Posts

artificial-photography-119282 (1)

【コラム】 超スマート社会の始まりは、クレジット取引から

 

今日の日本社会は、大きな変化に直面している。高度化された情報社会、「超スマート社会」への変化だ。 これは、政府が積極的に推進している公的制度と政策のためにでも避けられない変化に見える。しかし、その変化に対して、不安を話したり政策推進の理由を分からないという不満もさんざん聞こえている。それで、情報と変化の目的と意義を調べてみて、変化が本格化する前に予め確認しなければならない現実的対応策を検討しようとする。

 

「マイナンバー」の不安払拭

まず検討するものは、超スマート社会を成す各構成員に対する識別手段である「マイナンバー」だ。2015年10月から施行された「マイナンバー」制度は、まだ定着段階にあるとみられるが、すでに全体社会底辺に大きな変化を起こしている。肯定的には、当初制度を打ち立てる趣旨によって、租税行政及び社会保障などの国家システムが前に比べて、より透明で公正になっているとみられる。一方、否定的には財産追跡を避けるため、銀行ではなく家に現金を保管するいわゆるたんす預金が大幅に増えるなど、社会システム変化の過渡期的な現象も現れている。

 

たんす預金問題は、意外にかなり深刻で、この1年間、3兆円以上増加し、現在43兆円規模だという。この1年の増加額は、日本国内総生産(GDP)の0.6%に該当する規模だ。紙幣相当分が市場で流通せず、すぐにたんすの中に入ったわけだ。その理由をすべてマイナンバーの影響と見ることはできないかも知れないが、たんす預金現象の最も大きな理由と分析される政府の課税強化政策の技術的基盤がマイナンバーということは確かな事実だ。

 

しかも、一部市民団体は、マイナンバー制度の導入前、そして施行中の今までも個人識別番号の情報セキュリティ的な危険性を懸念し、韓国の類似した制度である住民登録番号と関連された頻繁なセキュリティ事故を取り上げながら、不安を訴える。しかし、韓国の住民登録番号は、マイナンバーと似ているようで似ていない。同じ識別番号ではあるが、住民登録番号は該当番号を通じて「識別」と「認証」を一緒に処理しようとして、問題を起こしたものであることに比べて、マイナンバーはただ「識別」だけに使われるので、根本的に安全だとみなすことができる。そして韓国は情報化導入初期には、住民登録番号を、暗号化していなかったから事故が絶えず発生したことに比べて、マイナンバーは制度的に暗号化が必須的だ。したがって、マイナンバーの情報セキュリティ的危険性は、それほど大きくないと見られる。

 

「Society 5.0」変化の不可避性

社会構成員の識別手段であるマイナンバーと共に社会情報化に大きく影響を及ぼすのは、現在の日本政府が「超スマート社会」実現を目標として積極的に推進している「Society 5.0」政策だ。これは、ドイツの「Industry 4.0」政策と似ているようで似ていない。モノのインターネット、ビックデータ、クラウド、人工知能、ロボットなどの先端技術を産業現場特、特に工場に適用することにより、生産性を向上しようとする目的の「Industry 4.0」に比べて、「Society 5.0」はそこからさらに一歩進んで、情報化革新を通じて社会全体を全般的に成長軌道に引き上げるという超巨大計画だ。

 

現在、日本の人口は大きく減少していて、平均年齢は増加している。低い出生率と高い寿命増加がもたらすことになる結果は深刻で、これからは今までそうしてきたように若い労働者たちの負担だけでは社会的な脆弱階層の面倒を見ることができなくなるだろうという判断による決定が「Society 5.0」政策だ。これは、とても現実的判断で、政府の立場で大きな社会変化の推進は不可欠な選択だと考えられる。日本のように自然災害が頻繁な国家でかなり老朽化した産業インフラを保有したまま、労働力が減少するというのは国家において極端に危険なことだから、国家生存のためにも自発的に大きな変化以外は、避ける方法がないということは、ただ、日本だけでなく、今日、全世界のほとんどの国が直面した深刻な問題だ。

 

一応、その方向性だけは本当に正しい。企画者の能力がうらやましいほど適切だ。しかし、いくら正しい方向性であっても、現実的に適切な対策の支えがなければ無用の長物になってしまうだろう。超スマート社会を構築する第1の現実的条件は、信用である。私たちがお互いに信じて相生しようという抽象的な意味での信用ではなく、厳格な電算的定義による信用である。そういう意味で、社会そして国家の情報化という十分な電算的な信用を確保するための総体的努力と見られる。そして、「マイナンバー」そして「Society 5.0」などは、まさにそうした努力の一環だ。そういう意味で筆者は情報セキュリティ専門企業としての自社ビジョンを「開放された社会のための信用、Trust for an Open Society」に設定したことがある。

 

超スマート社会の基盤は、電算的な信用

超スマート社会政策の実際の適用について考えてみよう。そうすると、先に頭の中に浮かんでくるのが電算的な信用の不実さだ。その不実さは、公的制度だけでなく、特に私的システム、すなわちクレジット取引で大きく表れている。日本の商取引文化は、クレジット取引という世界的な動向から大きく離れていて、現金使用に固執してきた。現金の代わりにカードを使っても、クレジットカードではない銀行デビットカードを使用するので、それもまた現金使用の延長線上にあることだ。クレジットカードでは最初から支払うことができない店もよく見られるが、文化的にも電算的な信用が不実な環境だと判断される。

 

現金払いの強要を置いて、事業者の脱税への疑惑を持つのは変ではない。これは、非常に疑われることでもある。しかし、脱税の意図まではなくても、政府によって自分の財産状況が明らかになること自体が嫌な自己保護心理が大きく作用するようだ。過度な国民統制や監視に対する懸念は過ちではなく、国民としてとても当然な権利だと見られる。しかし、先にも述べたように、情報社会への変化、つまり電算的な信用システムの構築は国家生存のためにも避けられないことだけに、懸念の方向を変化そのものではなく、変化要素の適切性に集中することが適切な態度だという気もする。

 

国家的レベルの情報化推進の目的は、行政的な手続きの浪費を除去し、行政効率を向上することで、国民の負担は減らし、利便性は高め、厳格な租税正義を通じて確保した十分な財政で社会保障など国家システムを円滑に運営するためだ。効率的かつ透明な公正社会を実現するための社会インフラの情報的基盤がまさに電算的信用ことだ。これは、政策的側面だけでなく、技術的にもそうだ。たとえば、モノのインターネット技術(IoT)は、究極的には人ではないモノとモノの間の取引にまで至ることになるだろう。このため、ブロックチェーンなどの技術を通じて、事物にも商取引が可能な電算的な信用を付与する研究が進行中にある。これはもうすぐやってくる未来だ。

 

しかし、ほとんどの変化はまるで手の平を返すように急変することではなく、少しずつ徐々に近づいてくるものだ。そのため、大きな変化であっても事前に対策を立てることが可能だ。それでは、今、急を要する問題から調べてみよう。

 

最も急がれる問題は、オフライン電子商取引の現場

あまりにも当然なことだが、最も急がれる安全措置は、最も危険なところからまず保護することだ。クレジット取引の文化定着において、今最も危険なところはよくある誤解とは違って、オンライン電子商取引ではない。オンライン上で取り交わされる信用情報は、各種の関連規制によって相対的に厳しく検証されたインフラを通じて起こるため、オフラインの現場に比べては比較的安全に維持される。一方、オフラインの電子商取引は、実際の取引が起こる現場の数があまりにも多いために、取引に使用されるPOS(Point Of Sale.販売時点情報管理)端末機などのデバイスに対する基本的な安全性さえ十分確保することが難しいという現実的問題がある。

 

オフライン電子商取引の安全が特に重要なもう一つの理由は、消費者そして販売者ともにクレジットカードという実物を通して、取引プロセスに直接参加する、クレジット取引関連行為の中で最も具体的かつ可視的な行為だからだ。したがって、もしオフラインの現場でクレジット取引事故が発生するようになると、それによる社会的な不安が今後の信用社会構築においてとても大きな障害になるためでもある。

 

オフライン電子商取引の現場の中でも特にPOS端末機のセキュリティに集中する必要がある。オフライン取引現場にも安全関連規制があるが、オンライン環境に比べて相対的に管理に盲点が多いしかないため、セキュリティを疎かにする場合が多い。POS端末機の運営体制から見ても、すでに製造会社の技術的サポートを終了した運営体制を使用する場合をよくみられる。最も危険なところにも関わらず、最も管理が疎かにしているのだ。

 

超スマート社会の基盤は、社会構成員各自の電算的信用確保、そして今現在、電算的な信用の安全のための最も至急な措置は、オフライン電子商取引の現場だ。オフライン電子商取引セキュリティの具体的な内容については、以前書いた「POS&CATの決済、財布からサーバーまでデータの流れ」そして「クレジット取引セキュリティ、P2PE暗号化で安全」を参照してほしい。

【コラム】マイナンバーは安全なのか

 

2015年9月3日、マイナンバー法が衆議院本会議で可決され成立しました。それにより、日本政府は今年10月からマイナンバーを個別に通知し、来年1月から運用を開始する予定です。

 

それを受け、日本社会の一部では、プライバシー侵害や情報漏洩などに対する懸念の声が高まっています。弁護士や市民でつくる団体が、当該制度が国民のプライバシーを保障する憲法に反するとして使用差し止めを求め、提訴したこともあります。マイナンバーの使用範囲にプライバシーにかかわる情報が多数盛り込まれており、民間企業もマイナンバーを取り扱うことになるため、情報漏洩のリスクが高まる恐れがあると訴えています。

彼らの主張は、もっともなことです。プライバシーは保護されるべきであり、個人情報は漏えいされてはいけません。以前からマイナンバーに類似した制度を施行している韓国で多発している住民登録番号および個人情報漏洩事故からみれば、その恐れはさらに高まっていくでしょう。韓国で情報セキュリティ業界に携わっている人として恥ずかしいばかりです。それにも関わらず、質問を投げかけたいです。

日本のマイナンバーは、韓国の住民登録番号と同様に危険でしょうか?

結論から言いますと、そうではありません。
マイナンバーと住民登録番号は、その導入趣旨は同じであるものの、番号の設計や使用方式はまったく違います。むしろ、住民登録番号がマイナンバーと似た形に変化していると言った方が近いでしょう。なぜでしょか。

 

韓国の住民登録番号制度

 

韓国の住民登録番号は、1968年から始まった古い制度です。導入当時といまでは、 個人情報漏洩やそれに対する被害の受け止め方が全く異なります。休戦状態の分断国家である韓国ならではの自国民の識別という目的があまりにも強く、他の問題を払拭した面もあります。さらに、そもそも住民登録番号は、個人を最大限に特定できる番号で設計されています。当該個人の生年月日、性別、出生地、検証番号などが13桁の数字で特定できます。 今日の常識から見ると、到底納得できない番号です。ところが、1968年の当時は、何の問題もありませんでした。しかし、コンピューターシステムで個人情報を取り扱うにつれ、様々な問題が露呈してきました。コンピューターシステムで使われる個人番号の機能は、「識別(Identification)」と「認証(Authentication)」に大別されます。個人番号を通じて当該個人が誰なのかを「識別」し、その人が番号に当たる人であるかどうかを「認証」します。住民登録番号に関わる韓国の情報漏洩事故の相当数は、住民登録番号を「識別」と「認証」の機能を区分せず、混用したことに起因しています。しかも、個人番号の暗号化も行っていませんでした。また、住民登録番号そのものに個人を特定できる情報が盛り込まれているため、問題はさらに深刻化していきました。「識別」と「認証」機能の混用は、言い換えると、住民登録番号を通じて個人の身分を確認し、また住民登録番号をまるで暗証番号のように入力することで、入力者が個人番号保有者の本人であることを自ら証明したことになります。聞くだけでも危険だと思われませんか。つまり、誰かの住民登録番号さえ持っていれば、誰もがその人になりすまして認証を受けられるということです。今日の常識では、到底納得できません。しかしながら、情報管理の安全性ではなく、業務の効率性だけを強調するのであれば、いつでもどこでもあり得ることです。

世間を動かす全てのシステムがコンピューター化、オンライン化していることにつれ住民登録番号に関する問題はされに深刻度を増し、現在韓国では、個人情報関連法の改正が進んでいます。法改正の方向は問題の重大性に即するものであり、結局「識別」と「認証」の完全な分離と安全な保管を目指すことになるでしょう。

それでは、韓国の住民登録番号に比べ、日本のマイナンバー制度はどうでしょうか。

 

日本のマイナンバー制度

 

住民登録番号とは違ってマイナンバーには、個人情報が盛り込まれていません。ただの番号です。そして、その番号は、個人を「識別」するためにのみ使われ、「認証」には使われません。従って、まず日本国民は、マイナンバーを暗証番号などのように認証手段として使用しているかどうかを警戒する必要があります。現在の発表からはそのような内容はありませんが、「安全性」ではなく「効率性」だけを追っていくのであれば、起こり得るリスクです。「識別」と「認証」の混用は、災いの始まりです。韓国がそうでした。情報工学の観点から言いますと、マイナンバーは、いわゆる「識別者」としてのみ使われます。マイナンバーを通じて任意の人が誰なのかを「識別」して特定し、その後、本当にその人なのかはマイナンバーとは別の「認証情報」を通じで確認する多段階の手続を行います。「認証情報」とは、その人のみ知っている知識、その人のみ持っている所有物、その人のみ有する行為の特長や生体情報などのことです。個人情報と認証情報、互いに異なる両情報は、暗号化して安全に管理しなければなりません。さらに、両情報は物理的に分離された場所に安全に別途保管することを推奨します。

情報セキュリティの最前線で長年にわたって住民登録番号関連問題と戦ってきた人から見ると、マイナンバー制度そのものは、一応安全と判断されます。最近韓国で行われている個人情報関連法の改正方向も同様です。韓国の法では、個人情報と認証情報をお互い分離しそれを暗号化して安全に保管し、非常に多くの個人情報が盛り込まれている住民登録番号になりかわる他の識別者番号制度を作り、法的根拠が確実で必要不可欠な場合にのみ住民登録番号を収集する方向に変わっています。そのため、住民登録番号はマイナンバーと類似した形に変わっていくとみられます。

 

市民社会、マイナンバーを監視せよ!

前述のとおり、日本社会のマイナンバーに対する懸念は当然のことです。プライバシー侵害や情報漏洩は実際に起こり得ることであり、事故が発生すると社会の安全に致命的な被害を及ぼす恐れがあるため、いくら懸念してもしすぎることはありません。そうであるからこそ、市民社会はマイナンバーの監視を徹底し批判しなければなりません。それでは、どの部分を監視すべきなのか、これまでの内容を以下にまとめてみました。

1. マイナンバーは「識別」のためにのみ使われるべきです。「認証」には使われてはいけません。
2. 暗証番号、生体情報などの認証情報は、識別者のマイナンバーとは別のものでなければなりません。
3. 個人情報と認証情報は、それぞれ暗号化して安全に管理しなければなりません。
4. 両情報は、物理的に分離された場所に保管することを推奨します。
5. 暗号化する場合、暗号化キーを徹底管理することによりセキュリティを高めなければなりません。
上記のことを確実に行えば、マイナンバーは「安全」です。言い換えますと、それらを行わなければマイナンバーは「安全」ではありません。韓国の住民登録番号のように危険になる可能性があります。

 

マイナンバー関連の他のイシューをみてみますと、情報セキュリティとは異なる脈絡で話題となった軽減税率の導入とマイナンバーの連携問題は、租税の公平性と個人の自由という観点から見るべきであり、マイナンバーそのものとは関係のないことです。それは、政府の政策執行における効率性と市民のプライバシー保障の観点からみて、賢明に価値を判断すべき問題です。また、日本で相次いでいる情報漏洩事故のため、マイナンバー導入後のリスクを懸念する声も多くありますが、それは一般的な情報セキュリティシステムズの脆弱性として理解して解決すべき問題であり、 「マイナンバーだから危険だ」という結論は、論理的ではありません。何度も言いますように、
マイナンバーは、ただの番号です。韓国の住民登録番号とは違います。

 

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として2,100ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

【コラム】マイナンバーを守るための対策、最も根本的なセキュリティ論点

 

マイナンバーを守るための対策、最も根本的なセキュリティ論点

マイナンバー社会保障・税番号制度の施行を目前に控え、個人情報の保護やシステム的対応をめぐる論争が熱い。そんななか、誤解も広がっていることから、明確に認識しておかなければならない、最も重要な事案に回答することで、この誤解を払拭することに一役買いたい。

「マイナンバーを暗号化すれば、対策は完璧」

「暗号化しておくと、そのあとの取扱いは気にしなくていい」

結論から言わせて頂くと、「違う」。データを暗号化しても、データの管理における厳密度は下げてはいけない。関連コンプライアンスにもそう明記されており、 「特定個人情報保護委員会」より公表されているガイドラインによると、暗号化等を採用し変換された個人識別番号に対し、変換前の個人識別番号と同レベルで取扱いすることを明らかにしている。

「マイナンバー保護の最大のリスクは、一体何?」

実は、データ暗号化というのは、簡単な作業ではない。ICTシステム全体にわたり、広範囲で適用しなければならない非常に大変な作業となるため、「マイナンバー保護の最大のリスクは」と聞かれると、簡単に回答はできないが、その中で一つを選ぶとすれば、個人情報を取扱いする実際の現場での日常的な活動から見ると、それは、

「マイナンバーには、”誰”がアクセスできるのか?」

ということである。情報にアクセスできるのは、”誰”なのか。それは、アクセス権限を持っている者である。じゃ、そのアクセス権限を付与するのは、”誰”なのか。非常に残念なことであるが、個人情報保護における最も大きなリスクに直面してしまう。殆どの現場では、アクセス権限を付与する”誰か”は、「システム管理者」か、又は「データベース管理者」であり、その人が”セキュリティ管理”も兼業してしまう場面に遭遇する。

このような状況は、実に変だと思うべきだ。システム管理者は、組織におけるシステムの運用および管理に責任があるわけで、データベース管理者は、当該データベースにおける運用や各種問題に対応する責任があるわけだ。そのため、この担当者らは、セキュリティの求められている個人情報そのものにアクセスする権限を持たせる必要もなければ、そもそもアクセスする必要自体がない。更に、このシステム管理者とデータベース管理者が、なぜセキュリティポリシー、つまり個人情報へのアクセス権限を設定し運用してしまうのか。「システム管理者だから」という極めて単純な論理で、セキュリティ管理者でもないシステム管理者が組織のセキュリティポリシーを総括する大役を背負ってしまう場合は珍しくない。これこそが実際現場レベルで引き起こされる個人情報保護における最大のリスクである。

データベース管理者のDBA(Database Administrator)に関しても当然ながらセキュリティ管理者との明確な職責分離を実現しなければならない。暗号化したデータに対しては、許可されたユーザのみがアクセス可能にすべきであり、いくら全権限を持っているDBAでも、セキュリティ管理者からの許可がなければ暗号化データの復号はできないようにすべきである。

長年情報セキュリティをやっているとよく耳にする言葉がある。

「セキュリティはチェーンのようで、このチェーンの強度は、最も弱い箇所の強度で決まる」

要するに、情報セキュリティ全体を構成する全ての要素が高レベルで維持されていなければならないということである。そのシステムのセキュリティのレベルは、最もセキュリティのレベルが低い箇所によって評価されてしまう。そのため、弱いところを突かれてしまうと、システムの全体がダメになってしまうものだ。最も弱い箇所というのは?状況によって答えはそれぞれだと思うが、個人情報の保護における最弱の箇所は、DBAとセキュリティ管理者の職責分離である。

「では、個人情報に対しアクセス制御を行っていれば、全ての問題が解決されるのか?」

これには、簡単に答えられない。データセキュリティにおいて「暗号化」と「アクセス制御」は、その優位性を主張してきた。この二択の選択肢を持ったユーザは、その選択を迫られてきた。暗号化とアクセス制御は、セキュリティにおけるアプローチから明白に異なっていて、メリット・デメリットがあり、今になってもユーザからみたら、選択できないでいる。

早速結論から言わせて頂くが、データ暗号化が答えになる。なぜ?

1. セキュリティレベル

アクセス制御のソリューションのベンダーは、よく言う。暗号化に比べ、構築および導入においてその簡単さからシステムの可用性が高く、アカウント別に情報へのアクセス権限を付与又は遮断することで、情報漏えい事故を未然に防ぐ効果があると。しかしながら、これは、システムおよびネットワークのパフォーマンスに与える影響の面で暗号化と比較しているだけで、本来のセキュリティの面では、言及をしない。これはセキュリティの面では、暗号化のほうが優位にあるという逆説ではないかとも思えるし、事実上そうでもある。

暗号化ソリューションのベンダーは、よく言う。アクセス制御に比べ、高セキュリティを保障できると。万が一、情報漏えい事故が発生したとして、データが暗号化されているのであれば、内容は解読できたい状態であるため、安全だと。そして、暗号化こそが根本的なセキュリティ対策になると訴えている。もちろん暗号化にもデメリットはある。過去には、長い構築期間や暗号化後のパフォーマンス劣化が懸念されていて、とりわけ、パフォーマンスやシステム安定性が強く求められる金融業界では、暗号化前後のパフォーマンスの劣化を予測できないということから、暗号化の導入をためらってきた。

このような話も、今や昔話に過ぎない。暗号化は、構築期間、パフォーマンス、安定性等に非常に敏感な金融機関のような現場に次々と導入され、これまで指摘されてきたシステムの可用性の問題を乗り越えたと評価されている。 アプライアンス型の導入によるハードウェアとソフトウェアの一体型にてデメリットとして指摘されていたスピードの問題まで、完全に解決した。その結果、今は、誰も「暗号化は、セキュリティ的には高いと思うが、スピードが出ない」とは言えなくなっている。

その反面、アクセス制御のセキュリティには相変わらず疑問が残っている。アクセス制御システムは、データの存在する内部システムではなく、外部システムとして新規構築する。それは、事実上もう一つの管理権限を作ることになり、マイナンバーデータに対しセキュリティ管理者を指定することではなく、データベースのアクセス制御のための管理者を新設することを意味する。つまり、根本的な対策にはならないということ。なお、アクセス制御にて指定したパス及び条件に該当しないアクセスの場合、対象外となる限界もある。

2. 情報漏えいがあっても、基本安全

完全なる情報セキュリティは存在するだろうか。残念ながら、存在しない。完全なるセキュリティを目指して日々努力を重ねていくのみである。

セキュリティ対策は、「情報が最初から外部に漏出しないこと」を前提とする嫌いがある。情報漏えいを抜本的に遮断するためにあらゆるソリューションを採用し対策を講じても、絶えずに大規模な情報漏えい事故は発生し報道されていることをみると、深刻な問題を抱えている単なるリスク管理の論理であるというしかない。大変残念だが、情報は漏出するものである。情報は短時間にて広範囲にわたり広がる性質を持っている。よって、情報漏えいは、必然的であり、人間が完全に防ぐことはできない。情報というのは、そもそもそういう性質だから。

情報漏えいを防ぐために最善を尽くすべきだが、万が一の状況に備えて、万全の準備をしなければならない。漏えいしてしまってからの「回復力」が求められる。情報漏えいの影響を最小限に抑え、日々の業務状態に戻すまでがどれだけ短時間で内部および外部に影響を与えずにできるかがポイントとなる。暗号化は、情報漏えいが起きてしまった場合でも、情報を安全に保護できる唯一な方法である。有意義な情報をビット単位の無意味な文字列に変換することで、解読できなくすることで情報漏えいの目的を根本的に遮断する方法でもある。情報が漏洩されたとしても、その中身は読み取れないという、究極な方法とも言える。

ただし、暗号化したデータと暗号化・復号の鍵まで持って行かれたら暗号化自体根本的に意味がなくなるため、暗号化をするなら、「鍵管理」を想定しないと行けない。

3. 暗号化とアクセス制御の両面に対応できる

的確に導入および構築されている暗号化システムでは、”誰”が暗号化・復号の鍵を持つのか、指定することにより、情報へのアクセス権限を管理できる。つまり、鍵管理が適切に行われているのであれば、アクセス制御のソリューションのベンダーが主張している部分はできてしまうことを意味する。逆に、アクセス制御ソリューションにおいて、暗号化ソリューションが提供するセキュリティは、確保できるのか。そもそもそういう構造ではない。

データ暗号化を前提とし、セキュリティ管理の一環としてアクセス制御ソリューションを活用する方法は考えられる。市販のデータ暗号化製品の中で、セキュリティに関する正確な概念を持って設計されているソリューションの場合は、データベースおよび暗号化されたカラム単位でアクセス制御を設定できるインターフェースがすでに実装されているため、個別にアクセス制御ソリューションを追加構築する必要もない。

また、暗号化システムを構築すると、組織全体におけるデータ管理のプロセスが変わることになる。こうした変化は、開発プロセスにも影響を与え、データの生成・共有・廃棄というデータのライフサイクル全体における暗号化・復号の鍵をどのように管理するのかを考えないと行けない羽目になる。これは、とてもポジティブに受け入れるべきであり、データの処理プロセスはもちろん、開発プロセスまで一段階ランクアップするきっかけになるからである。このようなことを既に経験している数多くの海外の企業は、暗号化導入後の満足度が高いと評価していて、これは、暗号化から企業のデータ管理セキュリティの意識が生まれるとも言えるだろう。

繰り返すようだが、

「個人情報に対しアクセス制御を行っていれば、全てのセキュリティ問題が解決されるのか?」

答えは、「解決できない。 暗号化が必要である。」

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として2,100ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201