企業セキュリティーの「最後のとりで」
個人情報を保護するデータ暗号化ソリューション
社会全体のDX(デジタルトランスフォーメーション)が進み、企業においてもデータドリブン経営の重要性が指摘されるようになった。データが貴重な経営資源になるということは、その漏洩や毀損が与える経営へのダメージもまた大きくなるということでもある。機密情報の奪取を狙ったサイバー攻撃の手口も巧妙化しており、個人情報やプライバシーなどデータ保護に対する社会の要求も高まっている。ただ、サイバー攻撃からの防御は盛んに議論される一方で、肝心のデータベースそのものの保護については対策が不十分な現状がある。データベース暗号化というソリューションを提供するペンタセキュリティに、データ保護の考え方を聞いた。
著作・制作:日本経済新聞社(2023年日経電子版広告特集)
データベース暗号化が不可欠なわけ
企業のセキュリティー対策といえば、まず思い浮かぶのがPCへのセキュリティーソフトウエアの導入やファイアウォールの構築などネットワークでの防御だ。これらは必要不可欠な対策ではあるが、それだけが企業セキュリティーというわけではない。昨今のランサムウエア攻撃が示すように、防御壁をかいくぐって企業内部に侵入した場合はどうするか。外部からのサイバー攻撃だけでなく、内部不正によるデータ漏洩も懸念材料ではある。こうした様々な攻撃から、企業活動の根幹にあるサーバーシステム、とりわけ社員や顧客の個人情報や膨大な製品情報などが蓄積されたデータベースは何としても守らなければならない。
それでなくても、データ保護への意識は年々高まっている。2022年4月に施行された改正個人情報保護法でも個人の権利保護の強化と事業者の責務の追加に加え、法令違反の際のペナルティーと法人に対する罰金が引き上げられた。データ漏洩は企業のビジネスを遅滞させるだけでなく、コンプライアンスが機能していないという点で顧客からの信頼を失うことにもなりかねない。
悪意ある者が何らかの手段によってデータを丸ごと盗み出したと想定したときに、データを保護する「最後のとりで」になるのがデータの暗号化だ。鍵がなければ暗号は解けず、中身を閲覧することはできない。金庫の中にあるお金が泥棒によって盗まれてしまっても、その金額や単位に関する情報が分からなければ、泥棒にとってそのお金はただの紙束にすぎないのと同じだ。
「暗号化は古くからある技術で、ITの中でも通信や企業のWebサイトの信頼性を担保するSSL証明書などで広く用いられているものですが、社会のデータ保護意識が高まるにつれて、あらためて注目されています。仮に漏洩したとしてもデータを読み出せない状態にして被害を最小限に抑える。そのためには、データベースの暗号化が今後の企業活動では必須の対策になるでしょう」と語るのは、韓国に本社を置くペンタセキュリティ日本法人の美濃部崇氏だ。
ペンタセキュリティ株式会社
セキュリティコンサルティング部
プリンシパルセキュリティコンサルタント, CISSP
美濃部 崇 氏
同社はデータを暗号化し安全性を確保するソリューションとして、「D’Amo(ディアモ)」を展開する。2004年リリースの韓国初のデータベース暗号化ソリューションとされ、国内外でこれまで1万1500レファレンス以上の導入実績があり、システムの個人識別情報の暗号化が法的に義務化されている韓国の暗号化市場においては半分以上のシェアを取る製品だ。
図1:暗号化はデータを保護する「最後のとりで」
パフォーマンスとセキュリティーを両立する技術
D’Amoの特長の1つは「透過的暗号化」という技術だ。データベースに暗号化を導入する場合、そこに接続するアプリケーション自体を作り直す必要があるのではと考えられがちだが、D’Amoはそれを前提としない。日本企業で広く使われている商用データベースシステムに、プラグイン(拡張機能)などの形で後からでも容易に機能を追加できる。導入のしやすさだけでなく、データベース製品をより高額のエディションにアップグレードしなくても通常版のままで暗号化機能を追加できるなど、コスト的なメリットもある。
暗号化の手法にも特長があり、データベース全体を暗号化するのではなくカラム単位での暗号化が可能だ。カラムとは社員名簿があるとすれば社員番号、氏名、住所、電話番号など意味のある最小の単位のこと。このデータのみを暗号化できるので、アクセス時の不必要な複号処理を減らし、性能面でメリットがある。さらに書籍の目次にあたるインデックスにも同社ならではの特許技術が用いられており、暗号化した状態でインデックス検索ができるため、暗号化後のデータベースの応答性能を維持するための手段を提供している。
D’Amoでは、こうした暗号化機能に加えてアクセス制御、監査ログなどの情報セキュリティーに関わる機能が1つのパッケージになっている。これを導入することで、データセキュリティーの基本的なプラットフォームが構築できる。「当社では実際の導入前に検証フェーズを設けており、顧客企業の技術者と一緒に現在運用しているデータベースの開発環境を用いて、パフォーマンスとセキュリティーの両立を検討することができます。データベースの開発者や管理者にとっては非常に理解しやすい製品です」と、美濃部氏は自負する。
また美濃部氏は、「D’Amoはデータ暗号化ソリューションの総称で、あらゆるシステム環境に適合するために複数のモジュールを備えています。オンプレミスだけでなく、クラウド上のデータベース保護にも最適な提案が可能です。昨今では新規のクラウドサービスに最初からD’Amoを実装する事例も増えています。事後的ではなく、企画・設計の最初の段階からセキュリティー仕様を取り込む“セキュリティー・バイ・デザイン”という発想が日本企業でも広がっていくと考えています」と続ける。
図2:D’Amoの概要
韓国市場での実績を背景に、日本企業のデータ保護に取り組む
ペンタセキュリティは1997年、韓国の大学で暗号化技術を研究していた大学院生たちによって起業された。暗号化、認証、Webセキュリティーの3つのコア技術を基盤とし、近年はIoTや自動車セキュリティー、ブロックチェーン領域でのビジネス展開も行っている。同社の技術は韓国・日本・米国などで特許を取得しており、そのソリューションは韓国政府の中枢機関をはじめ、教育・医療などの公共分野、幅広い業種の企業や団体の他、日本をはじめ世界114カ国で導入実績がある。
同社が高い技術レベルを誇る背景には、常時他国からのサイバー攻撃にさらされながら、IT立国を日本よりも早くに提唱してきた韓国社会の国情もあるようだ。「国が支援する教育施設で実践的なトレーニングを受けてきた若い技術者が数多くいます。国内市場は限られているので、早くからその技術を事業化して競争力を高め、グローバルに展開するという意識も高いのです」(美濃部氏)
そうした背景から生まれたD’Amoは、市場の中で鍛え上げられてきた暗号化ソリューションだ。日本法人の設立は2009年で、すでに日本の官公庁や金融機関などへの導入実績も積み上がっている。その実績を踏まえ、2023年からは本格的に日本市場での存在感を高めようとしている。
「暗号化ソリューションを導入したからといって、ただちにデータが安全になるわけではありません。企業としてのセキュリティー対策を、技術、人、運用ポリシー、コンプラアンスなどの観点で総合的かつ継続的にマネジメントしていく体制が欠かせないのです。また、セキュリティーについての社会の意識は絶えず変化しています。それに柔軟に対応するという意味でも、セキュリティーは経営的な課題なのです」(美濃部氏)
サイバー攻撃はグローバル共通の問題であり、日本だけがそれを免れることはできない。セキュリティーは大企業だけの問題で中小企業は無縁ということもない。どんな企業も等しく担わなければならない課題なのだ。
「世界に比べて日本企業のセキュリティー意識が立ち遅れているとか、そのためのソリューションが存在しないという状態だけは避けたいと考えています。今後の社会の変化に合わせて、世の中のニーズに対して期待に応えられるような製品を提案していきたいです」と、美濃部氏は語った。