改ざん防止・データ消去防止 Write Once 共有フォルダのモードの違いと設定方法

大手企業による検査データの改ざん事件、燃費測定データ不正問題、整備記録改ざんなど大きなニュースになりました。一企業の信頼性が失われるだけでなく、社会全体に大きな影響をあたえます。
中小企業においては、事業継続に大きなダメージを与えます。

そもそも、コンピュータに保存されたデータは、容易に変更、削除が可能です。
また、データが改ざんされていないか、削除されていないかを証明するシステムを構築するのには大きなコストがかかります。
簡易的にはWORM対応のテープなどで保管されている企業も少なくありませんが、長期保管場所の確保に管理運用も大きな負担になります。

WORM (Write Once Read Many)とは
 ワームと呼ばれ、テープの書込みは一度きりで、読み取りは何度も出来るという機能です。
 テープ装置のLTO Ultrium では 第三世代(LTO Ultrium3)からサポートされました。
 一度保存されたデータは一切編集も削除も出来ないということになります。
 サーバなどに保存されたデータをバックアップしテープに保管します。

SynologyのNASでは、上記機能のWORMをDSM7.2から一部の機種でWrite Once機能としてサポートすることが可能となりました。
Write Once 共有フォルダは、データの変更や削除ができないようにロックされ、データ保持ポリシーを技術面から強化します。
定められた期間フォルダを保護したり、あるいは変更を永久に無効にすることができます。

Write Once 共有フォルダ イメージ

まずは概略を聞きたい時はこちらからご連絡ください。

Write Once 共有フォルダは、別のページでも紹介していますが、今回はもう少し詳しくご説明します。
「Synology DSM 7.2 Beta版 機能紹介(WriteOnce共有フォルダと通知機能の強化)」

目次

WriteOnce共有フォルダの活用事例

・電子帳簿保存法改正に対応する真実性の確保
  電子取引となる情報における、契約書、注文書、請求書、領収書、 納品書、検収書などの保管

・測定データ、整備記録の保管

・法的な証跡の資料保管

・ランサムウェアによる悪意ある暗号化の回避(イミュータブルスナップショットで対応)

 など

Write Once 共有フォルダのモードの違い

WriteOnce 共有フォルダには2つもモードがあります。
 ・企業モード(エンタープライズモード : 管理者はデータの削除が可能です
 ・コンプライアンモード(準拠モード: 管理者でも、永久にデータの削除が不可能です
   ※コンプライアンモード(準拠モード)を選択すると、ボリュームの削除もできなくなりますので
    より重要な情報の保管には最適です。
    説明する必要もありませんが、ディスクを取り出してフォーマットすれば削除は可能です。

Synologyのサイトにモードの違いが詳しく説明されています。
WriteOnce 共有フォルダのエンタープライズ モードと準拠モードの違いは何ですか?

WriteOnce共有フォルダの設定方法

「コントロールパネル」の「共有フォルダ」より新規に共有フォルダを作成します。
名前を入力し「次へ」をクリックします。

Write Once 共有フォルダの設定画面001

次の画面が「Write Once機能」の選択になります。
スキップした後から「WriteOnce機能」を設定する事はできません。
ラジオボタンの「この共有フォルダをWriteOnceで保護」を選択し「次へ」をクリックします。

Write Once 共有フォルダの設定画面002

「i」のインフォメーションにマウスポインタ―を置くと以下の説明があります。

このオプションは次のシナリオでのみサポートされます
 ・Btrfsボリューム
 ・ハイアベイラビリティ モードの場合、両方のノードがWriteOnceをサポートしている必要があります。

Write Once 共有フォルダの設定画面003

「次へ」をクリックすると、以下の画面が表示されます。
ゴミ箱はWriteOnceの共有フォルダに対して自動的に無効化されるということに注意してください。 続行しますか?
「はい」をクリックします。

Write Once 共有フォルダの設定画面004

モードの選択画面になります。モードは以下の2つです。

企業モード(エンタープライズモード)
 この共有フォルダまてはそれが含まれているボリューム/ストレージプールは
 管理者のみが削除することがでできます。
コンプライアンスモード(準拠モード)
 この共有フォルダまたはそれが含まれているボリューム/ストレージプールは
 誰も削除することができません。

Write Once 共有フォルダの設定画面005

「自動ロックを有効化」のチェックボックスをオンにすると
有効化され、システムは、共有フォルダにファイルが加えられるごとに自動的にそれをロックします。

自動ロック タイマー
 ファイルが自動的にロックされるまでに、ファイルを修正することができる期間。
 時間と日にちが指定可能で、ファイルがこの期間内に修正されると、タイマーはリセットされます。
 修正がないままこの期間が過ぎると、システムは自動的にファイルをロックします。
 「直ちにロック」状態にするにはラジオボタンをオンにします。

 自動ロックタイマーの最大は「7日」です。

保持
 ファイルがロックされる期間、日と年が指定可能。
 「永久にロックされ続ける」状態にするにはラジオボタンをオンにします。

 保持の期限の最大は「100年」です。

ロック状態
 ファイルがロックされる状態。
 「イミュータブル」または「追加専用」のいずれかの状態でファイルをロックします。
 ・イミュータブル
  この状態では、ファイル中のデータは修正したり削除したりすることはできません。
 ・追加専用
  この状態では、ファイル中のデータは修正したり削除したりすることはできません。
  しかし、新しいデータをファイルの終わりに加え続けることはできます。

Write Once 共有フォルダの設定画面006
Write Once 共有フォルダの設定画面007
Write Once 共有フォルダの設定画面008

保持の「i」のインフォメーションにマウスポインタ―を置くと以下の説明があります。

実際の保持時間は、システムのシャットダウンやボリュームのマウント解除などの要因により、指定した値より長くなることがあります。

Write Once 共有フォルダの設定画面009

「保存」をクリックし、詳細設定を構成、設定の確認、ユーザー許可を構成して完了です。

コントロールパネルの共有フォルダからは、WriteOnceの文字が表示され、WriteOnceの項目は「企業モード」と「コンプライアンスモード」が確認できます。

Write Once 共有フォルダの設定画面010

File Station からも同様に確認ができます。

Write Once 共有フォルダの設定画面011

WindowsのエクスプローラーからはWriteOnceの判断ができません。
確認が必要な際は、SynologyのDSMにログインして確認ください。

Write Once 共有フォルダの設定画面012

WriteOnce機能をテストしてみたい、軽く話を聞きたい方はこちらからご連絡ください

目次