、上位規制当局のネットワーク分離要件を満たしています。
• 効率的で便利なネットワーク データ ストレージ プラットフォームを提供します。
• 機密情報の検出、保護、承認、ブロックのメカニズムを備えており、OA システムに接続して承認フローを実現し、銀行システムの送信文書の承認メカニズムを確立および改善できます。
• ファイルがネットワークに入る前に正確に検出して削除し、ウイルスやトロイの木馬の拡散を効果的に軽減します。
• 体系的かつ完全なファイル相互作用監査情報を追跡し、後で監査することができます。
• 保存されたデータは安全に暗号化されます。

図2: 展開図

（１）データクラウドストレージサービス制御

データ ストレージ ビジネスのセキュリティ制御には、次の 3 つの側面が含まれます。

• 1 つ目は、業務運営の管理です。つまり、各データ転送操作は、レビューと管理の対象となる必要があります。
• 2つ目は、ビジネスコンテンツの管理です。監査と制御を行う際には、情報技術を使用して、交換されるデータの形式と内容を制御する必要があります (ユーザー定義のセキュリティ ポリシーと組み合わせて)。同時に、交換プロセスでは、交換されるコンテンツによる悪意のあるコードの導入を回避する必要があります。悪意のあるコードは、銀行の内部ネットワークの機密性、整合性、可用性に影響を及ぼす可能性があります。たとえば、悪意のある人物が交換プロセスを利用して、機密性の高い内部ネットワーク領域にウイルスを持ち込む可能性があります。
• 3つ目は、事業主体要素の制御です。信頼できるデータフェリーでは、オペレーター、操作機器、操作場所など、データフェリーの操作主体の関連要素が制御可能であることを保証する必要があります。操作主体の要素は信頼でき、プラットフォーム制御の範囲内である必要があります。

（２）データクラウドストレージ事業監査

データ保存のプロセス内制御に加えて、内部および外部監査の要件を満たすために、各保存プロセスの関連記録を保持する必要があります。交換業務の記録は、誰が開始したか、なぜ開始したか、いつ開始したか、どこで開始したか、交換の内容など、監査のニーズに十分対応できるほど完全である必要があります。同時に、監査記録にはデータ保存の内容が含まれるため、監査情報の漏洩による大量の機密情報の漏洩を防ぐために、監査情報の完全性と機密性も保証する必要があります。

（３）データクラウドストレージ事業の運営

ビジネスニーズにより、さまざまな部門で多くのビジネスデータストレージのニーズが発生することがよくあります。セキュリティ管理と監査を実施する際には、情報技術を活用してデータストレージの自動化プロセス、データストレージ運用サポート、ユーザー権限管理、交換領域管理などを実現し、データストレージ業務に必要な柔軟なリソース保証（ストレージスペース、ネットワークトラフィック保証、システム信頼性など）をユーザーに提供し、ユーザーの干渉を回避し、ユーザーがデータストレージ業務を迅速に実行できるようにすることで、セキュリティと使いやすさのバランスをとるなど、業務部門の担当者がデータストレージ業務を便利かつ迅速に実行できるようにするための対応手段を提供する必要があります。

（４）プラットフォーム自体のセキュリティ

データ クラウド ストレージのビジネス特性により、社内データ ストレージ プラットフォームは、さまざまなレベルのセキュリティ領域を何らかの方法で接続する必要があります。したがって、プラットフォームは、ビジネス上重要な領域を攻撃するためのネットワーク攻撃侵入ノードとして使用されないように、十分な技術サポートを提供する必要があります。理想的な目標は、たとえプラットフォームが悪意のある人物によってハッキングされたとしても、交換プロセス中に機密データを取得できず、同時にプラットフォームを使用して高レベルのセキュリティ領域に侵入できないようにすることです。

4. 安全設計

（１）通信セキュリティ

仮想化分離テクノロジーにより、ハードウェア デバイス上で 2 台以上の仮想マシンと共有ファイル システムが起動され、仮想マシン間の IP プロトコルが切断されます。仮想マシン間のデータ保存は、共有ファイル システムとプライベート共有メモリ命令を通じて実行されるため、アーキテクチャの観点からネットワーク分離下での安全なデータ保存が保証されます。通常、プライベート交換命令は、仮想マシンとホスト マシン間、および仮想マシン間で安全なデータ交換を実行するために使用されます。

（２）バックグラウンドプログラムのセキュリティ

プライベート アプリケーション層プロトコルは通常、既知の脆弱性を利用した攻撃を防ぐために使用されます。パスワードを含むコンテンツは暗号化された形式で保存する必要があります。機密情報はアプリケーションログに出力されません。すべてのバックグラウンド プロセスは通常のユーザー権限で実行されます。

（３）センシティブ情報の監視

データ ストレージおよび交換プラットフォームを通じてアップロード、共有、送信されたドキュメントの内容を確認し、ドキュメント タグを追加します。データフローセキュリティルールにより送信が禁止されている文書や承認が必要な文書については、対応するプロセスを自動的にブロックおよび承認し、内部ネットワークファイルの漏洩を防止します。

（4）ウイルススキャン監視

データ ストレージ プラットフォームは、アップロードされたファイルのリアルタイム スキャンと削除を実装し、ウイルス対策エンジンを内蔵し、サードパーティのウイルス対策システムとリンクできる必要があります。オンラインおよびオフラインのアップデートをサポートし、ウイルス対策監査情報を統計的に分析し、端末がウイルスに感染しているかどうかを判定することで、危険なファイルの拡散を抑制します。

（５）データの暗号化

保存されたデータを暗号化するために、プライバシー コンピューティングなどのさまざまな暗号化テクノロジを使用できます。これにより、データの利用可能と表示、利用可能と非表示、データ漏洩の自動無効化など、さまざまなセキュリティ レベルを実現しながら、暗号化操作の高度なセキュリティと高効率を確保できます。

5. 応用シナリオ

（１）ユーザーファイルストレージのバックアップ

アプリケーション統合により、ユーザー アカウントの統一された作成と認証が実現されます。企業はユーザーに個人アカウントを発行し、個人使用スペースの一定の割り当てを均一に設定します (論理スペースはオンデマンドで割り当てられます)。ユーザーはどこからでも、どのデバイスからでもファイルにアクセスできます。

ユーザーはクラウド内の「個人スペース」を使用して、自分の企業データ、情報、コース資料、研究資料などを保存できます。ユーザーは授業中にデータにアクセスするためにモバイル ストレージ デバイスを使用する必要はありません。クラウドを通じて、コンピューターや携帯電話からいつでもどこでもデータにアクセスできます。出張中のユーザーもクラウドディスクサービスを利用できます。

ユーザーは、企業内またはシステム内のユーザーと個人のファイルやフォルダーを共有でき、いつでも組織内の他の教育研究部門のユーザーや教育研究グループと情報を共有できます。個人データや、アクセス権限のある「パブリックリソース」のデータは、リンクや「QR コード」を通じて外部ユーザー（サプライヤーや出張中の同僚を含む）と共有できます。外部ユーザーはリンクを通じてファイルに素早くアクセスして表示できます。

ユーザーが「フォルダ」を共有する場合、共有時に「アップロード」権限を設定することで、外部ユーザーは「リンクまたはQRコード」を通じて外部データを指定されたクラウドストレージの場所に素早く集約することができます。

（２）ファイル共有と共同作業

複数人オンライン共同編集機能により、複数の人が同時に同じファイルをオンラインで編集できるため、ユーザーは共同ドキュメント編集のニーズを実現できます。

（３）ネットワーク間ファイル交換

複数の分離されたネットワーク内での直接的なファイル交換を可能にし、アップロードおよびダウンロードされたファイルに対して DLP コンテンツの検出と監査を実行します。機密ファイルが関係する場合は、ポリシーを自動的に照合して、ブロック、承認、監査などの制御措置を講じます。

VI.メリットと価値

クラウド アーキテクチャ ストレージ プラットフォームは、複数の分離されたネットワーク間での安全なデータ交換を実現し、従業員の日常のオフィス ワークにおけるファイル ストレージとバックアップのニーズを満たします。データの効率的かつ便利な交換、伝送、循環を保証するだけでなく、ネットワーク間のデータ漏洩防止システムも確立します。高価値チェーンにおけるデータサイロを打破し、高スループットかつ高価値なデータの安全かつ効率的な共有、流通、利用をシームレスにサポートし、大きな経済的利益を実現します。

ネットワークの分離を確保することを前提に、データセキュリティガバナンスを「ブロック」しながら、信頼性が高く、安全で効率的な「ブロック解除」チャネルを提供し、ネットワークデータ漏洩防止管理システムを実現します。内蔵のウイルス対策エンジンにより、ネットワーク経由でのファイル転送中にウイルスやトロイの木馬が感染するリスクを軽減できます。複数のネットワーク間でのデータ交換を実現します。詳細な動作監査とコンテンツ監査に加えて、柔軟な承認プロセスを通じて、文書の多段階かつ手動の承認が実現され、OA との承認ドッキングがサポートされ、ネットワーク外のデータの承認メカニズムが確立および改善されます。エンタープライズ データ セキュリティ機能が大幅に向上しました。