Posts

profile

「2017年10月号」企業が注意すべき2017情報​セキュリティ10大脅威、対策備えは?!

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■□■ ペンタセキュリティシステムズ メールマガジン 2017/10/31 ■□■

https://www.pentasecurity.co.jp

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

目次

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】Security Days Fall 2017でセキュリティ脅威動向と対策を丸ごと解説!

【02】OSS DB暗号化ソリューション 「MyDiamo(マイ・ディアモ)」、PostgreSQL

暗号化を提供開始

【03】最新Web脆弱性トレンドレポート2017年9月号公開

【04】【ニュース】不正アクセスでの個人情報およびカード情報がそのまま漏洩?

【05】今月のコラム「2017年自動車サイバーセキュリティの現状」

【06】企業が注意すべき2017情報セキュリティ10大脅威、対策は?

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】Security Days Fall 2017でセキュリティ脅威動向と対策を丸ごと解説!

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティがSecurity Days Fall 2017に参加いたしました。SecurityDays

Fallは、最新の脅威動向とセキュリティ対策に対して解説するイベントで、東京と

大阪で開かれました。様々な情報セキュリティ関連の企業が参加し、セッションを通

じて、企業情報セキュリティ、特に最近話題になっているDDoS対策とウェブの脆弱性

や改ざん対策、クラウドセキュリティについて解説いたしました。

そこで、ペンタセキュリティは「サイバー攻撃は、セキュリティ対策に取り組んでいる

企業だけが知っている。」というタイトルで講演しました。弊社のブログでは、セミナー

内容の紹介とともにセミナーで使われた資料を無料で配布しているので、ご興味を持って

いる方々は、是非ご確認ください。

>> Security Days Fall 2017現場およびセミナー紹介はこちら

https://goo.gl/UMbhha

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【02】OSS DB暗号化ソリューション 「MyDiamo(マイ・ディアモ)」、Postgre

SQL暗号化を提供開始

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティが10月19日から当社のOSS DB暗号化ソリューションであるMyDiamo

(マイ・ディアモ)で、MySQL、MariaDB、PerconaDB対応機能に加え、PostgreSQL

DBの暗号化を提供することになりました。

オープンソースの普及および商用プログラムの保守費用を含む維持費用の負担等により、

企業のオープンソース使用率は増加していて、2012年4月、日本国内PostgreSQL関連

ベンダー及びユーザ企業が集まり、「PostgreSQLエンタープライズコンソーシアム

(PGECons)」を発足しました。

近年の情報漏えいによるセキュリティへの危機感からPostgreSQLに特化した暗号化

ソリューションのニーズが高まり、 MyDiamo(マイ・ディアモ)のラインナップとして

PostgreSQL暗号化を追加しました。より詳しい内容は、下記のプレスリリースを

ご参照ください。

>> プレスリリース全文はこちら

https://goo.gl/jMNp9V

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【03】最新Web脆弱性トレンドレポート 2017年9月号

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとに

したトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連の

オープン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュあ

リティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成さ

れています。

【概要】

2017年9月に公開されたExploit-DBの脆弱性報告件数は、総72件であり、その中でSQL

インジェクションが62件で最も多い件数で発見されました。9月に公開されたSQLイン

ジェクション脆弱性は、攻撃実行の難易度が低い方に分類されました。この攻撃は、

オンライン検索を通じてダウンロードできる攻撃ツールの使い方さえ知れば、低いレベル

の難易度で誰にでも手軽に悪用できます。

ですが、SQLインジェクション脆弱性は、低い攻撃難易度持つ同時に高いレベルの危険度

に分類されました。幸いに、ほとんどのSQLインジェクション攻撃は、Webアプリケー

ションファイアウォール通じて簡単に対応できます。よって、持続的なセキュリティを

維持するためには、Webアプリケーションファイアウォールとセキュアコーディングを

活用した多層防御を具現する必要があります。

 

>> 最新Web脆弱性トレンドレポート全文はこちら

無料ダウンロード: https://goo.gl/s4AQ8u

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【04】【ニュース】不正アクセスでの個人情報およびカード情報がそのまま漏洩?

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

最近、不正アクセスによる個人情報漏えいに関するニュースが連日報道されて

います。企業の情報を狙う不正アクセスにより、顧客の機密情報やクレジットカード

情報などの敏感な情報が流出されながら、企業が受けている被害件数も増加しています。

特に、最近ターゲットとして狙られているのは、EC系のサイトです。それで今回は、

9月と10月発生した「不正アクセスによって被害を受けた日本国内のECサイト被害事例」

を調べて、ECサイトでの情報セキュリティ対策を紹介します。

 

>>ニュースまとめ全文はこちら

https://goo.gl/61mK9P

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【05】今月のコラム「2017年自動車サイバーセキュリティの現状」

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

毎月ペンタセキュリティの R&D センターからコンテンツ作成し、配信している

セキュリティコラムを紹介いたします。

【概要】

自動車ITセキュリティは、大衆の興味を集めるテーマである。よく知られている致

命的なハッキング事件があった自動車メーカーだけでなく、潜在的にこのような可能性

を持っている自動車製造業者も、今後の自動車産業がどんな姿であろうかを予測するた

めに、素早く動いている。2017年現在、こういう動きは私たちにどういう意味であろうか。

——————————————————————————————————-

時代の発展により、自動車とインターネットの結合であるコネクティッドカーに対する

人々の興味も高くなっています。今回はIT業界でエバンジェリストとして活躍している

筆者が日本の自動車製造会社の役員たちとの交わした会話を通じて、今後の自動車や

自動車セキュリティに対して紹介します。詳しい内容は、本コラム

からご確認ください。

 

>>コラム「2017年自動車サイバーセキュリティの現状」全文はこちら

https://goo.gl/bYZdvX

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【06】企業が注意すべき2017情報セキュリティ10大脅威、対策は?

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

近年、ネットワーク環境の変化がさらに高速化している中、特に企業を取り巻く情報

セキュリティ環境も急速に変化しており、中小・中堅企業から大手企業まで組織の規模

を問わず日々発生している個人情報漏えい事故や不正アクセスによる被害が増大してい

ます。企業としてはセキュリティ対策が不可欠な課題です。

それで、日本の情報処理推進機構(IPA)で発表した「2017情報セキュリティ10大脅威」

を紹介し、企業はどう対策していくべきか、そして情報セキュリティのためにどういう

ソリューションが必要であろうかについて解説いたします。

 

目次は、以下の通りです。

(1) 2017情報セキュリティ10大脅威とは?

(2) 企業・組織における情報セキュリティ10大脅威

(3) 企業の情報セキュリティのためには?

① WAFの必要性

② WAFの種類別メリットやデメリット

③ クラウド型WAF、Cloudbric(クラウドブリック)

>>「企業が注意すべき2017情報セキュリティ10大脅威、対策は?」全文はこちら

https://goo.gl/iq6s23

 

*クラウドブリック(Cloudbric)

アジア・パシフィック地域のマーケットシェア1位のウェブアプリケーション

ファイアウォールであるペンタセキュリティのワップル(WAPPLES)の論理演算

検知エンジンエンジンを活用したクラウド型WAFサービスです。

 

▼ クラウドブリック(Cloudbric)に関する詳細情報はこちら ▼

≫≫ https://goo.gl/pGauEA

≫≫ https://goo.gl/dk4Ltp

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■ 製品・パートナシップに関するお問い合わせ

ペンタセキュリティシステムズ株式会社 日本法人

Tel:03-5361-8201 / E-mail: japan@pentasecurity.com

 

■ 本件に関するお問い合わせ

ペンタセキュリティシステムズ株式会社

Tel:03-5361-8201 / E-mail: mkt1@pentasecurity.com

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティ、 創立20周年を迎え未来のセキュリティ・ビジョンを宣言

 

ペンタセキュリティ、 創立20周年を迎え

企業顧客向けの未来のセキュリティ・ビジョンを宣言

    IoT・クラウド時代には    
「先セキュリティ、後の連結(Secure First, then Connect)」原則が重要

データ暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、7月21日、未来のセキュリティ・ビジョンである「先セキュリティ、後の連結(Secure First, then Connect)」を宣言する20周年記念イベントを開催したことを明らかにしました。

 

 

ペンタセキュリティは、1997年に創立された以来「Trust for an Open Society」、つまり「信頼できるオプーン化された社会」を目標として企業向けの情報セキュリティソリューションの研究や開発に集中しました。これを通じて、ペンタセキュリティだけの独自的な暗号技術を基盤にWeb及びデータ、または安全な認証を実装する製品を発売し、特にWebアプリケーションファイアウォールである「WAPPLES(ワップル)」はアジア・パシフィック地域市場シェア1位とともに、韓国市場で10年近く1位を維持しています。

 

最近は企業情報セキュリティだけでなく、安全なクラウド及びIoT環境のためのセキュリティソリューションを通じてセキュリティ領域をさらに拡張しています。2011年から先導的に開始してきたクラウドセキュリティ事業は、現在クラウド環境でも3つの企業情報セキュリティ要素であるWebアプリケーションファイアウォール「WAPPLES(ワップル)」、データ暗号化ソリューション「D’Amo(ディアモ)」、認証プラットフォーム「ISign+(アイサイン・プラス、日本では未発売)」を全て提供している。また、コネクティッドカー・セキュリティソリューション「AutoCrypt(アウトクリプト)」をはじめ、工場、エネルギー、ホームまで計4つの領域に対するIoTセキュリティソリューションを基盤として専門企業と業務協力を結んでおり、クラウド型WAFである「Cloudbric(クラウドブリック)」はグローバル市場で先に好評を受け、グローバルサービスとして位置づけられています。

 

ペンタセキュリティは現在「先セキュリティ、後の連結(Secure First, then Connect)」を新しいビジョンとしてインダストリー4.0に基盤した、高度に連結されている社会に対応しています。インターネット環境だけでなく、実生活の領域まで連結された一つの巨大なインフラストラクチャーをより高度化し、発展させるための最初の段階が「セキュリティ」ということが、このビジョンの核心です。既存のIT産業が連結された後セキュリティを適用したとしたら、これからは先に我々の生活に最適化されたセキュリティを適用した後、連結を承認することで高いレベルの高度に連結されている社会に至ることができます。来る高度に連結されている社会では、セキュリティが必須要素である上に、連結を可能にする要素です。ペンタセキュリティは、連結と共有が大衆化される世界でIoT・クラウドセキュリティを中心として「先セキュリティ、後の連結(Secure First, then Connect)」を実装し、信頼できるオプーン化された社会に向け、新たな一歩を踏み出すことを決心しました。

 

ペンタセキュリティのCEOの李錫雨氏は「この20年間、セキュリティに対する認識と重要度は比較できないほどに成長してきた。もう日常生活でも必要不可欠で、その存在感が高まった。」とし、「連結と共有という価値を大事に思う産業だけが持続的に成長している。連結と共有が大衆化される世の中で、先セキュリティ、後の連結原則を実装することがペンタセキュリティの役割だ。これを通じて、目の前に迫ったIoTとクラウドが普遍的道具になる社会をより強固に発展させることができる。」と言及しました。

 

今回のイベントに関する詳しい内容はこちらで確認できます。

 

Cloudbric(クラウドブリック) 

WebサイトとドメインがあればWebサイトプラットフォームにかかわらず誰でも利用できます。単にDNSを変更するだけで、わずか5分以内でクラウドブリックを適用することができます。設置や維持のためにハードウェア、ソフトウェアは必要なく、現在のホスティングプロバイダを維持できます。クラウドブリックはいつでも簡単に設定を解除できます。


製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

title_SEC_1706

ペンタセキュリティ、大阪・福岡で情報セキュリティセミナー開催

 

ペンタセキュリティ、大阪・福岡で情報セキュリティセミナー開催

@ITセキュリティ・ロドショでサイバ動向解説や
中小企業Webセキュリティにする質的な解決策の提示予定

@it_image3

データ暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、6月2日と6月30日、大阪と福岡で開かれる「@ITセキュリティセミナー 東京・大阪・福岡ロードショー」に参加することを明らかにしました。

 

@ITは、セキュリティ担当者向けのコンテンツと製品および技術に関する解説記事を提供するITセキュリティ専門媒体で、最近は企業向けの情報セキュリティ対策のを手伝うための様々なセミナーを開催しています。6月には、「@ITセキュリティセミナー 東京・大阪・福岡ロードショー」という名称で各分野の専門家がセキュリティ問題や最新の情報を伝達します。

 

ペンタセキュリティは、今回の@ITセキュリティセミナーのうち、大阪と福岡セミナーに参加します。二回のセッションで、最近のサイバー攻撃動向と企業情報セキュリティに対する誤解について説明し、これに対する代案として実質的で簡単に導入できるウェブセキュリティ対策の紹介など、企業経営者とセキュリティ担当者に役立つ情報を伝える予定です。大阪は6月2日の金曜日の午後3時45分から、福岡は6月30日の金曜日の午後3時05分から40分にわたって進行し、申込者に限って参加できます。

 

今回のセミナーでは、ペンタセキュリティのクラウド基盤のウェブセキュリティサービスであるCloudbric®(クラウドブリック)を直接試演する予定です。Cloudbric®(クラウドブリック)は、アジア・パシフィック地域のマーケットシェア1位のウェブアプリケーションファイアウォールであるWAPPLES(ワップル)の論理演算検知エンジンを搭載したクラウド基盤のWAFで、ユーザーフレンドリーで直感的なダッシュボードを通じて、ウェブサイト攻撃の現況と攻撃の発生地などの情報を簡単に確認することができます。既存の装備形態のウェブアプリケーションファイアウォールとは違って、アカウント生成とドメイン入力、DNSへの転換という3つの段階で、簡単にエンタープライズ級のセキュリティサービスを利用することができ、ヨーロッパなどのグローバル市場から大好評を得ている製品です。

 

ペンタセキュリティのCSOのDSKimは「企業を狙うセキュリティ脅威は増える一方、大手企業ではない中小企業の場合、ターゲットになるという認識がほとんどないため、事前にセキュリティ対策を整えていない企業では攻撃を受けたことすら認知することができない状況だ。」とし、「今回のセミナーを初め、企業各社の情報セキュリティ認識を強化する機会を作り、高いセキュリティを実現できるように持続的にセミナーを拡大していく計画だ。」と言及しました。

 

セミナーに関する詳しい内容はペンタセキュリティ公式ホームページ(https://www.pentasecurity.co.jp)から確認できます。

WAPPLES(ワップル)

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。


製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

bcn2

【週刊BCN】ペンタセキュリティシステムズ、法人代表のインタビューを掲載

bcn1

 

経験がなくても、斬新さで勝つ

「現実的に無理です」
そう言って一旦は断った社長の職に就き、すでに2年半が経つ。「今振り返ると、社長になってよかった」。そう思えるのは会社の支えと、自分の考えを貫く信念があるからだ。社長としての目標はもちろん、日本で売り上げを伸ばすこと。「韓国の会社も、日本でビジネスを成功させられるんだ、ということを示したい」と熱を入れる。

会社から社長の打診があったのは、日本市場でのビジネス拡大に課題を抱えていた時期。これまでの方針を大きく転換し、若手に指揮を任せて殻を破ろうと、陳貞喜に白羽の矢が立ったのだ。しかし当の本人は、これからマーケティングに取り組もうとしていたところで、営業スキルもなければ、日本の商慣習もわからない。断ったが、あれよあれよという間に社長になってしまった。

はじめはわからないことばかりで、つらいこともあったが、今はというと、「まずは仮説を立てて、やってみる。そうしていくうちにうまくいく成功体験も得た」と、楽しんでいる。「長年の経験がある人は、ここをこうすればいいというのが頭にあると思う。私の場合、逆にそれがないことが生きている。斬新さがあったからこそ、契約を結べたこともあった」と話す表情は朗らかだ。親の教育方針から、型にはまることなく、何でも自分で決めてきたという性格。「今思うと、“上がいると個性を発揮できないタイプ”だと、会社が見抜いてくれていたのかもしれないですね」。

趣味の一つがウォーキング。仕事の日は1時間をかけて、会社と家を往復する。「立てた仮説について考えを整理する時間がとれる」ことから、日本にきて以来6年間、毎日続けているという。一日の計画も反省もその間にする。そうして陳はまた新たな一日を進み、会社を成長へと導くのだ。(敬称略)

 

関連情報 – BCN Bizline https://www.weeklybcn.com/journal/face/detail/20170510_155655.html


D’Amo(ディアモ)

2004年リリースされたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,600ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

networking-1626665_1280

【コラム】順序保存暗号化(Order Preserving Encryption)は安全な暗号化か。

順序保存暗号化(Order Preserving Encryption)は安全な暗号化か。

一般の企業で会社の情報セキュリティを担当しているKさんは、このごろ悩み事が多い。個人情報保護法の遵守のため、個人情報が保存されている業務システムに暗号化製品を導入して適用しようとしている。暗号化製品を設置すれば、個人情報保護法の遵守は問題ないが、業務システムの性能が低下する可能性があり、心配が大きい。
その時、偶然「OPE」という技術を採用したという暗号化製品の広告を見ることになる。OPE技術がどのような技術かは分からないが、暗号化後にもDB検索の性能低下がないという説明が大きく伝わってくる。OPEという名前が「Order Preserving Encryption」だから、暗号化(Encryption)も性能低下も解決するということで自分の悩みを一回で解決してくれそうだ。

 

個人情報の保護のため、DB暗号化製品を導入するケースが増え、上記の話のようにOPEに対する関心が高まっている。
「OPE(Order Preserving Encryption)」は、どのような技術であり、どれほど安全なのか。個人情報保護の安全性と性能低下の克服の二兎を得る技術であるかを調べることにしよう。

 

手順を維持する暗化は根本的に危

 

DB暗号化は、個人情報保護のための必須技術と認識されている。DBサーバに暗号化を適用すると、DBサーバに保存されるデータを暗号化して保存し、データを照会する際には暗号化されたデータを復号した後に使用者に対して提供される。DBサーバは暗号化と復号のための処理演算を追加で遂行しなければならないため、速度低下が避けられない。暗号化の適用によるDBサーバの性能低下問題は、暗号化アルゴリズムの効率的な実現技術で解決できる。

DB暗号化でさらに重要な問題は、検索の索引を生成する問題である。検索の索引は、DBに保存されている膨大なデータの中から必要なデータを迅速に照会するために使用されるDB内部の追加情報である。暗号化されたデータから希望するデータを検索するには、暗号化になる前のオリジナルデータを知らなければならないため、暗号化されたデータを全部いちいち復号しなければならない。希望するデータを一つ照会するたびに、膨大なデータをすべて復号しなければならないため膨大な演算量の負担が発生するしかない。これを解決する方法のひとつが、「順序保存暗号化(Order Preserving Encryption、以下OPE)」だ。

OPEは、かなりずいぶん前から存在していた技術だ。OPEの歴史を遡ると、第一次世界大戦から使用された「One-Part Code」技術がOPEの始祖といえる。暗号化されたデータについても、DBの検索索引を容易に作れるという特長のために2000年代からDBMS業界で注目され始めた。2004年には、R.Agrawalを含め4人のIBM研究員たちが最初にOPEという用語を定義した。彼らはOPEの概念に対する数学的モデルと実現に対する方向性を提示したが、安全性に対する具体的な言及や証明をしなかった。
(参考文献:R.Agrawal、J.Kiernan、R.Srikant、and Y.Xu、「Order-preserving encryption for numeric data」、SIGMOD 2004、pp.563~574)

 

データを迅速に照会するためには、データを順に整列しておかなければならない。例えば、数百万人のマイナンバーの中から自分が探すマイナンバーが含まれているかどうかを容易に探す方法は、マイナンバーを13文字の自然数と見て大きさ順に整理しておくことだ。しかし、この方法は暗号化後には使用できない。暗号化は、オリジナルデータを予測できない任意の値に変換する過程なので、暗号化されたデータはオリジナルデータとは全く違う順番に整列されるしかない。暗号化を適用しても、暗号化したデータがオリジナルデータと同様の順番に整列されるようにしてくれる方法がOPEである。大きさが小さい順に整列された数字データ1234、3456、5678という三つの数字があると仮定する。一般的な暗号化を適用すれば、三つの暗号化された数字間の順序が巻き込まれる。OPEを適用すれば、1234の暗号が3456の暗号より前に整列されて、3456の暗号は5678の暗号よりもリードすることになる。

順序保存暗号化という名称のように、果たしてOPEは安全な暗号化だろうか。安全な暗号化は、暗号文からオリジナルデータに関するいかなる情報も得られないべきだ。OPEは、暗号文で「順序」という情報を得ることができ、これをもとに、平文を類推することができる。上記で説明した1234、3456、5678の例に戻ってみよう。1234の暗号文(A)と3456の暗号文(B)を知っていれば、暗号文Aと暗号文Bの間に整列される暗号文Cは1234と3456の間にある値から作られた暗号文であることが把握できる。この場合、暗号を解読しようとする攻撃者が1234と3456を知って、二つの数を暗号化した値(暗号文A、B)たちも知っているため、このような攻撃方法を「選択平文攻撃(Chosen Plaintext Attack;以下CPA)」という。

安全な暗号アルゴリズムは、CPA攻撃モデルを採用した攻撃者が暗号文Cがどんな数字を暗号化したかを区分できない「非区別性(Indistinguishability)」を満足しなければならないが、OPEはこれを満足しないために安全な暗号化とは言えないのだ。したがって、OPEはDES、AES、SEED、ARIAなどと同じ普通のブロック暗号化アルゴリズムと肩を並べそうな高いレベルの安全性を備えていない。世界の情報セキュリティ関連の標準でOPEを見られないことも、このような理由だ。

 

「順序保存を提供する安全な暗号化は不可能なのだろうか」


という問題を解決するために、米国のジョージア工科大学(Georgia Tech)のボルディレワ(Boldyreva)教授を含めた4人の研究者たちが2009年の研究結果を発表した。
(参考文献:A.Boldyreva、N.Chenette、Y.Lee、A.O’Neill、「Order-Preserving Symmetric Encryption」、EUROCRYPT 2009、pp.224~241.)

ボルディレワは、制限的な環境ではOPEの脆弱攻撃であるCPA攻撃をある程度のレベルまでは防御できると証明した。尚且つ、制限条件でOPEにCPA攻撃をブロック暗号化アルゴリズムと同等のレベルに防御することは現実的に不可能というのも明らかにした。つまり、単純アルゴリズムの改善だけではこれ以上の安全性を期待することは難しいということだ。

アルゴリズム自体だけではCPA攻撃から逃れることはできないので、「どう実現するのか」が業界の主要関心事として浮上している。現在、大半のセキュリティ会社がOPEの安全性を補完してくれる技術およびセキュリティデバイスをともに使用し、OPEの脆弱性を補完するために努力している。OPEと共に他の検証を受けた暗号化アルゴリズムを使用したり、順序情報のみをさらに暗号化することなどをその例に挙げられる。しかし、このような状況についてよく知らない一般人たちは、「順序の保存暗号化」という名称だけを信じてOPEを他の暗号化アルゴリズムのように安全性が高いと考えやすい。

実際、ある会社ではOPE技術の安全性を誇大に評価して業界の非難を買ったりした。したがって、OPE関連ソリューションを選択する時には、製品内にOPEの安全性を補完してくれるセキュリティデバイス及び技術があるかを調べた後製品を選択しなければならない。特に、CPA攻撃は攻撃者が暗号化システムに容易にアクセスできる時に主に発生するので、製品にこのような弱点はないかを確認しなければならない。

 

暗号化を必要とする応用は様々だ。安全度が高いレベルで要求される応用がいれば、安全度が高くなくても大丈夫な応用もあり得る。OPEの場合、安全性を一部犠牲にして性能を選んだ応用と見られる。コラムの冒頭に仮想シナリオの主人公だったKさんのように、個人情報保護を必要とする応用では、長期間検証され高い安全度を保障してくれることができる標準的な暗号化技術が必要である。OPEは、オリジナルデータの順序が暗号化後も維持されるというメリットがあるため、データ検索などでは有用な技術であることに違いないが、安全性には限界があるということを忘れてはならない。

したがって、セキュリティ業界はOPE技術を適用する場合、安定性が脆弱な部分と程度については、ユーザに正確に知らせなければならない。一方、使用者は従来のブロック暗号化アルゴリズムと同レベルの安全な暗号化を提供したりはしないということを理解して、安全度よりも性能が重要な応用に選択的に適用するようにする。それとともに、足りない安全度を補完してくれるセキュリティデバイス及び機能が製品内に搭載されているかを是非検討しなければならない。

 

hacker-1944688_1280

【コラム】 セキュリティ脅威にはアクセス制御より暗号化が効果的だ。


データベースセキュリティや情報漏えい対策において「暗号化」と「アクセス制御」はどちらがさらに重要であろうかを常に熾烈に競争してきた。

この二つは、セキュリティに対するアプローチからお互い明確に違って、長所と短所もそれぞれ違うのでユーザたちを悩ませた。
それで今回は基本の基本である暗号化とアクセス制御の長所と短所を調べて、究極的に情報保護のために使用すべきのソリューションは何だろうかを説明したい。

 

暗号化そしてアクセス制御

 

暗号化の方では、アクセス制御に比べてはるかに高いセキュリティを強調した。万が一、情報漏えい事故が発生した時にも既に暗号化されたデータなら内容だけは露出されず安全なので、暗号化こそ根本的なセキュリティ方法だというのだ。しかし、全体のセキュリティシステム構築にかかる期間が比較的長くて構築後の暗号化処理をしてみると、システム性能に影響を及ぼす可能性があるという点が短所として指摘されたりした。特に速度と安定性が強く要求される金融機関などの企業は、性能影響に対する予測が難しいという点のため、暗号化システムの導入を躊躇したりもした。

 

アクセス制御の方では、暗号化に比べて簡便な構築などの主にシステム可用性を強調した。アカウントによって情報に対するアクセス権限を付与したり遮断する方法を通じて情報漏えい事故を未然に防止する効果があるという、本来の趣旨よりかえってシステムとネットワーク性能に及ぼす影響が暗号化に比べて少ないという点を長所として広報した。名分はセキュリティ道具なのにもセキュリティに対する言及が少ないという点は、おそらく自らも短所を認める態度であろう。暗号化とシステム性能の関係に対する漠然な疑いを確実な恐怖で拡大することにもいつも先頭に立ったアクセス制御の方では今も同じ立場を取っている。

 

暗号化とアクセス制御は、長年の競争を通じて鍛えられた。相手を反面教師にして、自分の短所を克服し、自分の強みをより引き上げようとする努力をしてきた。そして、もう双方いずれも十分に鍛えられたようだ。
二つの間の優位を冷静に判断する時になったという話だ。

 

まず、暗号化は、これまで金融機関などのシステム性能と速度そして安定性などに非常に敏感な現場に進入することによって、既存にやや不足していると評価されたシステム可用性の問題を確実に克服したという事実を証明した。アプライアンス一体型の方式の導入など、ソフトウェアとハードウェアを含めた不断の努力を通じて短所と指摘されてきた速度の問題も完全に解決した。その結果、今は誰もが「暗号化は、セキュリティレベルは高いとはいえ、速度が遅いのが問題」と言わないようになった。

 

一方、アクセス制御は長所の広報をより強化する方向を選択した。「アクセス制御のハードウェア一つだけ設置すれば、たった数日にすべてのセキュリティ問題がきれいに解決される。」という言葉は、企業のセキュリティシステム構築の担当者なら誰でも一度は聴いてみたような広報セリフだ。少しだけ集中して聞いてみると、主客が転倒した言葉であるという事実をすぐ気付くかもしれないが、一応聞いたところでは結構良さそうに聞こえるし、かなり効果的だった。そして暗号化を代替できるとし、データマスキング機能などを自慢したりもするが、情報セキュリティ専門家たちはこれを話にならない無駄な迷信に過ぎないと言う。

 

情報を保護するための究極のソリューションとは

 

もう暗号化とアクセス制御の競争1次戦は終了したようだから、企業が保有した貴重な資産である情報を保護する究極のソリューションは何なのか、判定する時である。

 

ほとんどのセキュリティ政策の場合、「情報が絶対流出されないこと」を大前提にしようとする傾向がある。流出を根本的に遮断するとし、数多くの道具と方法を動員したにもかかわらず相次いで発生した大規模の情報漏えい事故を考えて見ると、非常に深刻な弱点を内包している単純な危機管理論理に過ぎない。誠に残念な話だが、情報は流出されるものだ。情報はさらに広く、急速に広がっていく性質を持っているので、いくら防ごうとしても、人の力で防げるものではない。情報流出は、もしかしたら必然だ。それが情報の固有の性質だから。

 

結局、情報セキュリティはただセキュリティのレベルの高低によって判断されなければならない。それも、情報はいつでも流出される可能性があるという前提の下、流出を防ぐために最善を尽くすべきだが、万が一、情報が流出された状況でもきちんと備えなければならない。その必要と危険性は、今まで起きた様々な事件事故がすでに証明している。暗号化は、意味があって価値を持っている情報を変形して、無意味で価値のないビットに置き換えることにより、情報窃盗を狙う目的そのものを根本的に破壊させる事故防止の抑止力だ。同時に情報が既に流出された状況でも情報の内容が露出される最悪の事態だけは発生しないようにする最終兵器そして究極の兵器だ。

 

例えると黄金を無価値な石に変えることだろう。金を狙う者は多いが、石を狙う者はない。ただ元の状態への変換のための鍵、つまり暗・復号化のための暗号鍵を知っている者だけが石を再び金に変えることができる。誰が暗号化鍵を持つのかをあらかじめ指定することによって、情報アクセス権限を管理するという点から見ると、鍵管理を適切に運用するなら、これはアクセス制御方式が提供するセキュリティをすでに含めているに違いない。したがって、暗号化とアクセス制御競争1次戦が優劣をつけることができない勝負であったら、第2戦は、暗号化の圧倒的勝利だと予想している。 あらゆる情況がそうだ。

 

 

profile

ペンタセキュリティ、セキュリティソリューション販売会社「システムプラザ」とパートナーシップ締結

 

ペンタセキュリティ、

セキュリティソリューション販売会社「システムプラザ」とパートナーシップ締結

暗号化ニーズが高まったIT市場でDB暗号化ソリューションD’Amoの供給拡大の見込み

データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が11月24日、システムプラザ株式会社(以下システムプラザ)とのパートナーシップを締結し、暗号化ソリューションD’Amo(ディアモ)の供給を本格的に拡大することを明らかにしました。

 

今年の1月から「特定の個人を識別するための番号の利用等に関する法律(通称マイナンバー制度)」の施行とともに、2020年東京オリンピック・パラリンピックの開催を控えて、信用取引セキュリティ環境の整備を目標とした「クレジットカードの取引のセキュリティ対策の強化を向けた実行計画」を発表し、情報保護に対した高まった関心を表したことがあります。また、6月にはJTB情報漏えい事故で約793万人の個人情報が流出され、データベースセキュリティ対策お重要性に対する認識が高待っている傾向です。

 

こうした中、情報セキュリティ専門企業であるペンタセキュリティがITセキュリティソリューション販売会社であるのシステムプラザとパートナーシップを締結しました。システムプラザは、化学および食品産業などの製造業のための基幹業務パッケージの開発・販売・コンサルティングなどを提供する企業で、エンドポイントのための情報セキュリティソリューションの流通をしてきて、最近高まる暗号化ソリューションへのニーズに応えるためにペンタセキュリティとパートナーシップを締結して、ペンタセキュリティの暗号化ソリューションでD’Amo(ディアモ)を本格的に供給することにしたものです。

 

今回のパートナーシップ締結を通じて、日本に本格的に供給を拡大する予定であるペンタセキュリティのD’Amoは、2004年商用化されたDB暗号化ソリューションとして全世界の約3,600の構築実績を持っており、OracleとMicrosoft SQL Serverなどの代表的なDBMSだけでなく、ERPソリューションのSAPにも暗号化を提供しており、優れた性能を認められています。この10月には、アメリカの情報技術研究および諮問機関であるガートナーが発表した「2016 Gartner Hype Cycle for Data Security報告書」でデータベース暗号化(Database Encryption)および形態保存暗号化(Format-preserving Encryption)技術を保有しているベンダとして紹介されました。

 

ペンタセキュリティのCTOのDSKimは、「日本でも持続的に暗号化ソリューションに対する需要が発生していたが、繰り返される大規模の情報漏えい事故以後、暗号化ソリューション導入の必要性を痛感した企業が大きく増えた。」とし、「システムプラザが持っているインフラを通じて、製造業分野の顧客を中心に期間業務パッケージ暗号化の供給を拡大する予定である。」と言及しました。

 D’Amo(ディアモ)

2004年リリースされたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,600ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

GI (1)

【コラム】 企業経営を脅かすITセキュリティ。答えは、実用主義暗号化

企業経営において最も大きなリスクは、伝統的にいつも「経済の不確実性」だった。しかし、最近「ITセキュリティのリスク」が話題になり、企業経営において最も大きなリスクとして1位と挙げられるようになった。経営の一線もこのようなリスクに対し、不安を訴える場合が多くなっている。

不確実性のせいで発生する問題は、たいてい企業が自ら感受したら終わらせることができることだったし、かつてからあったから、まるで空気のように当たり前に感じられるが、新型リスクであるサイバー脅威は、不慣れさのためなのか、気まずくてまた不便だ。さらに、その勢いもまた激しくなっていて、問題が起こるとマスコミからも会社を崩す勢いで連日報道するから、収拾も難しくて到底手に負えないという文句が出ている。

ITセキュリティ事故は、持続されなければならないビジネスの連続性を害し、投資者に悪影響を及ぼすだけでなく、深刻な場合、社会的な混乱を引き起こし、災害レベルの経済活動の麻痺、そして企業活動の停止にまでつながったりもする。IT危機の対応能力は、企業の最も重要な資産であり、成功企業のコアコンピタンスだという認識は、もはや必需的な事項になった。従って、従来の危機管理方法を再検討し、新しいアプローチを探さなければならない。

 

ITセキュリティ理解の核心

 

経営者の立場から見るとITセキュリティの最も深刻な問題は、難解さではないだろうかと思う。いくら集中して聞いてみても、いったい何を言っているのかが分からない。到底理解できない。本を探してみても、技術者ぐらいになったらやっと読める完全な技術書でなければなんの役にも立たない、余計な言葉だけを述べている書籍だらけだから学びたくても学ぶことができないのだ。このような事情のため、経営と技術の間にギャップは徐々に広がるし、その隙を狙った犯罪者と詐欺師だけたくさん集まって、各種の事件や事故は絶えない。

ITセキュリティを完全に理解することは、実はとても難しいことだ。数多くの重要要素をいろいろな側面から見て検討しなければならず、技術だけでなく、技術以外の領域に至るまで完全な知識で武装しなければならない。しかし、他の分野と同じくITセキュリティにも柱の役割をする中心がある。重要な脈絡の流れを把握して全体を見る観点を持つようになると、その難解なITセキュリティが明瞭な一つのイメージとして浮かべることを体感できる。

ITセキュリティ技術の理解の最も重要なポイントは、まさに暗号技術である。暗号化は、ITセキュリティの始まりであり、最後と言えるほど重要な要素である。暗号技術を中心にITセキュリティの知識と観点を繋ぐことにより、総体的な観点を持つようになれば、簡単にITセキュリティ全体の姿を眺めることができるだろう。

 

「いや、ITセキュリティ技術の核心は、アンチウイルスやファイアウォールではないか?」

 

違う。暗号技術である。より詳しく調べてみよう。

 

ITセキュリティの二つの方法論

 

ITセキュリティ分野は、難解で巨大に見えるが、その方法は簡単に二つに分けることができる。「脅威からの防御」と「安全なシステムの設計および実装」である。これは、人間が健康を守る二つの方法と比較してみたらすぐ理解できる。

「脅威からの防御」は、すでに作られた既存システムをよく守るための方法である。アンチウイルス、侵入検知・防御、脆弱性点検システムなどがこれに該当する。体が痛いなら、病院に行って治療を受けて注射を受けて薬を飲むのと同じだ。当然、取るべき措置だ。しかし、企業のネットワークセキュリティは、いくら最善を尽くしても結局攻撃にやられてしまう。

例えば、最近マスコミからよく登場する「APT攻撃」は、本当にうんざりするほどのしつこい攻撃である。少しずつシステムに侵入し、結局は全体を掌握してしまう。現在、数多くのAPT防衛システムが販売されているが、正直言うとまともなシステムは一つもない。大げさではなくて、本当にない。

一方、「安全なシステムの設計および実装」は、より根本的な方法である。問題が発生すれば、それに対応するのではなく、最初からシステムを安全に設計して、実現することだ。健康な生活のために毎日運動したり、バランスが取れた栄養素を摂取するなどの「健康に良い習慣」と似ていると言える。

ここで「安全」という言葉は、ユーザーが正常的な方式でアクセスして、統制された権限システムの中で情報を閲覧し、これに対する監査情報が記録されるシステムの存在を意味する言葉である。言い換えて、ITシステムが常識的なレベルで合理的に運営されることを意味する。こうした「安全なシステムの設計および実装」という、根本的に問題を解決するための方法を自由自在にすることにおいて必ず必要な道具がまさに「暗号化」である。適合なユーザーであろうかを認証し、非正常的なアクセスがある場合は情報を隠して、権限のある人には情報が閲覧できるようにする。また、監査情報に対する整合性を保障してくれる。つまり、合理的なシステムの動作を保障し、証明するコア技術である。

システムを設計段階から安全に実装したことは、セキュリティに最善をつくしたことを証明する証拠となる。したがって、万一の場合、セキュリティ事故が発生しても処罰されない根拠となる。根本的な問題解決の努力をしたから「脅威からの防御」方法に比べて、責任免除の法的な根拠もより充実している。したがって、技術的に見ても、経営的に見ても、「安全なシステムの設計および実装」は「脅威からの防御」に比べ、優れると言える。究極的なセキュリティ概念によって、発展して進化する方向性と見ることもできる。

ITセキュリティ問題から自由でいたいなら安全なシステム構築、つまり暗号化しなければならない。

 

用主義暗化の必要性

 

安全なシステムの実装があんなにも重要であるのに、どうしてほとんどの人たちはITセキュリティと言えば「脅威からの防御」だけを思い浮かべるのか。それは、攻撃と防御状況がまるで一枚の絵のように描かれて、直観的に理解することが容易だからである。実際に、比較的には簡単な技術でもある。これは言い換えれば、「安全なシステムの設計および実装」が難しいからである。その中でも、暗号技術は特に複雑で難しい。最も重要な技術が難しいから接近も難しくなる。それで、アンチウイルスやファイアウォールのようにすぐ処方できる方法だけを見るようになるのだ。

セキュリティ技術、特に暗号化と関連されている知識を学ぶのはかなり難しく感じられる。活字化されている知識体系もまともに整えていなくて、数冊の本を同時に読みてこそやっと核心原理を理解できる。しかも、ほとんどの本が非常に厚くて、現場では使われない、余計な話もたくさん書かれてある。だから、あちこちに散らばっている知識を有機的に繋げるのは読者が直接しなければならないが、これはとても難しいことだ。しかし、技術をきちんと理解するためには、その高い壁を超えるしかない。そのため、しっかりとした技術者の数が少ないものだ。

しかし、考えを変えてみよう。暗号技術自体を原論的に理解するのと、企業現場で十分なセキュリティのために暗号技術を理解することは全く違う問題である。つまり、ITセキュリティに対する洞察を得るためにはコンピューティング(Computing)とネットワーキング(Networking)知識の上、セキュリティ知識を積まなければならない。コンピューティングやネットワーキングというテーマを完璧に理解することは非常に難しいことだが、十分なセキュリティ性を達成するためのレベルでコンピューティングやネットワーキングの原理を理解することは、相対的に容易なことであろう。

同様に、暗号技術自体は難しいが、安全なシステムを作り上げるために暗号技術をどうやって活用するかを学ぶことは、さほど難しくない。そして、企業現場ではそのレベルぐらいの理解でも十分だ。結局、目的は暗号制作えではなく、「セキュリティ」だからだ。実用的に暗号技術を理解しようとする目的は、安全なシステムの設計および実装するためであり、完全に新しい暗号アルゴリズムを作る事ではない。

これを既存の学術的な暗号化理論と比べるために「実用主義暗号化」と呼びたい。実用主義暗号化は切実だ。安全なシステム設計および実装において最も重要な技術だからだ。

 

安全なシステムの設計および

 

安全なシステムの重要性を見るために、韓国のケースを見てみよう。韓国は、短い間、社会全般にIT技術を融合することで、いわゆる「IT強国」になった。現在、韓国は日常のすべてのことがIT技術に基盤して行われている。非常に便利だが、その過程でシステムをむやみに設計・運営してしまい、まともな情報セキュリティは果たせなかった。

これは、セキュリティを眺める近視眼的な観点のせいだ。その結果、システムが発展する過程でセキュリティ的な重要度によってきちんと情報が分類されなかった。一般情報か重要情報か、識別情報か認証情報か、公開情報か秘密情報かを厳格に区分して、データベースを設計して体系的に管理することがセキュリティの始まりだ。しかし、韓国のほとんどのシステムではデータを入り混ぜて管理している。文書上では、情報分類及びセキュリティレベル管理などの指針があるが、現実の環境ではこれはとても難しいことだった。企業だけでなく、国家行政的にも情報システムの運営において体系的なセキュリティが行われなかった。そして、大型事故が相次いで発生した。全体人口数よりもはるかに多くの個人情報が一気に流出される笑えない事故も起こっている。それも非常に頻繁に!

これは、ITセキュリティの問題においては見本としてちょうど良い例ではないかと思う。

実用主義暗号化を通じて、安全なシステムの設計および実装を成し遂げることを願う。

 

 

profile

ペンタセキュリティ、ガートナーHype Cycleに紹介されたDB暗号化ソリューションD’Amoで日本展開を本格化

 

g

 

ペンタセキュリティ、

ガートナーHype Cycleに紹介されたDB暗号化ソリューションD’Amoで日本展開を本格化

DB暗号化および形態保存暗号化(FPE)技術を活用したD’Amoの日本提供を本格的に拡大する予定

 

データベース暗号化とWebセキュリティ専門企業ペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳貞喜、http://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は10月04日、米国のIT分野調査・助言企業であるGartner(以下ガートナー)が発表する2016 Gartner Hype Cycle for Data Security報告書でデータベース暗号化(Database Encryption)および形態保存暗号化(Format-preserving Encryption、以下FPE)技術部門で紹介されたことを明らかにしました。

ガートナーは、米国の情報技術研究および諮問機関として認知度が高くて、信頼されている市場調査機関です。ガートナーでは、技術の発展および技術成熟度を5つの段階として示したGartner Hype Cycle for Data Security報告書(以下Hype Cycle)を1995年から毎年発刊し、新技術を紹介しています。昨年から全世界的に大規模のデータ漏えい事故が発生し、データセキュリティ及び暗号化技術に対する需要が急増した中で、ペンタセキュリティがデータベース暗号化ソリューションD’Amoを通じて、データベース暗号化(Database Encryption)及びFPE技術部門でSample VendorとしてHype Cycleに紹介されたものです。

ペンタセキュリティのDB暗号化ソリューションD’Amoは、FPE技術を使用しており、データの形式や長さを維持したまま、暗号化しなければならない特殊な場合に導入が可能なソリューションです。FPE技術は、米国国立標準技術研究所(NIST) でこの技術を利用したアルゴリズムを標準として指定するなど活性化され