ペンタセキュリティが毎月(年12回)掲載しているセキュリティコラムです。
当社のR&DセンターのTOSLabは、本コラムより、社会一般必要なICTセキュリティとその課題について提言することで
企業、そして社会のセキュリティ認識の向上およびセキュリティ文化の定着を支援致します。

【コラム】マイナンバーは安全なのか

 

2015年9月3日、マイナンバー法が衆議院本会議で可決され成立しました。それにより、日本政府は今年10月からマイナンバーを個別に通知し、来年1月から運用を開始する予定です。

 

それを受け、日本社会の一部では、プライバシー侵害や情報漏洩などに対する懸念の声が高まっています。弁護士や市民でつくる団体が、当該制度が国民のプライバシーを保障する憲法に反するとして使用差し止めを求め、提訴したこともあります。マイナンバーの使用範囲にプライバシーにかかわる情報が多数盛り込まれており、民間企業もマイナンバーを取り扱うことになるため、情報漏洩のリスクが高まる恐れがあると訴えています。

彼らの主張は、もっともなことです。プライバシーは保護されるべきであり、個人情報は漏えいされてはいけません。以前からマイナンバーに類似した制度を施行している韓国で多発している住民登録番号および個人情報漏洩事故からみれば、その恐れはさらに高まっていくでしょう。韓国で情報セキュリティ業界に携わっている人として恥ずかしいばかりです。それにも関わらず、質問を投げかけたいです。

日本のマイナンバーは、韓国の住民登録番号と同様に危険でしょうか?

結論から言いますと、そうではありません。
マイナンバーと住民登録番号は、その導入趣旨は同じであるものの、番号の設計や使用方式はまったく違います。むしろ、住民登録番号がマイナンバーと似た形に変化していると言った方が近いでしょう。なぜでしょか。

 

韓国の住民登録番号制度

 

韓国の住民登録番号は、1968年から始まった古い制度です。導入当時といまでは、 個人情報漏洩やそれに対する被害の受け止め方が全く異なります。休戦状態の分断国家である韓国ならではの自国民の識別という目的があまりにも強く、他の問題を払拭した面もあります。さらに、そもそも住民登録番号は、個人を最大限に特定できる番号で設計されています。当該個人の生年月日、性別、出生地、検証番号などが13桁の数字で特定できます。 今日の常識から見ると、到底納得できない番号です。ところが、1968年の当時は、何の問題もありませんでした。しかし、コンピューターシステムで個人情報を取り扱うにつれ、様々な問題が露呈してきました。コンピューターシステムで使われる個人番号の機能は、「識別(Identification)」と「認証(Authentication)」に大別されます。個人番号を通じて当該個人が誰なのかを「識別」し、その人が番号に当たる人であるかどうかを「認証」します。住民登録番号に関わる韓国の情報漏洩事故の相当数は、住民登録番号を「識別」と「認証」の機能を区分せず、混用したことに起因しています。しかも、個人番号の暗号化も行っていませんでした。また、住民登録番号そのものに個人を特定できる情報が盛り込まれているため、問題はさらに深刻化していきました。「識別」と「認証」機能の混用は、言い換えると、住民登録番号を通じて個人の身分を確認し、また住民登録番号をまるで暗証番号のように入力することで、入力者が個人番号保有者の本人であることを自ら証明したことになります。聞くだけでも危険だと思われませんか。つまり、誰かの住民登録番号さえ持っていれば、誰もがその人になりすまして認証を受けられるということです。今日の常識では、到底納得できません。しかしながら、情報管理の安全性ではなく、業務の効率性だけを強調するのであれば、いつでもどこでもあり得ることです。

世間を動かす全てのシステムがコンピューター化、オンライン化していることにつれ住民登録番号に関する問題はされに深刻度を増し、現在韓国では、個人情報関連法の改正が進んでいます。法改正の方向は問題の重大性に即するものであり、結局「識別」と「認証」の完全な分離と安全な保管を目指すことになるでしょう。

それでは、韓国の住民登録番号に比べ、日本のマイナンバー制度はどうでしょうか。

 

日本のマイナンバー制度

 

住民登録番号とは違ってマイナンバーには、個人情報が盛り込まれていません。ただの番号です。そして、その番号は、個人を「識別」するためにのみ使われ、「認証」には使われません。従って、まず日本国民は、マイナンバーを暗証番号などのように認証手段として使用しているかどうかを警戒する必要があります。現在の発表からはそのような内容はありませんが、「安全性」ではなく「効率性」だけを追っていくのであれば、起こり得るリスクです。「識別」と「認証」の混用は、災いの始まりです。韓国がそうでした。情報工学の観点から言いますと、マイナンバーは、いわゆる「識別者」としてのみ使われます。マイナンバーを通じて任意の人が誰なのかを「識別」して特定し、その後、本当にその人なのかはマイナンバーとは別の「認証情報」を通じで確認する多段階の手続を行います。「認証情報」とは、その人のみ知っている知識、その人のみ持っている所有物、その人のみ有する行為の特長や生体情報などのことです。個人情報と認証情報、互いに異なる両情報は、暗号化して安全に管理しなければなりません。さらに、両情報は物理的に分離された場所に安全に別途保管することを推奨します。

情報セキュリティの最前線で長年にわたって住民登録番号関連問題と戦ってきた人から見ると、マイナンバー制度そのものは、一応安全と判断されます。最近韓国で行われている個人情報関連法の改正方向も同様です。韓国の法では、個人情報と認証情報をお互い分離しそれを暗号化して安全に保管し、非常に多くの個人情報が盛り込まれている住民登録番号になりかわる他の識別者番号制度を作り、法的根拠が確実で必要不可欠な場合にのみ住民登録番号を収集する方向に変わっています。そのため、住民登録番号はマイナンバーと類似した形に変わっていくとみられます。

 

市民社会、マイナンバーを監視せよ!

前述のとおり、日本社会のマイナンバーに対する懸念は当然のことです。プライバシー侵害や情報漏洩は実際に起こり得ることであり、事故が発生すると社会の安全に致命的な被害を及ぼす恐れがあるため、いくら懸念してもしすぎることはありません。そうであるからこそ、市民社会はマイナンバーの監視を徹底し批判しなければなりません。それでは、どの部分を監視すべきなのか、これまでの内容を以下にまとめてみました。

1. マイナンバーは「識別」のためにのみ使われるべきです。「認証」には使われてはいけません。
2. 暗証番号、生体情報などの認証情報は、識別者のマイナンバーとは別のものでなければなりません。
3. 個人情報と認証情報は、それぞれ暗号化して安全に管理しなければなりません。
4. 両情報は、物理的に分離された場所に保管することを推奨します。
5. 暗号化する場合、暗号化キーを徹底管理することによりセキュリティを高めなければなりません。
上記のことを確実に行えば、マイナンバーは「安全」です。言い換えますと、それらを行わなければマイナンバーは「安全」ではありません。韓国の住民登録番号のように危険になる可能性があります。

 

マイナンバー関連の他のイシューをみてみますと、情報セキュリティとは異なる脈絡で話題となった軽減税率の導入とマイナンバーの連携問題は、租税の公平性と個人の自由という観点から見るべきであり、マイナンバーそのものとは関係のないことです。それは、政府の政策執行における効率性と市民のプライバシー保障の観点からみて、賢明に価値を判断すべき問題です。また、日本で相次いでいる情報漏洩事故のため、マイナンバー導入後のリスクを懸念する声も多くありますが、それは一般的な情報セキュリティシステムズの脆弱性として理解して解決すべき問題であり、 「マイナンバーだから危険だ」という結論は、論理的ではありません。何度も言いますように、
マイナンバーは、ただの番号です。韓国の住民登録番号とは違います。

 

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として2,100ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

【コラム】安全なインターネットの基準、WAF

―「今やWeb時代、その時代こそWebセキュリティが肝心!」― これでもかとあきれるほど耳にする言葉です。それにもかかわらず、その重要性があまり認識されていないのが実情です。そのため、何度も繰り返して言いますが、Webセキュリティは、重要です!

物事はすべてインターネット、つまりWebを介して行われているのに、どうしてWebセキュリティは疎かにされているのか、考えてみましょう。
残念なことに、その答えは既に出ています。「安全なインターネットとは何か」、に対する正確な概念がないためです。

 

「安全なインターネットとは何か」
世の中には、重要であっても、その重要性が十分認識されていないことがあります。ICTセキュリティこそ、その代表例でしょう。
世の中に広く浸透しているICTの時代、ICTセキュリティが重要であることは誰もが知っているはずです。
しかし重要であることを知りながらも、何を、どうすればいいか分からず、多くの場合疎かにされています。それが状況をより深刻にさせています。

世の中は一見カオスな世界のように見えますが、その中には、様々なシステムが複雑に絡み合っていて、どうにかして効率的且つ合理的に動いているのです。
問題と解答が飛び交う混迷した世界ですから、ICTセキュリティが本当に深刻な問題であるなら、解決策やセーフティネットが整っていたはずです。もちろん、そのソリューションはあります。調べてみましょう。

 

ICTセキュリティは個人にとっても集団にとっても、大きな懸念材料です。
「国際標準」は、それらを収集して洞察し、ほぼ完璧にまとめたものです。
代表例として挙げられるのが、イギリスのBSI(British Standards Institute)が制定したBS7799基盤のセキュリティ認証であり、フレームワークの「ISO27001」です。
また、経営に焦点を合わせた「情報セキュリティマネジメントシステム(ISMS;Information Security Management System)」も重要な標準規格です。
これらのフレームワークを参照し、それぞれの仕様に合わせて企業のセキュリティシステムを構築すれば、ある程度安全なICTセキュリティのポリシー確立や仕組構築が可能となります。

 

ある企業がISO27001を取得したということは、全体で11の評価項目で「安全」と認められたことです。それは、その企業がICTセキュリティに関わる全てのリスクを総合的に管理し、改善できる基本的な仕組が整っているという意味です。
ICTセキュリティは単なるシステムや技術ではなく、組織全体と個人それぞれが生活を営む「文化」であり、「環境」でもあるため、認証を取得したからといって、100%安全になったとは言えませんが、「代替的に」安全になったとは言えます。

 

では、安全なインターネットの基準となる国際標準はあるのでしょうか?

 

答えは、「あります」。

世界的なNGOオンライン信頼度監査機関である「OTA(Online Trust Alliance)」は、毎年、有名Webサイトを対象にセキュリティ性を点検し、安全なインターネット文化の確立に向け先駆けて取り組んでいるWebサイトを選定し、「オンライントラスト栄誉賞(OTHR;Online Trust Honor Roll)」を授与しています。
政府をはじめ、金融機関、SNSなど、様々な分野にわたって約1000の有名サイトが対象となります。
今年は、そのうち約46%がセキュリティ性の不足を理由に選定対象から外され、1位の「最も信頼できるWebサイト」には、「Twitter」が選定されました。

それでは、OTHRの選定基準は何でしょうか。

 

まず、着目すべきなのは、

今年から「WAF(Web Application Firewall、Webアプリケーションファイアウォール)の使用有無」が評価に関わる重要項目として追加されたことです。

 

それを受けて「安全」ランクを取得した企業は、去年の30%から今年は44%へと増えるなど、選定結果に大きな影響を与えました。やや遅きに失した感はありますが、その決定は当然なことです。
WAFはそもそもWebセキュリティの基本であり、核心であるWebアプリケーションセキュリティに特化して開発されたものです。
外部からの攻撃を事前に遮断し、マルウェアなどの有害物がサーバーへ侵入することを防ぎ、Webセキュリティ脆弱性が外部にさらされないようにするなど、Webセキュリティの全般にわたって最も重要な役割を行っています。
そのため、WAFは他のセキュリティ機器に比べ、Webサイト全体の安全性に与える影響力非常に大きなものがあります。また、OTAは、これからWAFの使用有無がOTHRの選定に大きな影響を及ぼすと述べました。この決定も当然でしょう。

 

「なら、WAFを買えば済むのか? いくら?」
このように簡単に決定できるものなら、売り手も買い手も楽でしょうが、企業における意思決定は企業の成長や発展、ひいては企業の死活にかかわる大事なことです。
何事も簡単には決定できません。またそうしてはいけません。特にコストが決め手となる新規スタートアップ企業にとっては、なおさらです。
世の中は、欲しいものであふれています。残念ながら、その全てを手に入れることはできません。
WAFも同じです。高い機器ではありませんが、安いとも言えません。いくら良いものであっても、すぐ買えるわけではありません。

そうなら、とりあえずクラウド型WAFサービスを試してみましょう。
簡単な操作だけで実際にWAFを導入したような効果が得られます。マウスを数回クリックするだけで、ICTセキュリティ事故の9割をも占めるWebハッキング攻撃を全て遮断できます。
最も頻繁に発生しているWebサイトハッキングをはじめ、Webからのデータ漏洩、不正アクセス、Webサイト改ざんなど、その全てを遮断します。

クラウド型のサービスで提供されるため、機器の保守コストもかからず、利用初期は一定期間無料で利用できます。その後、オンラインビジネスが軌道に乗れば、トラフィック量によって最適なプランを選択し、所定の使用料を払えばいい訳です。

 

ならば、クラウド型WAFの中でもどのサービスを選ぶべきでしょうか。

実際現場における最重要なWebセキュリティ作業は何でしょうか?
長年にわたる経験を基に、意見を述べさせていただきますと、管理者のモニタリングではないでしょうか。日に日に激変するWeb脆弱性のトレンド分析、実際に御社のWebサイトを狙う者たちの行動分析、日々溜まっていく攻撃と防御のログなど、完璧なWebセキュリティは持続的なモニタリングを通してのみ確保できます。

いくら早いスピードや優れた性能を持つWebセキュリティ機器を使用するとしても、モニタリング・ユーザーインターフェースに力を入れなければ無用の長物になってしまうのが事実です。
優れたWAFの性能で知名度の高い様々な製品を比べ、その中で最も直感的にわかるユーザーインターフェースを持つ製品を選ぶことを推奨します。何回も強調しましたが、Webセキュリティ作業の核心はモニタリングであるためです。

penta1.jpg

[クラウド型WAFサービス 「cloudbric」のダッシュボードUI]

そして重要なのは、当該クラウド型WAFサービスがどのハードウェア型WAFの技術をもとに作られたかを調べることです。
企業が成長するにつれWebサイトも成長していき、理由はともあれWebに関わる全ての設備を自ら運用する必要がある場合もでてきます。
その時になってから、クラウド型サービスではなく定番のハードウェア型WAFに移行しても遅くはありません。同一技術をもとに形のみ変えた製品ですので、システムの変更による非効率や業務の空白は発生しません。
ただし、クラウド型WAFサービスとハードウェア型WAFサービスが「同一技術」でなければ、順調な移行を期待できません。クラウド型サービスを利用しているうちに必要性を感じてハードウェア型を導入することになったら、当該クラウド型サービスの基盤となる製品を選択することを推奨します。そうすると、システム構成の変更も認識せず、スムーズにビジネスを引き続き継続できます。

要するに、いいWAFとは何でしょうか。

 

シグネチャ基盤ではなく論理演算基盤のものを勧奨します。
論理演算検知技術は、時代の要請によるものだからです。安全か危険かを基準に作成された対象リストをもとに検知する既存のシグネチャ基盤技術は、なんとか命脈を保ってきましたが、今やIoT時代。Webが爆発的に拡張していく本格的なWeb時代の到来です。
まず、トラフィック量が膨大していきますが、いつまでリストをいちいち参照しながら安全か危険かを探るつもりでしょうか。不可能なことは明らかです。これこそが論理演算基盤のWAFでなければならない理由です。

ここまで考えると答えがまとまってきます。
便利なモニタリングを可能にする直感的ユーザーインターフェースとクラウド型WAFサービスを提供する論理演算検知基盤のWAFが正解です。一瞬の迷いもないはずです。両方の長所を持つ製品はそれほど多くはありません。




Cloudbric(クラウドブリック)

 

Cloudbricは、ペンタセキュリティ独自の論理演算検知エンジン(COCEP:COntents Classification and Evaluation Processing)搭載のWAPPLESを基に開発されたSaaS型Webセキュリティサービスです。Cloudbricは、Web攻撃や情報漏洩を恐れながらも、高価でインストールが難しいということなどから導入できなかった個人や中小零細企業を主なターゲットに、リーズナブルな価格で、簡単に導入できる強力なWAFサービスを提供致します。

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

【コラム】 OSS(Open Source Software)データベースは安全なのか?

 

OSS(Open Source Software)データベースは安全なのか?

「オープンソース」は哲学であります。ソースコードに対する全てのユーザのアクセスを許可することで、自主参加や協力によって最高の技術を生み出すことができるという信頼です。それはまるでジョン・レノンの「Imagine」のように、存在そのものを超越したロマンチックな魅力を持っています。

「オープン・ソース・ソフトウェア(Open Source Software、以下OSSと言う)」は、従来当たり前とされてきた「クローズド・ソース・ソフトウェア(Closed Source Software、以下CSSと言う)」の私有独占ポリシーに対立する概念として、人々の純粋な善意を引き付ける力を持っています。人々はその哲学に共感し、開発や配布、修正の作業に積極的に参加します。ひいては、「イノベーション」とまでいいます。

 

OSSの定義及びメリット・デメリット

 

正確に言うと、「オープンソース」とは、ただ単に、ソースコードを公開するということだけを意味します。オープンソースを無料と認識している人も多いですが、それは「フリーウェア(Freeware)」とその意味が区別できないことから生まれた誤解です。

「オープンソース」とは、ソースをオープンすることであり、価格をオープンすることではありませんので、明白にライセンスポリシーを持っているソフトウェアであれば、導入時に費用が発生する場合もあります。ほとんどのOSSが無料でダウンロードできますが、あるOSSは、当該ソースを修正したソフトウェアも無料で配布することをポリシーとして厳しく求める場合もあります。したがって、企業が保有している知的財産権の管理ポリシーと使用しているOSSのライセンスポリシーが一致しているかを予め厳密に調査する必要があります。

OSS使用のメリットは明確です。まず、個人ユーザはほとんどのOSSを無料でダウンロードし使用できるため、学習用としてよく使われます。そのため、企業にとっては、人材確保が容易になり、システムの導入コストも削減できます。しかし、CSSに比べレファレンスの文書化が整っていないため、開発プロセスを遅らせる原因にもなっていますが、視点を変えれば、自らこまめに勉強しなければなりませんので、担当者の技術的力量が強化されるとも言えます。

また、同じ哲学の「オープンフォーマット」とプロトコルを主に使うため、異種ソフトウェア間の相互連動性が高いという特性がります。それは異種機器間の異種ネットワーク連携が強く求められるユビキタス時代、最近の用語としてはIoT時代に欠かせない要素として高く評価されています。そのため、MSウィンドウズ基盤のGUIに使い慣れている一般ユーザにとっては、少数のハードコア開発者の趣味であると軽視さることもあります。

そして、OSSでは、ダウンロードしてインストールするだけの導入手続きで必要な演算機能を適時適切に使用可能となるため、開発プロセスの柔軟性やアーキテクチャ構築の実効性が高くなります。多くの人々が自主的かつ積極的に開発に入り込むOSSならではの環境のおかげで、最新技術の速い適用や、課題と解決策を皆がともに共有していく形で運用される開発環境のため、CSSに比べ、技術の進歩が速いのも大きなメリットです。積極的なコミュニティによる迅速な問題解決も、その効果が明らかです。

それで最近は、OSSの使用理由の断然トップであった「コスト削減の効果」以外に、クラウド、モビリティなど第3のプラットフォームに対する開発の利便性や、ビックデータ、ソーシャル技術といった新技術に対する高い活用性を挙げる企業も増えています。新しいビジネスやサービスを生み出す際に、OSSの特長は確かにプラス効果をもたらします。

その反面、営利を追い求める会社で厳しいスケジュール下で開発されるのではなく、100%個人の参加意志によって開発が行われるため、CSSの提供する確実で具体的なロードマップは期待できないことがマイナス要素となっています。それは、常に熱く議論されている「OSSは安全なのか?」という問題と共に、企業がOSSの使用をためらう大きな理由でもあります。

 

OSSは安全なのか?

 

OSSの安全性問題に対しては、常に熱い論争が起きています。独占的ソフトウェアに比べ「安全である/安全ではない」という意見が鋭く対立しています。主観的な意見は排除し、客観的に事実だけを探ってみましょう。

OSSは、世界数多くの開発者が、直接開発および配布し、デバッギングに参加します。そのため、閉鎖的な組織の中で開発され独占的ソフトウェアに比べ、比較的安定的に動作します。しかし、そのようなOSSの信頼性と安定性は、非常に多くの開発者が積極的に参加する場合に限って確保できることなので、そのOSSの開発状況や評判を注意深く検討する必要があります。導入した後にはもう遅いですので、導入する前に長い時間をかけて十分に検討する必要があります。しかし、検討そのものがあまりにも長くなり、「早くて迅速な開発」というOSSの大きなメリットを活かせない場合もあります。

また、OSSは営利を追い求める独占的ソフトウェアに比べ、不確実で不明確なロードマップを持つ運命にあります。ある日、突然使用が停止されたり、アップデートが停止されたりする場合もあり、ライセンス関連の法的イシューが発生してポリシーが変更される場合もあります。そうなると、たとえ当該OSSが高い安全性を持っているとしても、そもそも何の意味もなかったことになってしまいます。

決定的にOSSは開発プロセスにおけるその特性のため、「破片」になる危険性があります。主要機能を整えると、公開され、それ以降、ユーザのそれぞれのフィードバックに断片的に対応していく過程の中で、一つ一つ仕様を積み重ね、全体仕様を整えていく場合が普通です。特に注目すべきなのは、アーキテクチャ全体を検討するプロセスは省略される場合が多いということです。問題が存在し、その解決策があるという状態のままで総合的な検討は不在な状態であるということです。それは「セキュリティ性」にかかわります。

OSSの各部分は大体安全です。各機能は最高のセキュリティ性を持っている技術、広く認められているセキュリティ標準などを受け入れている場合が多数です。問題が発生すれば、全世界の数多くの開発者が問題の解決に当たるため、それぞれの部分に限ってはほぼ完璧に安全だといえます。しかし、ソフトウェアの仕組から見ると、各部分が安全だからと言ってその全体が安全だとは言えません。それとこれとは全く違う問題であります。セキュリティ性の核心を一文章にまとめると、下記のように表現できます。

 

「鎖の強さはその環のいちばん弱いところどまり」

 

開発および配布環境のため、おおよそ破片的な方法で問題を解決するしかないOSSのセキュリティにおける最大のリスクは、上記のようにまとめられます。

セキュリティ性は、総合的な体系を通じてのみ、確保できます。

全体ICTシステムの各階層や各部分を縦横問わず全体的に検討し、総合的に完成するべきなのが「セキュリティの体系」です。他の企業や組織で使われているセキュリティ体系やセキュリティソリューションが自分の会社や組織では抜け穴ばかりなのもそのためです。

ただし、暗号化したデータと暗号化・復号の鍵まで持って行かれたら暗号化自体根本的に意味がなくなるため、暗号化をするなら、「鍵管理」を想定しないと行けない。

基本的に各部分は安全であり、システムが構築できたら、全体の体系やユーザシナリオからセキュリティ性を再度点検し、それを踏まえて設計すべきなのがセキュリティです。各機能が安全だからと言って、全体のセキュリティまで担保できるわけではありません。

OSSを利用してシステムを構成する場合にも、各構成を整えた最終の全体構成図を基に、セキュリティを設計および点検する必要があります。そうでなければ、OSSの自由度を積極的に活用すると同時に十分なセキュリティ性を確保することはできません。

 

OSSデータベースの暗号化

 

代表的なOSSである「MySQL」を見てみましょう。企業が使用するOSSの3割以上を占めるほど、圧倒的なシェアを誇ります。それでは、MySQLは安全なのでしょうか?

部分的には安全だと言えます。安全ではないところを探すのはかなり難しいです。それほど、全世界の無数の開発者がMySQLの問題解決に努力しているということです。データ暗号化のためのツールも多く、ほぼ全ての暗号化方法論をサポートしています。事実上、解決すべきことはやっています。

それでも再度言わせてもらいます。MySQLは安全なのでしょうか?

安全かもしれません。

MySQLにおける総合的な安全性を確保するため、MySQLに関わる全てのセキュリティ要素を総合的に検討し、適切な方法を採用して「セキュリティの体系」を構築するのであれば、安全です。性能も考慮しなければいけないので、MySQLデータベースをエンジンレベルで暗号化するシステムの構築も必要であり、場合によってはAESのような国際標準暗号アルゴリズムもサポートできるようにする必要があります。また、パスワード暗号化のためには一方向暗号化を、インデックスカラムのためには部分暗号化を、PCI-DSS準拠のためにはクレジットカード番号のマスキング機能など全てが行われていれば、安全であるといえます。

勿論、そうすれば問題はありません。できないことでもありません。しかし、それはデータベースのセキュリティ専門家の仕事です。その全てを直接しようとするなら、ただ無料のデータベースを手軽に早く安く利用したかっただけなのに、完璧な情報セキュリティ専門家にならなければいけないことになるわけです。それでも、チャレンジしてみますか?

真剣に受け止めて下さい。貴方は貴方の仕事をするべきです。その仕事に集中してください。つまり、データベースを使いたければ、データベースを使えばよいのです。データベースのセキュリティのためには、データベースのセキュリティソリューションを利用すればよいのです。

OSSであるため、専用のセキュリティソリューションがなくて仕方がない?そうではありません。探せばあります。

MyDiamo(マイ・ディアモ)

 

MyDiamoは、OSSデータベースのセキュリティ対策に応えた暗号化ソリューションであり、MySQLおよびMariaDBに特化したエンジンレベルのカラム単位の暗号化ソリューションです。エンジンレベルの暗号化より、セキュリティとパフォーマンスの両立を実現します。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201