Posts

profile

「2018年09月号」サイバー攻撃への対策からデータ漏えい、ブロックチェーンまで!各種セキュリティに対して徹底解析します。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■□■   ペンタセキュリティシステムズ メールマガジン 2018/09/28    ■□■
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
目次
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】【プレスリリース】 ペンタセキュリティ、中央アジアCIS地域に進出へ
【02】【メディア掲載のお知らせ】 IoTニュースサイトに掲載されました!
【03】【月間レポート】 最新Web脆弱性トレンドレポート2018年第2四半期版公開
【04】【ペンタソリューション】 情報漏洩を防ぐ最後の砦、なぜデータベースの暗号化が重要なのか。
【05】【ペンタオリジナル】 個人から企業個人まで、サイバー攻撃の脅威
【06】【コラム】 各国の自動車ブロックチェーン市場の現況

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】【プレスリリース】 ペンタセキュリティ、中央アジアCIS地域に進出へ

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティがウクライナ拠点企業の「MUK Group」と供給契約を結び、中央アジアCIS地域の

セキュリティ市場に進出することを明らかにした。
ここ数年間、ウクライナは相次いだサイバー攻撃により、2015年には約23万家口の電気が遮断されたり、

2016年には首都のキエフに停電が発生したりした。2017年には、NotPetya攻撃により民間事業体と主要

社会基盤施設のデータが復旧不可の状態になるなど、大きな被害を受けた。

ウクライナ政府は、セキュリティ国防委員会の決定(以下「NSDC決定」)を承認し、進化するサイバー

脅威に效果的に対応し、全般的なサイバーセキュリティのレベルを強化するため、公共及び民間機関の

セキュリティソリューション導入を必須化した。

 

より詳しい内容は、プレスリリース全文をご確認ください。

 

>> 「ペンタセキュリティ、中央アジアCIS地域の進出へ」プレスリリース全文はこちら
https://bit.ly/2DAEezV

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【02】【メディア掲載のお知らせ】 IoTニュースサイトに掲載されました!

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

7月から連載されたスマートカーテーマのコラム「変化する未来自動車の5つの要素」がIoTニュースに

掲載されました。IoTニュースは、IoT/AIに関する事例と最新ニュース、インタビュー、知見などの企業

のデジタルトランスフォーメーションに役立つ情報を提供するメディアです。

前回のコラムをまだご覧にならなかった方なら、IoTニュースにてご覧ください。

 

【概要】
「未来の自動車」と言われるスマートカー(Smart Car)は、次の5つの技術概念を必然的に要求する。

宇宙または空間を意味する「SPACE」に、変化する未来自動車の5つの要素として、Security(セキュリティ)

、Platform(プラットフォーム)、Autonomous(自律性)、Connectivity(連結性)、Electrification(電化)

の5つの単語の組み合わせとして再定義し、全6章のテーマを3回の記事に分けて説明する。

 

>> 【第1回】 コネクテッドカーに求められる要素とは?
https://bit.ly/2pbBoY6

>> 【第2回】 自律走行車やコネクテッドカー時代に向け必要なもの
https://bit.ly/2xpeZuh

>> 【最終回】 ネットと繋がる未来の自動車、その活用分野
https://bit.ly/2xhXY5Y

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【03】【月間レポート】 最新Web脆弱性トレンドレポート2018年第2四半期版公開
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティが提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。

本レポートは、世界的に幅広く参考している脆弱性関連のオープン情報であるExploit-DBより公開されて

いるWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識

と経験を活かし作成されています。

 

【概要】

2018年4月から6月まで公開されたExploit‐DBの脆弱性報告件数は、167件でした。そして、最も多くの脆弱

性が公開された攻撃はSQLインジェクション(SQL Injection)です。特に、EasyService Billing, MySQL Blob

Uploaderから各5個の脆弱性が公開されました。

ここで、注目すべき脆弱性は、”EasyService Billing”と”MySQL Blob Uploader”脆弱性です。当脆弱性は、

SQLインジェクション(SQL Injection)とクロスサイトスクリプティング(Cross‐Site Scripting)が複合的に

修行されるMultipleVulnerabilitiesです。また、”Z‐Blog 1.5.1.1740 ‐ Full Path Disclosure”脆弱性も注意しなけ

ればなりません。

 

当脆弱性または類似した脆弱性の攻撃は多様な形の../を含めており、特定のウェブアプリケーションに開頭

する特定のパターンを含めています。当脆弱性を予防するためには最新パッチやセキュアコーディングが

お薦めです。しかし、完璧なセキュアコーディングが不可能なため、持続的なセキュリティのためにはウェブ

アプリケーションファイアウォールを活用した深層防御(Defense indepth)の具現を考慮しなければなりません。

 

>> 最新Web脆弱性トレンドレポート2018年月第2四半期版まとめはこちら
https://bit.ly/2Nemb7a

>> 最新Web脆弱性トレンドレポート2018年第2四半期全文ダウンロードこちら
https://bit.ly/2BUiOgu

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【04】【ペンタソリューション】 情報漏洩を防ぐ最後の砦、なぜデータベースの暗号化が重要なのか。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

今は膨大な顧客データがデータベース化されて、自社またはクラウド上のデータベースサーバに情報を溜め

込んでいる企業も数多くあります。その中で、どれだけの企業がデータベース上の個人情報の漏洩対策を

きちんと行っているのでしょうか?そして、万一個人情報漏洩が起こってしまった場合の影響等も把握し

ているのでしょうか?

 

今回は、データ漏えいが起こる原因を含め、企業のセキュリティ担当者が把握しておくべき、データベース

のセキュリティ対策について詳しく解説しました。

 

より詳しい内容は、コラム全文をご参考ください。

 

>> 「情報漏洩を防ぐ最後の砦、なぜデータベースの暗号化が重要なのか。」全文はこちら
https://bit.ly/2xatNN4

 

※ データベース関連のコラムは、こちらから確認できます。
▶「JTB個人情報漏えい事故、データを守るのは暗号化」全文はこちら
https://bit.ly/2PLE7mk

▶「PCI DSSの核心、Webセキュリティとデータ暗号化」全文はこちら
https://bit.ly/2MHGGUt

▶ペンタソリューションの更なるコンテンツはこちら
https://bit.ly/2Na9ar0

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【05】【ペンタオリジナル】 個人から企業個人まで、サイバー攻撃の脅威
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

サイバー攻撃とは、一般的にネットワークシステムを通じてサーバやパソコンなどに不正アクセスを行い、

データ奪取や破壊活動、改ざんなどを行うことをさします。過去には個人を脅迫し、お金を取ろうとする

目的の攻撃が多かったのですが、今はその攻撃やターゲットの規模が企業レベルとなりました。

今のサイバー攻撃は、不特定多数を無差別に攻撃するものもあれば、特定の組織や企業を標的にするケース

も少なくないということです。

 

一旦、サイバー攻撃を受け、情報の流出が発生してしまうと、企業は損害賠償を含め甚大な被害を被ります。

国立研究開発法人情報通信研究機構の『NICTER観測レポート 2017』によると、2017年1月1日から12月31日

までの1年間の観測結果、2017年は過去最高になったと調査結果を発表しています。

サイバー攻撃を受け、情報の流出が発生してしまうと、企業は損害賠償を含め甚大な被害を被ります。しかし、

攻撃は相変わらず増加している実情です。

 

今回は、年々巧妙化し、激しさを増すサイバー攻撃の傾向について、詳しく解説いたします。

 

より詳しい内容は、コラム全文をご参考ください。

 

>> 「個人から企業まで、サイバー攻撃の脅威」全文はこちら
https://bit.ly/2Mulv8z

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【06】【コラム】 各国の自動車ブロックチェーン市場の現況
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

最近、多くの企業がブロックチェーン技術に興味を持っています。ブロックチェーン(Block Chain)技術とは、

ビットコインなどの暗号通貨が通貨として機能できるようにする技術であり、誰もが閲覧できる帳簿に取引

内訳を透明に記録し、この内訳がデータそのものに保存される「分散型台帳技術」と言います。

ブロックチェーン技術の特性により、暗号通貨だけでなく、金融・医療・環境・ファッションなど各種の産業

分野から活用されていますが、特に目立つのが、自動車産業分野です。

 

今回のコラムでは、各国の自動車産業分野で活用されているブロックチェーン技術の現況をまとめてみました。

自動車産業をめぐっている様々な企業らの活動に注目してください。

 

【概要】

国家を問わず世界の自動車関連業界では「完全自律走行時代」を切り開くための技術開発に余念がない。

特に、常時ネットワーク連結を前提にしたコネクテッドカー関連技術の開発と完全自主走行自動車に向けた

研究活動、自動車シェアリング事業のための技術開発などが目立つ。ここで、核心技術として活用されている

のがまさにブロックチェーンだ。

 

海外では、レンタカーやカーシェアリングなどの自動車シェアリング事業が拡大傾向を見せており、ブロック

チェーン技術は事業の起爆剤の役割をしている。ロシアのあるカーシェアリング会社では自動車の登録や取引

過程を記録する際、ブロックチェーン技術を活用することにより、利便性やセキュリティを高めた。

ブロックチェーンの核心技術である「分散型台帳技術」が車両の記録管理に容易であるため、自動車シェアリング

事業を展開する海外スタートアップではブロックチェーン技術を活用しようとする動きを強く見せている。

 

ブロックチェーン技術を活用した事業の拡張傾向は、市場調査結果を通じても分かる。市場調査機関の

BISリサーチでは8月21日、自動車市場でのブロックチェーン影響評価と産業動向及びアプリケーションを分析し、

「2018-2026自動車部門のブロックチェーン戦略評価及び分析」報告書を発表した。

 

本報告書では、ブロックチェーンの応用可能性や信頼性、拡張性などを考慮してみると、2026年には自動車

ブロックチェーン市場の売上規模が約1700憶円規模に達する見込みで、年平均成長率は65%を見せながら

市場規模が爆発的に拡大されると予想している。

 

より詳しい内容は、コラム全文をご参考ください。

 

>>「各国の自動車ブロックチェーン市場の現況」全文はこちら
https://bit.ly/2N9BMEQ

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 製品・パートナシップに関するお問い合わせ
ペンタセキュリティシステムズ株式会社 日本法人
Tel:03-5361-8201 / E-mail: japan@pentasecurity.com

■ 本件に関するお問い合わせ
ペンタセキュリティシステムズ株式会社
Tel:03-5361-8201 / E-mail: mkt1@pentasecurity.com
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

15

ペンタセキュリティ創立20周年記念イベント

 

Secure First, Then Connect! 未来セキュリティビジョンを宣言

 

7月21日、ペンタセキュリティがソウルのグランドウォーカーヒルで創立20周年イベントを開催いたしました。

ペンタセキュリティは、1997年に創立以来、Trust for an Open Society、すなわち「信頼できるオープン社会」を目指し、企業のための情報セキュリティ・ソリューション研究、開発しています。

絶え間ない努力の末、ペンタセキュリティだけの独自暗号技術を基盤としてウェブセキュリティ(インテリジェントWAFのWAPPLES)とデータセキュリティ(暗号プラットフォームのD’Amo)、そして安全な認証セキュリティ(認証プラットフォームのISign+)製品をリリースしました。特に、WebアプリケーションファイアウォールのWAPPLES(ワップル)は、アジア∙パシフィック地域のマーケットシェア1位とともに、韓国市場でも10年以上連続1位をしながら、たくさんの企業から支持を受けています。

DH2A0327777

 

情報セキュリティのリーダーとしてペンタセキュリティは、クラウド環境でもwebアプリケーションファイアウォールのWAPPLES(ワップル)、暗号プラットフォームのD’Amo(ディアモ)、認証プラットフォームのISign+(アイサインプラス)の3つの企業情報セキュリティ要素を全て提供しています。また、ウェブと全てのものが連結される今、より安全な社会のために、コネクティッドカーセキュリティソリューションのAutoCrypt(アウトクリプト)を始まりに工場、エネルギー、ホームまで総4つの領域に対するIoTセキュリティソリューションを基盤としてIoTセキュリティ市場のリーダーとして定着しています。

創立20周年を迎え、ペンタセキュリティは、情報セキュリティに対する責任感を持ち、未来のセキュリティビジョンを宣言する一方、情報セキュリティが進むべき道を提示しました。

 

사장님

ペンタセキュリティの代表取締役社長の李錫雨氏は、「すべてが知能化され、連結されている今、セキュリティを先にして知能を与えてこそ、安全な社会を作っていくことができる。」と言及しました。

 

セキュリティから始まる。そしてつなぐ(Secure First、Then Connect)

 

これが、まさにペンタセキュリティのビジョンであるTrust for an Open Societyとも触れ合っている未来セキュリティビジョンです。

このビジョンの核心となるのは、インターネット環境だけでなく、日常生活の領域まで連結された一つの巨大なインフラ網をさらに高度化して、発展させるための第一段階がセキュリティということにあります。第4次産業革命に基盤したハイパー・コネクティッド・ワールド(hyper-connected society)に対応するためにはセキュリティが必須条件です。近づいてくるハイパー・コネクティッド・ワールドでは、セキュリティが必須道具を超えて、連結を可能にする要素です。ペンタセキュリティは、20周年記念イベントを通じて、連結と共有が大衆化される世界でIoTとクラウドセキュリティを中心に「先にセキュリティを実現し、後で連結する」ことを具現化し、信頼できるオープン社会に向けた新たな跳躍を約束しました。

 

続いては、創立記念日ごとに行われる永年勤続者に対する授賞を行いながら、お祝いする時間を持ちました。

1G1B0357

永年勤続者への授賞が終わった後、ディナーとともに始まった2部は、ピアニストとバンド、そしてDJパーティーを行いました。

창립20주년 2부행사

これからも情報セキュリティのリーダーとして、Secure First, Then Connectを実現しながら、さらに安全な社会を作っていくペンタセキュリティを見守ってください。

bcn2

【週刊BCN】ペンタセキュリティシステムズ、法人代表のインタビューを掲載

bcn1

 

経験がなくても、斬新さで勝つ

「現実的に無理です」
そう言って一旦は断った社長の職に就き、すでに2年半が経つ。「今振り返ると、社長になってよかった」。そう思えるのは会社の支えと、自分の考えを貫く信念があるからだ。社長としての目標はもちろん、日本で売り上げを伸ばすこと。「韓国の会社も、日本でビジネスを成功させられるんだ、ということを示したい」と熱を入れる。

会社から社長の打診があったのは、日本市場でのビジネス拡大に課題を抱えていた時期。これまでの方針を大きく転換し、若手に指揮を任せて殻を破ろうと、陳貞喜に白羽の矢が立ったのだ。しかし当の本人は、これからマーケティングに取り組もうとしていたところで、営業スキルもなければ、日本の商慣習もわからない。断ったが、あれよあれよという間に社長になってしまった。

はじめはわからないことばかりで、つらいこともあったが、今はというと、「まずは仮説を立てて、やってみる。そうしていくうちにうまくいく成功体験も得た」と、楽しんでいる。「長年の経験がある人は、ここをこうすればいいというのが頭にあると思う。私の場合、逆にそれがないことが生きている。斬新さがあったからこそ、契約を結べたこともあった」と話す表情は朗らかだ。親の教育方針から、型にはまることなく、何でも自分で決めてきたという性格。「今思うと、“上がいると個性を発揮できないタイプ”だと、会社が見抜いてくれていたのかもしれないですね」。

趣味の一つがウォーキング。仕事の日は1時間をかけて、会社と家を往復する。「立てた仮説について考えを整理する時間がとれる」ことから、日本にきて以来6年間、毎日続けているという。一日の計画も反省もその間にする。そうして陳はまた新たな一日を進み、会社を成長へと導くのだ。(敬称略)

 

関連情報 – BCN Bizline https://www.weeklybcn.com/journal/face/detail/20170510_155655.html


D’Amo(ディアモ)

2004年リリースされたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,600ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

networking-1626665_1280

【コラム】順序保存暗号化(Order Preserving Encryption)は安全な暗号化か。

順序保存暗号化(Order Preserving Encryption)は安全な暗号化か。

一般の企業で会社の情報セキュリティを担当しているKさんは、このごろ悩み事が多い。個人情報保護法の遵守のため、個人情報が保存されている業務システムに暗号化製品を導入して適用しようとしている。暗号化製品を設置すれば、個人情報保護法の遵守は問題ないが、業務システムの性能が低下する可能性があり、心配が大きい。
その時、偶然「OPE」という技術を採用したという暗号化製品の広告を見ることになる。OPE技術がどのような技術かは分からないが、暗号化後にもDB検索の性能低下がないという説明が大きく伝わってくる。OPEという名前が「Order Preserving Encryption」だから、暗号化(Encryption)も性能低下も解決するということで自分の悩みを一回で解決してくれそうだ。

 

個人情報の保護のため、DB暗号化製品を導入するケースが増え、上記の話のようにOPEに対する関心が高まっている。
「OPE(Order Preserving Encryption)」は、どのような技術であり、どれほど安全なのか。個人情報保護の安全性と性能低下の克服の二兎を得る技術であるかを調べることにしよう。

 

手順を維持する暗化は根本的に危

 

DB暗号化は、個人情報保護のための必須技術と認識されている。DBサーバに暗号化を適用すると、DBサーバに保存されるデータを暗号化して保存し、データを照会する際には暗号化されたデータを復号した後に使用者に対して提供される。DBサーバは暗号化と復号のための処理演算を追加で遂行しなければならないため、速度低下が避けられない。暗号化の適用によるDBサーバの性能低下問題は、暗号化アルゴリズムの効率的な実現技術で解決できる。

DB暗号化でさらに重要な問題は、検索の索引を生成する問題である。検索の索引は、DBに保存されている膨大なデータの中から必要なデータを迅速に照会するために使用されるDB内部の追加情報である。暗号化されたデータから希望するデータを検索するには、暗号化になる前のオリジナルデータを知らなければならないため、暗号化されたデータを全部いちいち復号しなければならない。希望するデータを一つ照会するたびに、膨大なデータをすべて復号しなければならないため膨大な演算量の負担が発生するしかない。これを解決する方法のひとつが、「順序保存暗号化(Order Preserving Encryption、以下OPE)」だ。

OPEは、かなりずいぶん前から存在していた技術だ。OPEの歴史を遡ると、第一次世界大戦から使用された「One-Part Code」技術がOPEの始祖といえる。暗号化されたデータについても、DBの検索索引を容易に作れるという特長のために2000年代からDBMS業界で注目され始めた。2004年には、R.Agrawalを含め4人のIBM研究員たちが最初にOPEという用語を定義した。彼らはOPEの概念に対する数学的モデルと実現に対する方向性を提示したが、安全性に対する具体的な言及や証明をしなかった。
(参考文献:R.Agrawal、J.Kiernan、R.Srikant、and Y.Xu、「Order-preserving encryption for numeric data」、SIGMOD 2004、pp.563~574)

 

データを迅速に照会するためには、データを順に整列しておかなければならない。例えば、数百万人のマイナンバーの中から自分が探すマイナンバーが含まれているかどうかを容易に探す方法は、マイナンバーを13文字の自然数と見て大きさ順に整理しておくことだ。しかし、この方法は暗号化後には使用できない。暗号化は、オリジナルデータを予測できない任意の値に変換する過程なので、暗号化されたデータはオリジナルデータとは全く違う順番に整列されるしかない。暗号化を適用しても、暗号化したデータがオリジナルデータと同様の順番に整列されるようにしてくれる方法がOPEである。大きさが小さい順に整列された数字データ1234、3456、5678という三つの数字があると仮定する。一般的な暗号化を適用すれば、三つの暗号化された数字間の順序が巻き込まれる。OPEを適用すれば、1234の暗号が3456の暗号より前に整列されて、3456の暗号は5678の暗号よりもリードすることになる。

順序保存暗号化という名称のように、果たしてOPEは安全な暗号化だろうか。安全な暗号化は、暗号文からオリジナルデータに関するいかなる情報も得られないべきだ。OPEは、暗号文で「順序」という情報を得ることができ、これをもとに、平文を類推することができる。上記で説明した1234、3456、5678の例に戻ってみよう。1234の暗号文(A)と3456の暗号文(B)を知っていれば、暗号文Aと暗号文Bの間に整列される暗号文Cは1234と3456の間にある値から作られた暗号文であることが把握できる。この場合、暗号を解読しようとする攻撃者が1234と3456を知って、二つの数を暗号化した値(暗号文A、B)たちも知っているため、このような攻撃方法を「選択平文攻撃(Chosen Plaintext Attack;以下CPA)」という。

安全な暗号アルゴリズムは、CPA攻撃モデルを採用した攻撃者が暗号文Cがどんな数字を暗号化したかを区分できない「非区別性(Indistinguishability)」を満足しなければならないが、OPEはこれを満足しないために安全な暗号化とは言えないのだ。したがって、OPEはDES、AES、SEED、ARIAなどと同じ普通のブロック暗号化アルゴリズムと肩を並べそうな高いレベルの安全性を備えていない。世界の情報セキュリティ関連の標準でOPEを見られないことも、このような理由だ。

 

「順序保存を提供する安全な暗号化は不可能なのだろうか」


という問題を解決するために、米国のジョージア工科大学(Georgia Tech)のボルディレワ(Boldyreva)教授を含めた4人の研究者たちが2009年の研究結果を発表した。
(参考文献:A.Boldyreva、N.Chenette、Y.Lee、A.O’Neill、「Order-Preserving Symmetric Encryption」、EUROCRYPT 2009、pp.224~241.)

ボルディレワは、制限的な環境ではOPEの脆弱攻撃であるCPA攻撃をある程度のレベルまでは防御できると証明した。尚且つ、制限条件でOPEにCPA攻撃をブロック暗号化アルゴリズムと同等のレベルに防御することは現実的に不可能というのも明らかにした。つまり、単純アルゴリズムの改善だけではこれ以上の安全性を期待することは難しいということだ。

アルゴリズム自体だけではCPA攻撃から逃れることはできないので、「どう実現するのか」が業界の主要関心事として浮上している。現在、大半のセキュリティ会社がOPEの安全性を補完してくれる技術およびセキュリティデバイスをともに使用し、OPEの脆弱性を補完するために努力している。OPEと共に他の検証を受けた暗号化アルゴリズムを使用したり、順序情報のみをさらに暗号化することなどをその例に挙げられる。しかし、このような状況についてよく知らない一般人たちは、「順序の保存暗号化」という名称だけを信じてOPEを他の暗号化アルゴリズムのように安全性が高いと考えやすい。

実際、ある会社ではOPE技術の安全性を誇大に評価して業界の非難を買ったりした。したがって、OPE関連ソリューションを選択する時には、製品内にOPEの安全性を補完してくれるセキュリティデバイス及び技術があるかを調べた後製品を選択しなければならない。特に、CPA攻撃は攻撃者が暗号化システムに容易にアクセスできる時に主に発生するので、製品にこのような弱点はないかを確認しなければならない。

 

暗号化を必要とする応用は様々だ。安全度が高いレベルで要求される応用がいれば、安全度が高くなくても大丈夫な応用もあり得る。OPEの場合、安全性を一部犠牲にして性能を選んだ応用と見られる。コラムの冒頭に仮想シナリオの主人公だったKさんのように、個人情報保護を必要とする応用では、長期間検証され高い安全度を保障してくれることができる標準的な暗号化技術が必要である。OPEは、オリジナルデータの順序が暗号化後も維持されるというメリットがあるため、データ検索などでは有用な技術であることに違いないが、安全性には限界があるということを忘れてはならない。

したがって、セキュリティ業界はOPE技術を適用する場合、安定性が脆弱な部分と程度については、ユーザに正確に知らせなければならない。一方、使用者は従来のブロック暗号化アルゴリズムと同レベルの安全な暗号化を提供したりはしないということを理解して、安全度よりも性能が重要な応用に選択的に適用するようにする。それとともに、足りない安全度を補完してくれるセキュリティデバイス及び機能が製品内に搭載されているかを是非検討しなければならない。

 

hacker-1944688_1280

【コラム】 セキュリティ脅威にはアクセス制御より暗号化が効果的だ。


データベースセキュリティや情報漏えい対策において「暗号化」と「アクセス制御」はどちらがさらに重要であろうかを常に熾烈に競争してきた。

この二つは、セキュリティに対するアプローチからお互い明確に違って、長所と短所もそれぞれ違うのでユーザたちを悩ませた。
それで今回は基本の基本である暗号化とアクセス制御の長所と短所を調べて、究極的に情報保護のために使用すべきのソリューションは何だろうかを説明したい。

 

暗号化そしてアクセス制御

 

暗号化の方では、アクセス制御に比べてはるかに高いセキュリティを強調した。万が一、情報漏えい事故が発生した時にも既に暗号化されたデータなら内容だけは露出されず安全なので、暗号化こそ根本的なセキュリティ方法だというのだ。しかし、全体のセキュリティシステム構築にかかる期間が比較的長くて構築後の暗号化処理をしてみると、システム性能に影響を及ぼす可能性があるという点が短所として指摘されたりした。特に速度と安定性が強く要求される金融機関などの企業は、性能影響に対する予測が難しいという点のため、暗号化システムの導入を躊躇したりもした。

 

アクセス制御の方では、暗号化に比べて簡便な構築などの主にシステム可用性を強調した。アカウントによって情報に対するアクセス権限を付与したり遮断する方法を通じて情報漏えい事故を未然に防止する効果があるという、本来の趣旨よりかえってシステムとネットワーク性能に及ぼす影響が暗号化に比べて少ないという点を長所として広報した。名分はセキュリティ道具なのにもセキュリティに対する言及が少ないという点は、おそらく自らも短所を認める態度であろう。暗号化とシステム性能の関係に対する漠然な疑いを確実な恐怖で拡大することにもいつも先頭に立ったアクセス制御の方では今も同じ立場を取っている。

 

暗号化とアクセス制御は、長年の競争を通じて鍛えられた。相手を反面教師にして、自分の短所を克服し、自分の強みをより引き上げようとする努力をしてきた。そして、もう双方いずれも十分に鍛えられたようだ。
二つの間の優位を冷静に判断する時になったという話だ。

 

まず、暗号化は、これまで金融機関などのシステム性能と速度そして安定性などに非常に敏感な現場に進入することによって、既存にやや不足していると評価されたシステム可用性の問題を確実に克服したという事実を証明した。アプライアンス一体型の方式の導入など、ソフトウェアとハードウェアを含めた不断の努力を通じて短所と指摘されてきた速度の問題も完全に解決した。その結果、今は誰もが「暗号化は、セキュリティレベルは高いとはいえ、速度が遅いのが問題」と言わないようになった。

 

一方、アクセス制御は長所の広報をより強化する方向を選択した。「アクセス制御のハードウェア一つだけ設置すれば、たった数日にすべてのセキュリティ問題がきれいに解決される。」という言葉は、企業のセキュリティシステム構築の担当者なら誰でも一度は聴いてみたような広報セリフだ。少しだけ集中して聞いてみると、主客が転倒した言葉であるという事実をすぐ気付くかもしれないが、一応聞いたところでは結構良さそうに聞こえるし、かなり効果的だった。そして暗号化を代替できるとし、データマスキング機能などを自慢したりもするが、情報セキュリティ専門家たちはこれを話にならない無駄な迷信に過ぎないと言う。

 

情報を保護するための究極のソリューションとは

 

もう暗号化とアクセス制御の競争1次戦は終了したようだから、企業が保有した貴重な資産である情報を保護する究極のソリューションは何なのか、判定する時である。

 

ほとんどのセキュリティ政策の場合、「情報が絶対流出されないこと」を大前提にしようとする傾向がある。流出を根本的に遮断するとし、数多くの道具と方法を動員したにもかかわらず相次いで発生した大規模の情報漏えい事故を考えて見ると、非常に深刻な弱点を内包している単純な危機管理論理に過ぎない。誠に残念な話だが、情報は流出されるものだ。情報はさらに広く、急速に広がっていく性質を持っているので、いくら防ごうとしても、人の力で防げるものではない。情報流出は、もしかしたら必然だ。それが情報の固有の性質だから。

 

結局、情報セキュリティはただセキュリティのレベルの高低によって判断されなければならない。それも、情報はいつでも流出される可能性があるという前提の下、流出を防ぐために最善を尽くすべきだが、万が一、情報が流出された状況でもきちんと備えなければならない。その必要と危険性は、今まで起きた様々な事件事故がすでに証明している。暗号化は、意味があって価値を持っている情報を変形して、無意味で価値のないビットに置き換えることにより、情報窃盗を狙う目的そのものを根本的に破壊させる事故防止の抑止力だ。同時に情報が既に流出された状況でも情報の内容が露出される最悪の事態だけは発生しないようにする最終兵器そして究極の兵器だ。

 

例えると黄金を無価値な石に変えることだろう。金を狙う者は多いが、石を狙う者はない。ただ元の状態への変換のための鍵、つまり暗・復号化のための暗号鍵を知っている者だけが石を再び金に変えることができる。誰が暗号化鍵を持つのかをあらかじめ指定することによって、情報アクセス権限を管理するという点から見ると、鍵管理を適切に運用するなら、これはアクセス制御方式が提供するセキュリティをすでに含めているに違いない。したがって、暗号化とアクセス制御競争1次戦が優劣をつけることができない勝負であったら、第2戦は、暗号化の圧倒的勝利だと予想している。 あらゆる情況がそうだ。

 

 

S54543

【コラム】 クレジット取引セキュリティ、P2PE暗号化で安全

 

どんな国であれ、外国を訪問した外国人は、大小のカルチャーショックを経験する。

自分が精神的に属している母国の文化とは全く異なった異国の文化を経験した際感じる衝撃は、2回にわたって起こる。初めは、慣れていない文化を接したときの衝撃と、その国の文化にある程度慣れて、自分の国に戻った時、今更感じるようになる見慣れない感じだ。

 

、クレジット取引の

韓国人として、日本で生活しながらも少なからぬ文化衝撃を経験した。その中でも代表的なものが現金使用に関する文化だ。韓国では、本当にクレジットカードだけ持って生活した。クレジットカードで電車・バス・タクシーなどの公共交通を利用したり、ご飯を食べたり買い物をするなど、あらゆる日常的な行為をカード一つで解決した。最近は、カードも面倒になり、財布さえ持たないまま、スマートフォン一つだけを持って外に出ていた。コンビニではスマートフォンを端末機にかざすと,直ちに決済が完了される。インターネットショッピングも、銀行取引も全てスマートフォンで処理ができるから、本当に携帯一つで日常のあらゆることを解決できるのだ。

 

しかし、日本に来てみたら、いつも現金を準備しなければならないのが一応不便だった。クレジットカードを取り扱わない店も意外にかなり多く、カード決済はできるが、決済処理にかなり長い時間が所要される店も多かった。そうなると、「カード決済できますか?」と問うこともちょっとはばかりがあった。韓国と文化が完全に違う。確かに、代々引き継がれてきた老舗にNFC方式のモバイルペイ機能を支援する最新のPOS端末機が置かれているのもちょっと変に見えるようだ。それにも便利さの中毒性は、本当に恐ろしいもので世の中が少しずつ少しずつ変化していく時はその変化に気付かないが再び過去に戻ろうとしたらとても不便で、絶対戻れないのだ。それで、日本の現金文化はまだとても不便に感じられる。

 

とにかく、そうするしかないから現金を持って外出することに慣れるしかなかった。そして、ある程度慣れてきたとき、韓国に戻った。すると、またこれは変な気がすることになる。この便利さは、いや、これは本当にちょっと恐ろしいことではないか。これは大胆過ぎるじゃないか。クレジット決済のセキュリティ規格の中で「トラック1」に記録される銀行のアカウント情報、「トラック3」の提携社の情報などの決済と直接関連していない情報を保存するトラックとは違って、クレジットカードのカード番号、発行日、有効期限などの決済過程で必需的な情報を保存する「トラック2」の敏感情報は、もし奪取された場合、誰でもどこでも任意で決済することができる。それでパスワードを含めたトラック2データは、国際闇市場で1つあたり$4,000程度で取引されるとても価値が高い情報だ。そのような情報が特別な確認手続きもなしに、こんなに広範囲にやたらに流通されても、果たして安全なのか? 5万ウォン以下の取引は、署名手続きも省略し、そのまま決済される。便利だが、不安だ。

 

安全だが難しい「PCI DSS

もちろん、クレジット取引安全のための装置はある。クレジット取引の安全を担保する最も一般的な基準であり、事実上の国際標準は「PCI DSS」だ。「PCI DSS」とは、クレジットカード会員のカード情報および取引情報を安全に管理するためにクレジット取引の全過程にかけて、取引と関連した者らが共に遵守しなければならないクレジット産業界のセキュリティ標準である。PCI DSSが登場する前には、クレジットカード会社ごとにそれぞれ異なるセキュリティ基準を要求した。それで、クレジットカード加盟店の事業者たちは各会社の異なる基準を全て合わせなければならなかったが、これは難しくて費用もたくさん払わなければならなかった。このような不便さを解消するため、JCB、アメリカン・エキスプレス、Discover、MasterCard、VISAなどの国際的なクレジットカード企業が共同で委員会を組織し、「PCI DSS」という規格を策定した。会社たちの約束に過ぎないが、事実上の国際標準として通用される。

 

クレジット取引の基準として「EMV規格(EuroPay、MasterCard、Visaの間で合意したICカード統一規格)」を使用する日本もPCI DSS規格に準拠したセキュリティ対策を樹立している。2020年3月を目標にPCI DSSに準拠してEMV基準ICカードのセキュリティ対策を打ち出した。ところが、難しくて費用もかかるのでPCI DSSを打ち出したわけだが、これも相変わらず難しくて複雑だ。POS加盟店の基準でPCI DSS規格を準拠するための努力と費用はかなりであるのだ。小さくてきれいな店一つを出したいという夢があっても、クレジット取引基準を合わせることが難しくて最初からあきらめなければならないほどだ。

 

このような問題を韓国は「VAN(Value Added Network)」会社がクレジット取引プロセスの中間段階で解決する。VAN会社らは、クレジットカード会社の代わりに加盟店を募集し、端末機などのデバイスを提供して、カード決済承認の過程を中継してくれて、売上データを整理する伝票の買い取りサービスなどを提供する。クレジットカード会社と加盟店の面倒な仕事を代わりにしてくれるわけだから、一応便利だが、取引1件ごとに別途の課される手数料が決して少なくない。「VAN手数料引き下げ!」が政治家たちの選挙公約になるぐらいだ。開業の時、併せて多く課すか、商売しながら少しずつ課すかを選択することだ。そして、真ん中でマージンを得るという事業の性質のため、大手の流通社を相手にした不正腐敗などの事件もたびたび起こる。高コスト問題をなんどか避けようとする間、むしろはるかに大きくて恐ろしい他の問題に会ったのだ。

 

クレジット取引セキュリティ、P2PE化で安全

PCI DSSは安全だ。しかし、加盟店の立場では難しいことでもある。これは、まるで「猫の首に鈴をつける。」のような問題だった。ネズミの立場では、猫の首に鈴をつけさえすれば安全だが、これは一体つける気にならないのだ。

しかし、2017年3月、改正された「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 2017」が発表された。該当ガイドラインが2016年のガイドラインと特に違うところは、POS加盟店に要求されたセキュリティ対策の中で非保持とPCI DSS対応の部分で、「非保持」の方法として「暗号化」を追加し、その内容としてPCI DSS規格の中で「PCI P2PE(Point to Point Encryption)の構造を言及しているというところだ。「PCI P2PE」とは、カード会員の敏感情報をカードリーダ端末機から決済が承認されて処理されるサーバまで安全に転送し、処理する方式に対する規定である。その基になる技術は、「暗号化」だ。そのまま暗号化ではなく、「P2P暗号化」、すなわちクレジットカード端末機からカード会社のアプリケーションサーバを経て、データベースに保存されるまで、データが移動する全過程にわたる「エンドツーエンドの暗号化」だ。これは「E2E(End to End)」暗号化とも呼ぶ。いわば「財布からサーバまで」の意味だ。

 

P2PEまたはE2EEが現実的でないという主張をする人々もいるが、これは、当該用語を文字通りの意味で理解したためだ。エンドツーエンドの暗号化は、端末機から情報を暗号化して、通信区間でSSLを使ったり、区間暗号化を活用することで、何の問題もなく簡単に実装できる技術である。安全で、簡単だ。それで、難しくて複雑なPCI DSS規格の中でまずP2PEから適用しなければならないということだ。他の国々でもすでに一般的に実施している措置だ。韓国では、P2PE措置を取らなかった新規加盟店は、事業を開始することもできない。

 

その十分な安全性の根拠は、「DUKPT(Derived Unique Key Per Transaction)」だ。「DUKPT」とは、カードリーダー端末機とサーバの間に敏感情報が伝送されるたびに毎回新たに生成される「One Time Encryption Key」を使用し、暗・復号化する鍵管理技術だ。すべてのクレジット取引セキュリティは、固有の暗号鍵を使用する。しかし、鍵管理に問題が生じるのなら、ドアーに錠をかかって、錠の隣に鍵をおくことと同じく、全く安全ではない。その中でも最も脆弱な状態は、一つの鍵を暗号化と復号化に同じく使用することだ。錠をかけてすぐ鍵を誰かにあげることと同じだ。しかし、DUKPTは敏感情報を送信するたびに、一度だけ使用される鍵を使用するため、万が一、鍵が露出されることが起きても当該鍵は、ただそのトランザクションにだけ有効するため、悪用される危険が非常に少ない。したがって、DUKPTはPCI DSS規格に最も適合した暗号化方式で勧められるのだ。

 

結論は、クレジット取引の際DUKPTなどの適切な暗号化技術を利用すれば、十分なセキュリティ効果を得られるということだ。リーダー端末機でカード情報を読む同時に、情報を暗号化してしまえば、その情報は誰が盗んでも使えないからそもそも最初から読まないことになる。そして、そのままの状態でサーバまで送り、また、サーバから受け取る情報もまた同じく処理すれば、クレジット取引の過程のどこにも情報がないのと同じだ。盗もうとしても、盗まれない。それで、適切な暗号化技術を利用すれば、十分なセキュリティ効果を得ることができるのだ。

 

つまり、PCI DSSの中で「P2PE」エンドツーエンド暗号化を通じて「トラック2」の情報だけ財布からサーバまで安全に守れば、十分なセキュリティを達成することができる。

 

 

EDB12

【情報】最新Web脆弱性トレンドレポートのEDB-Report(12月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 12月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

profile

【情報】最新Web脆弱性トレンドレポートのEDB-Report(11月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 11月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

GI (1)

【コラム】 企業経営を脅かすITセキュリティ。答えは、実用主義暗号化

企業経営において最も大きなリスクは、伝統的にいつも「経済の不確実性」だった。しかし、最近「ITセキュリティのリスク」が話題になり、企業経営において最も大きなリスクとして1位と挙げられるようになった。経営の一線もこのようなリスクに対し、不安を訴える場合が多くなっている。

不確実性のせいで発生する問題は、たいてい企業が自ら感受したら終わらせることができることだったし、かつてからあったから、まるで空気のように当たり前に感じられるが、新型リスクであるサイバー脅威は、不慣れさのためなのか、気まずくてまた不便だ。さらに、その勢いもまた激しくなっていて、問題が起こるとマスコミからも会社を崩す勢いで連日報道するから、収拾も難しくて到底手に負えないという文句が出ている。

ITセキュリティ事故は、持続されなければならないビジネスの連続性を害し、投資者に悪影響を及ぼすだけでなく、深刻な場合、社会的な混乱を引き起こし、災害レベルの経済活動の麻痺、そして企業活動の停止にまでつながったりもする。IT危機の対応能力は、企業の最も重要な資産であり、成功企業のコアコンピタンスだという認識は、もはや必需的な事項になった。従って、従来の危機管理方法を再検討し、新しいアプローチを探さなければならない。

 

ITセキュリティ理解の核心

 

経営者の立場から見るとITセキュリティの最も深刻な問題は、難解さではないだろうかと思う。いくら集中して聞いてみても、いったい何を言っているのかが分からない。到底理解できない。本を探してみても、技術者ぐらいになったらやっと読める完全な技術書でなければなんの役にも立たない、余計な言葉だけを述べている書籍だらけだから学びたくても学ぶことができないのだ。このような事情のため、経営と技術の間にギャップは徐々に広がるし、その隙を狙った犯罪者と詐欺師だけたくさん集まって、各種の事件や事故は絶えない。

ITセキュリティを完全に理解することは、実はとても難しいことだ。数多くの重要要素をいろいろな側面から見て検討しなければならず、技術だけでなく、技術以外の領域に至るまで完全な知識で武装しなければならない。しかし、他の分野と同じくITセキュリティにも柱の役割をする中心がある。重要な脈絡の流れを把握して全体を見る観点を持つようになると、その難解なITセキュリティが明瞭な一つのイメージとして浮かべることを体感できる。

ITセキュリティ技術の理解の最も重要なポイントは、まさに暗号技術である。暗号化は、ITセキュリティの始まりであり、最後と言えるほど重要な要素である。暗号技術を中心にITセキュリティの知識と観点を繋ぐことにより、総体的な観点を持つようになれば、簡単にITセキュリティ全体の姿を眺めることができるだろう。

 

「いや、ITセキュリティ技術の核心は、アンチウイルスやファイアウォールではないか?」

 

違う。暗号技術である。より詳しく調べてみよう。

 

ITセキュリティの二つの方法論

 

ITセキュリティ分野は、難解で巨大に見えるが、その方法は簡単に二つに分けることができる。「脅威からの防御」と「安全なシステムの設計および実装」である。これは、人間が健康を守る二つの方法と比較してみたらすぐ理解できる。

「脅威からの防御」は、すでに作られた既存システムをよく守るための方法である。アンチウイルス、侵入検知・防御、脆弱性点検システムなどがこれに該当する。体が痛いなら、病院に行って治療を受けて注射を受けて薬を飲むのと同じだ。当然、取るべき措置だ。しかし、企業のネットワークセキュリティは、いくら最善を尽くしても結局攻撃にやられてしまう。

例えば、最近マスコミからよく登場する「APT攻撃」は、本当にうんざりするほどのしつこい攻撃である。少しずつシステムに侵入し、結局は全体を掌握してしまう。現在、数多くのAPT防衛システムが販売されているが、正直言うとまともなシステムは一つもない。大げさではなくて、本当にない。

一方、「安全なシステムの設計および実装」は、より根本的な方法である。問題が発生すれば、それに対応するのではなく、最初からシステムを安全に設計して、実現することだ。健康な生活のために毎日運動したり、バランスが取れた栄養素を摂取するなどの「健康に良い習慣」と似ていると言える。

ここで「安全」という言葉は、ユーザーが正常的な方式でアクセスして、