Posts

[펜타시큐리티] PALLET X

セキュリティ専門企業のペンタセキュリティ、事業者向けの仮想通貨ウォレット「PALLET X」を発売

セキュリティ専門企業のペンタセキュリティ、

事業者向けの仮想通貨ウォレット「PALLET X」を発売

IoT・クラウド・ブロックチェーンセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳・貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、韓国本社、ヒューストン/米国法人)が3月21日、事業者向けの仮想通貨ウォレットである「PALLET X(パレット・エクス)」の発売により、国内はもちろん、グローバル市場の攻略を本格化することを明らかにした。

<ペンタセキュリティの企業向け仮想通貨ウォレットのPALLET X(パレット・エクス)>

仮想通貨取引は、ユーザの個人鍵と公開鍵を使用して行われる。仮想通貨の取引環境で最も強力な脅威が鍵奪取であるだけに、鍵を生成して安全に保管すること、すなわち鍵管理が仮想通貨セキュリティの核心である。

今回発売されたペンタセキュリティの「PALLET X(パレット・エクス)」は、金融機関レベルのセキュリティを充足した企業向けの仮想通貨ウォレットであり、仮想通貨取引の際、使用される鍵生成やユーザ認証等の鍵にかかわる全プロセスを外部からアクセスができない信頼実行環境(Trusted Execution Environment 、TEE)で処理する。また、これまで多くの仮想通貨取引所で問題になった、1つの鍵でウォレットを管理することを解決するためにマルチシグ(Multi-Signature)機能を導入し、多種のユーザ認証によるウォレット管理機能を提供する。これにより、企業の業務環境に合わせた構造を反映することができた。マルチシグは、ウォレットにアクセスするために、複数の鍵が必要であるため、取引所の破産やサーバハッキングのような外部攻撃から仮想通貨資産を安全に保管することができ、最近注目されている技術である。

ペンタセキュリティのCSOのDS KIMは、「PALLET X(パレット・エクス)から始めとし、日本市場で紹介されるPALLET(パレット) は、ペンタセキュリティが提供する全仮想通貨ウォレットを併せる製品ブランドである。独自開発のウォレットフレームワークである’Penta Crypto Wallet Framework(PCWF)’をベースとし、ホットウォレット(Hot Wallet)とコールドウォレット(Cold Wallet)を全てサポートしており、モバイル/カード/ハードウェア/チップ等の形で提供する。」とし、「これにより、個人と企業は状況に合わせて選択することができる。今年は、機関の投資家たちが容易に仮想通貨投資に参加できるよう、仮想通貨カストディ(資産管理)サービスである’Penta Crypto Custody Platform’も発売する予定だ。」と述べた。

■ ペンタセキュリティシステムズ

ペンタセキュリティは創業22 年目を迎えた情報セキュリティ専門企業であり、DB 暗号化・Webセキュリティ・認証セキュリティなどの企業情報セキュリティのための製品やサービスを研究・開発し、優れたセキュリティを認められた。優秀な技術力を基にし、国内はもちろん、海外市場でも技術力を認められ、多数受賞している。IoTセキュリティやコネクテッドカー向けのセキュリティ関連技術の開発にも力を注いており、最近はブロックチェーン研究所を新設し、ブロックチェーン技術を活用した製品およびサービスの商用化に集中している。

PALLET(パレット)

PALLETは、「Penta CryptoWallet」の略語で、ペンタセキュリティが提供する全仮想通貨ウォレットを併せる製品ブランドです。独自開発したウォレットフレームワークを基盤とし、ホットウォレット(Hot Wallet)とコールドウォレット(Cold Wallet)を全てサポートします。なお、モバイル/カード/ハードウェア/チップ等の形で提供し、個人と企業の状況に合わせて選択できます。


本件に関するお問い合わせ
ペンタセキュリティシステムズ株式会社
E-mail : japan@pentasecurity.com
TEL : 03-5361-8201

profile

「2017年10月号」企業が注意すべき2017情報​セキュリティ10大脅威、対策備えは?!

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■□■ ペンタセキュリティシステムズ メールマガジン 2017/10/31 ■□■

https://www.pentasecurity.co.jp

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

目次

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】Security Days Fall 2017でセキュリティ脅威動向と対策を丸ごと解説!

【02】OSS DB暗号化ソリューション 「MyDiamo(マイ・ディアモ)」、PostgreSQL

暗号化を提供開始

【03】最新Web脆弱性トレンドレポート2017年9月号公開

【04】【ニュース】不正アクセスでの個人情報およびカード情報がそのまま漏洩?

【05】今月のコラム「2017年自動車サイバーセキュリティの現状」

【06】企業が注意すべき2017情報セキュリティ10大脅威、対策は?

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】Security Days Fall 2017でセキュリティ脅威動向と対策を丸ごと解説!

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティがSecurity Days Fall 2017に参加いたしました。SecurityDays

Fallは、最新の脅威動向とセキュリティ対策に対して解説するイベントで、東京と

大阪で開かれました。様々な情報セキュリティ関連の企業が参加し、セッションを通

じて、企業情報セキュリティ、特に最近話題になっているDDoS対策とウェブの脆弱性

や改ざん対策、クラウドセキュリティについて解説いたしました。

そこで、ペンタセキュリティは「サイバー攻撃は、セキュリティ対策に取り組んでいる

企業だけが知っている。」というタイトルで講演しました。弊社のブログでは、セミナー

内容の紹介とともにセミナーで使われた資料を無料で配布しているので、ご興味を持って

いる方々は、是非ご確認ください。

>> Security Days Fall 2017現場およびセミナー紹介はこちら

https://goo.gl/UMbhha

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【02】OSS DB暗号化ソリューション 「MyDiamo(マイ・ディアモ)」、Postgre

SQL暗号化を提供開始

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティが10月19日から当社のOSS DB暗号化ソリューションであるMyDiamo

(マイ・ディアモ)で、MySQL、MariaDB、PerconaDB対応機能に加え、PostgreSQL

DBの暗号化を提供することになりました。

オープンソースの普及および商用プログラムの保守費用を含む維持費用の負担等により、

企業のオープンソース使用率は増加していて、2012年4月、日本国内PostgreSQL関連

ベンダー及びユーザ企業が集まり、「PostgreSQLエンタープライズコンソーシアム

(PGECons)」を発足しました。

近年の情報漏えいによるセキュリティへの危機感からPostgreSQLに特化した暗号化

ソリューションのニーズが高まり、 MyDiamo(マイ・ディアモ)のラインナップとして

PostgreSQL暗号化を追加しました。より詳しい内容は、下記のプレスリリースを

ご参照ください。

>> プレスリリース全文はこちら

https://goo.gl/jMNp9V

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【03】最新Web脆弱性トレンドレポート 2017年9月号

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとに

したトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連の

オープン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュあ

リティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成さ

れています。

【概要】

2017年9月に公開されたExploit-DBの脆弱性報告件数は、総72件であり、その中でSQL

インジェクションが62件で最も多い件数で発見されました。9月に公開されたSQLイン

ジェクション脆弱性は、攻撃実行の難易度が低い方に分類されました。この攻撃は、

オンライン検索を通じてダウンロードできる攻撃ツールの使い方さえ知れば、低いレベル

の難易度で誰にでも手軽に悪用できます。

ですが、SQLインジェクション脆弱性は、低い攻撃難易度持つ同時に高いレベルの危険度

に分類されました。幸いに、ほとんどのSQLインジェクション攻撃は、Webアプリケー

ションファイアウォール通じて簡単に対応できます。よって、持続的なセキュリティを

維持するためには、Webアプリケーションファイアウォールとセキュアコーディングを

活用した多層防御を具現する必要があります。

 

>> 最新Web脆弱性トレンドレポート全文はこちら

無料ダウンロード: https://goo.gl/s4AQ8u

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【04】【ニュース】不正アクセスでの個人情報およびカード情報がそのまま漏洩?

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

最近、不正アクセスによる個人情報漏えいに関するニュースが連日報道されて

います。企業の情報を狙う不正アクセスにより、顧客の機密情報やクレジットカード

情報などの敏感な情報が流出されながら、企業が受けている被害件数も増加しています。

特に、最近ターゲットとして狙られているのは、EC系のサイトです。それで今回は、

9月と10月発生した「不正アクセスによって被害を受けた日本国内のECサイト被害事例」

を調べて、ECサイトでの情報セキュリティ対策を紹介します。

 

>>ニュースまとめ全文はこちら

https://goo.gl/61mK9P

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【05】今月のコラム「2017年自動車サイバーセキュリティの現状」

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

毎月ペンタセキュリティの R&D センターからコンテンツ作成し、配信している

セキュリティコラムを紹介いたします。

【概要】

自動車ITセキュリティは、大衆の興味を集めるテーマである。よく知られている致

命的なハッキング事件があった自動車メーカーだけでなく、潜在的にこのような可能性

を持っている自動車製造業者も、今後の自動車産業がどんな姿であろうかを予測するた

めに、素早く動いている。2017年現在、こういう動きは私たちにどういう意味であろうか。

——————————————————————————————————-

時代の発展により、自動車とインターネットの結合であるコネクティッドカーに対する

人々の興味も高くなっています。今回はIT業界でエバンジェリストとして活躍している

筆者が日本の自動車製造会社の役員たちとの交わした会話を通じて、今後の自動車や

自動車セキュリティに対して紹介します。詳しい内容は、本コラム

からご確認ください。

 

>>コラム「2017年自動車サイバーセキュリティの現状」全文はこちら

https://goo.gl/bYZdvX

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【06】企業が注意すべき2017情報セキュリティ10大脅威、対策は?

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

近年、ネットワーク環境の変化がさらに高速化している中、特に企業を取り巻く情報

セキュリティ環境も急速に変化しており、中小・中堅企業から大手企業まで組織の規模

を問わず日々発生している個人情報漏えい事故や不正アクセスによる被害が増大してい

ます。企業としてはセキュリティ対策が不可欠な課題です。

それで、日本の情報処理推進機構(IPA)で発表した「2017情報セキュリティ10大脅威」

を紹介し、企業はどう対策していくべきか、そして情報セキュリティのためにどういう

ソリューションが必要であろうかについて解説いたします。

 

目次は、以下の通りです。

(1) 2017情報セキュリティ10大脅威とは?

(2) 企業・組織における情報セキュリティ10大脅威

(3) 企業の情報セキュリティのためには?

① WAFの必要性

② WAFの種類別メリットやデメリット

③ クラウド型WAF、Cloudbric(クラウドブリック)

>>「企業が注意すべき2017情報セキュリティ10大脅威、対策は?」全文はこちら

https://goo.gl/iq6s23

 

*クラウドブリック(Cloudbric)

アジア・パシフィック地域のマーケットシェア1位のウェブアプリケーション

ファイアウォールであるペンタセキュリティのワップル(WAPPLES)の論理演算

検知エンジンエンジンを活用したクラウド型WAFサービスです。

 

▼ クラウドブリック(Cloudbric)に関する詳細情報はこちら ▼

≫≫ https://goo.gl/pGauEA

≫≫ https://goo.gl/dk4Ltp

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■ 製品・パートナシップに関するお問い合わせ

ペンタセキュリティシステムズ株式会社 日本法人

Tel:03-5361-8201 / E-mail: japan@pentasecurity.com

 

■ 本件に関するお問い合わせ

ペンタセキュリティシステムズ株式会社

Tel:03-5361-8201 / E-mail: mkt1@pentasecurity.com

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

GI (1)

【コラム】 企業経営を脅かすITセキュリティ。答えは、実用主義暗号化

企業経営において最も大きなリスクは、伝統的にいつも「経済の不確実性」だった。しかし、最近「ITセキュリティのリスク」が話題になり、企業経営において最も大きなリスクとして1位と挙げられるようになった。経営の一線もこのようなリスクに対し、不安を訴える場合が多くなっている。

不確実性のせいで発生する問題は、たいてい企業が自ら感受したら終わらせることができることだったし、かつてからあったから、まるで空気のように当たり前に感じられるが、新型リスクであるサイバー脅威は、不慣れさのためなのか、気まずくてまた不便だ。さらに、その勢いもまた激しくなっていて、問題が起こるとマスコミからも会社を崩す勢いで連日報道するから、収拾も難しくて到底手に負えないという文句が出ている。

ITセキュリティ事故は、持続されなければならないビジネスの連続性を害し、投資者に悪影響を及ぼすだけでなく、深刻な場合、社会的な混乱を引き起こし、災害レベルの経済活動の麻痺、そして企業活動の停止にまでつながったりもする。IT危機の対応能力は、企業の最も重要な資産であり、成功企業のコアコンピタンスだという認識は、もはや必需的な事項になった。従って、従来の危機管理方法を再検討し、新しいアプローチを探さなければならない。

 

ITセキュリティ理解の核心

 

経営者の立場から見るとITセキュリティの最も深刻な問題は、難解さではないだろうかと思う。いくら集中して聞いてみても、いったい何を言っているのかが分からない。到底理解できない。本を探してみても、技術者ぐらいになったらやっと読める完全な技術書でなければなんの役にも立たない、余計な言葉だけを述べている書籍だらけだから学びたくても学ぶことができないのだ。このような事情のため、経営と技術の間にギャップは徐々に広がるし、その隙を狙った犯罪者と詐欺師だけたくさん集まって、各種の事件や事故は絶えない。

ITセキュリティを完全に理解することは、実はとても難しいことだ。数多くの重要要素をいろいろな側面から見て検討しなければならず、技術だけでなく、技術以外の領域に至るまで完全な知識で武装しなければならない。しかし、他の分野と同じくITセキュリティにも柱の役割をする中心がある。重要な脈絡の流れを把握して全体を見る観点を持つようになると、その難解なITセキュリティが明瞭な一つのイメージとして浮かべることを体感できる。

ITセキュリティ技術の理解の最も重要なポイントは、まさに暗号技術である。暗号化は、ITセキュリティの始まりであり、最後と言えるほど重要な要素である。暗号技術を中心にITセキュリティの知識と観点を繋ぐことにより、総体的な観点を持つようになれば、簡単にITセキュリティ全体の姿を眺めることができるだろう。

 

「いや、ITセキュリティ技術の核心は、アンチウイルスやファイアウォールではないか?」

 

違う。暗号技術である。より詳しく調べてみよう。

 

ITセキュリティの二つの方法論

 

ITセキュリティ分野は、難解で巨大に見えるが、その方法は簡単に二つに分けることができる。「脅威からの防御」と「安全なシステムの設計および実装」である。これは、人間が健康を守る二つの方法と比較してみたらすぐ理解できる。

「脅威からの防御」は、すでに作られた既存システムをよく守るための方法である。アンチウイルス、侵入検知・防御、脆弱性点検システムなどがこれに該当する。体が痛いなら、病院に行って治療を受けて注射を受けて薬を飲むのと同じだ。当然、取るべき措置だ。しかし、企業のネットワークセキュリティは、いくら最善を尽くしても結局攻撃にやられてしまう。

例えば、最近マスコミからよく登場する「APT攻撃」は、本当にうんざりするほどのしつこい攻撃である。少しずつシステムに侵入し、結局は全体を掌握してしまう。現在、数多くのAPT防衛システムが販売されているが、正直言うとまともなシステムは一つもない。大げさではなくて、本当にない。

一方、「安全なシステムの設計および実装」は、より根本的な方法である。問題が発生すれば、それに対応するのではなく、最初からシステムを安全に設計して、実現することだ。健康な生活のために毎日運動したり、バランスが取れた栄養素を摂取するなどの「健康に良い習慣」と似ていると言える。

ここで「安全」という言葉は、ユーザーが正常的な方式でアクセスして、統制された権限システムの中で情報を閲覧し、これに対する監査情報が記録されるシステムの存在を意味する言葉である。言い換えて、ITシステムが常識的なレベルで合理的に運営されることを意味する。こうした「安全なシステムの設計および実装」という、根本的に問題を解決するための方法を自由自在にすることにおいて必ず必要な道具がまさに「暗号化」である。適合なユーザーであろうかを認証し、非正常的なアクセスがある場合は情報を隠して、権限のある人には情報が閲覧できるようにする。また、監査情報に対する整合性を保障してくれる。つまり、合理的なシステムの動作を保障し、証明するコア技術である。

システムを設計段階から安全に実装したことは、セキュリティに最善をつくしたことを証明する証拠となる。したがって、万一の場合、セキュリティ事故が発生しても処罰されない根拠となる。根本的な問題解決の努力をしたから「脅威からの防御」方法に比べて、責任免除の法的な根拠もより充実している。したがって、技術的に見ても、経営的に見ても、「安全なシステムの設計および実装」は「脅威からの防御」に比べ、優れると言える。究極的なセキュリティ概念によって、発展して進化する方向性と見ることもできる。

ITセキュリティ問題から自由でいたいなら安全なシステム構築、つまり暗号化しなければならない。

 

用主義暗化の必要性

 

安全なシステムの実装があんなにも重要であるのに、どうしてほとんどの人たちはITセキュリティと言えば「脅威からの防御」だけを思い浮かべるのか。それは、攻撃と防御状況がまるで一枚の絵のように描かれて、直観的に理解することが容易だからである。実際に、比較的には簡単な技術でもある。これは言い換えれば、「安全なシステムの設計および実装」が難しいからである。その中でも、暗号技術は特に複雑で難しい。最も重要な技術が難しいから接近も難しくなる。それで、アンチウイルスやファイアウォールのようにすぐ処方できる方法だけを見るようになるのだ。

セキュリティ技術、特に暗号化と関連されている知識を学ぶのはかなり難しく感じられる。活字化されている知識体系もまともに整えていなくて、数冊の本を同時に読みてこそやっと核心原理を理解できる。しかも、ほとんどの本が非常に厚くて、現場では使われない、余計な話もたくさん書かれてある。だから、あちこちに散らばっている知識を有機的に繋げるのは読者が直接しなければならないが、これはとても難しいことだ。しかし、技術をきちんと理解するためには、その高い壁を超えるしかない。そのため、しっかりとした技術者の数が少ないものだ。

しかし、考えを変えてみよう。暗号技術自体を原論的に理解するのと、企業現場で十分なセキュリティのために暗号技術を理解することは全く違う問題である。つまり、ITセキュリティに対する洞察を得るためにはコンピューティング(Computing)とネットワーキング(Networking)知識の上、セキュリティ知識を積まなければならない。コンピューティングやネットワーキングというテーマを完璧に理解することは非常に難しいことだが、十分なセキュリティ性を達成するためのレベルでコンピューティングやネットワーキングの原理を理解することは、相対的に容易なことであろう。

同様に、暗号技術自体は難しいが、安全なシステムを作り上げるために暗号技術をどうやって活用するかを学ぶことは、さほど難しくない。そして、企業現場ではそのレベルぐらいの理解でも十分だ。結局、目的は暗号制作えではなく、「セキュリティ」だからだ。実用的に暗号技術を理解しようとする目的は、安全なシステムの設計および実装するためであり、完全に新しい暗号アルゴリズムを作る事ではない。

これを既存の学術的な暗号化理論と比べるために「実用主義暗号化」と呼びたい。実用主義暗号化は切実だ。安全なシステム設計および実装において最も重要な技術だからだ。

 

安全なシステムの設計および

 

安全なシステムの重要性を見るために、韓国のケースを見てみよう。韓国は、短い間、社会全般にIT技術を融合することで、いわゆる「IT強国」になった。現在、韓国は日常のすべてのことがIT技術に基盤して行われている。非常に便利だが、その過程でシステムをむやみに設計・運営してしまい、まともな情報セキュリティは果たせなかった。

これは、セキュリティを眺める近視眼的な観点のせいだ。その結果、システムが発展する過程でセキュリティ的な重要度によってきちんと情報が分類されなかった。一般情報か重要情報か、識別情報か認証情報か、公開情報か秘密情報かを厳格に区分して、データベースを設計して体系的に管理することがセキュリティの始まりだ。しかし、韓国のほとんどのシステムではデータを入り混ぜて管理している。文書上では、情報分類及びセキュリティレベル管理などの指針があるが、現実の環境ではこれはとても難しいことだった。企業だけでなく、国家行政的にも情報システムの運営において体系的なセキュリティが行われなかった。そして、大型事故が相次いで発生した。全体人口数よりもはるかに多くの個人情報が一気に流出される笑えない事故も起こっている。それも非常に頻繁に!

これは、ITセキュリティの問題においては見本としてちょうど良い例ではないかと思う。

実用主義暗号化を通じて、安全なシステムの設計および実装を成し遂げることを願う。

 

 

profile

ペンタセキュリティ、ガートナーHype Cycleに紹介されたDB暗号化ソリューションD’Amoで日本展開を本格化

 

g

 

ペンタセキュリティ、

ガートナーHype Cycleに紹介されたDB暗号化ソリューションD’Amoで日本展開を本格化

DB暗号化および形態保存暗号化(FPE)技術を活用したD’Amoの日本提供を本格的に拡大する予定

 

データベース暗号化とWebセキュリティ専門企業ペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳貞喜、http://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は10月04日、米国のIT分野調査・助言企業であるGartner(以下ガートナー)が発表する2016 Gartner Hype Cycle for Data Security報告書でデータベース暗号化(Database Encryption)および形態保存暗号化(Format-preserving Encryption、以下FPE)技術部門で紹介されたことを明らかにしました。

ガートナーは、米国の情報技術研究および諮問機関として認知度が高くて、信頼されている市場調査機関です。ガートナーでは、技術の発展および技術成熟度を5つの段階として示したGartner Hype Cycle for Data Security報告書(以下Hype Cycle)を1995年から毎年発刊し、新技術を紹介しています。昨年から全世界的に大規模のデータ漏えい事故が発生し、データセキュリティ及び暗号化技術に対する需要が急増した中で、ペンタセキュリティがデータベース暗号化ソリューションD’Amoを通じて、データベース暗号化(Database Encryption)及びFPE技術部門でSample VendorとしてHype Cycleに紹介されたものです。

ペンタセキュリティのDB暗号化ソリューションD’Amoは、FPE技術を使用しており、データの形式や長さを維持したまま、暗号化しなければならない特殊な場合に導入が可能なソリューションです。FPE技術は、米国国立標準技術研究所(NIST) でこの技術を利用したアルゴリズムを標準として指定するなど活性化されることにより、2016年のHype Cycleでも初めて登場し、企業でもFPE技術を導入する動きが急速に進んでいる状況です。

それによってペンタセキュリティでは、Database Encryption技術及びFPE技術を活用しているD’AmoやMyDiamoの日本市場への提供を本格的に展開していく計画を明らかにしました。

日本では、今年の1月から「特定の個人識別するための番号の利用等に関する法律(通称マイナンバー制度)」の施行とともに、2020年に開催される東京オリンピックを控えて国際水準のクレジット取引のセキュリティ環境を整備を目的とした「クレジットカード取引のセキュリティ対策の強化に向けた実行計画」を発表しています。それによって、日本企業ではマイナンバーおよびクレジットカード情報など敏感な個人情報を安全に保護するためのソリューションを導入する必要があると予想しています。

ペンタセキュリティのCTOのDSKimは、「最近、頻繁に起ているデータ漏えい事故によって、全世界的にデータセキュリティに対する認識が高まっており、日本でもマイナンバー情報の漏えいやクレジットカード情報流出などに対応するために努力している。」とし、「19年にわたる技術開発の経歴や約3400個のレファレンス構築経験を活かし、日本でも多様なお客様に適したセキュリティソリューションを提供していく予定だ。特に、ペンタセキュリティが提供するFPE技術は形式が決まっているマイナンバーやクレジットカード情報などのデータを安全に暗号化することができるので、今より多くの需要があると考えられる。」と言及しました。

 D’Amo(ディアモ)

2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,400ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

ペンタセキュリティのD’Amo、暗号鍵管理製品に「セキュリティー強化パッケージ」として機能アップグレード

ペンタセキュリティのD’Amo、
暗号鍵管理製品に「セキュリティー強化パッケージ」として機能アップグレード

ディアモ(D’Amo)に量子乱数発生器(QRNG)とHSM追加し、強化された鍵管理提供

データベース暗号化とWebセキュリティ専門企業ペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、6月20日、暗号鍵管理システムであるD’Amo SG-KMS(ディアモ・エスジ・ケイエムエス)に量子乱数発生器(QRNG)やハードウェアセキュリティモジュール(HSM)を追加した「セキュリティー強化パッケージ」をリリースしたことを明らかにしました。

ペンタセキュリティのD’Amo SG-KMSは、暗・復号化に使用する鍵を物理的に安全に管理できる鍵管理システムです。鍵管理は、暗号化ソリューションの構築の際、最も核心的な技術で、使用者はD’Amo SG-KMSを通じて、鍵の生成から廃棄までライフサイクルを全般的に管理し、別途の安全なところに鍵を保管することができます。セキュリティ脅威がますます増加している状況で、ペンタセキュリティはより高度化されたセキュリティが要求されることにより精巧かつ安定的な暗号化及び保存のために量子乱数発生器とHSMを追加するようになったと説明しました。

新たに追加することになった「量子乱数発生器(Quantum Random Number Generator、QRNG)」は、量子技術に基盤して純粋な乱数(True Random Number)を生成する方法で、従来の擬似乱数(Pseudo-Random Number)生成方法に比べて高いセキュリティを持っている暗号鍵の生成が可能です。乱数(Random Number)とは、完璧に無秩序な数字で、暗号化技術の核心要素です。今までは「疑似乱数」すなわち、コンピュータプログラムで作った擬似乱数を使用しました。しかし、擬似乱数の生成方法はコンピューティング技術が発展することにより乱数の予測や再現が可能になりましたし、ハッキングの危険も高まりました。しかし、量子乱数発生器を導入することにより予測することが難しくなったため、以前に生成された数字と関連されず、どんな方法でも推定が不可能な、完璧な暗号化を構築できるようになりました。

これとともに、生成された鍵を安全な場所に保管できるハードウェアセキュリティモジュール(HSM)が追加されてより安定的な鍵管理も可能です。ハードウェアセキュリティモジュール(Hardware Security Module、HSM)は、物理的な演算装置で、保存されたデータに対する偽・変造を防止できるセキュリティプロセッサーであるが、ここに保存された鍵は、ストレージまたはメモリに保管してきた既存の鍵保管方式より安全で、ハッキングも不可能です。また、物理ハードウェアなしには、利用ができないため高いセキュリティレベルで暗号化構築が可能です。

ペンタセキュリティの最高技術責任者であるDS Kimは、「D’Amo SG-KMSのセキュリティー強化パッケージは、多様化された金融サービスやモノのインターネット(Internet of Things、IoT)のセキュリティ脆弱性に完璧に対応することになろうと期待している。」とし、「D’Amoが韓国1位の暗号プラットフォームであるだけに、鍵管理システムを中心にPOS、SAPのような多様なコンポーネントに対して強力な暗号化を通じたレベルの高いセキュリティを提供する予定。」と述べました。

D’Amo(ディアモ)

 

2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,200ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

D’Amoに関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

ペンタセキュリティ、AWS Summit Seoul 2016でクラウドセキュリティソリューション紹介

ペンタセキュリティ、AWS Summit Seoul 2016で
クラウドセキュリティソリューション紹介

APN技術パートナーとしてクラウド基盤のデータ暗号、Webセキュリティ技術紹介し

データベース暗号化とWebセキュリティ専門企業ペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は5月17日、ソウルのCOEXで開催されたAWS Summit Seoul2016でAWS(Amazon Web Services)環境に特化したデータベース暗号化ソリューションD’Amo(ディアモ) for AWSと仮想化Webアプリケーションファイアウォール WAPPLES V-Series(ワップルブイシリーズ)を紹介したことを明らかにしました。

AWS Summitは、既存の顧客にはAWSを通じてより成功できるように深みのある技術コンテンツを提供し、新規の顧客には、AWSプラットフォームに対する教育を提供することを目的とするイベントであり、2016年には、ソウルをはじめ、東京、シンガポール、パリ、サンティアゴなど総37の都市で開催されています。

ソウルで開催されたAWS Summit Seoul 2016には約3,000人が参加し、ペンタセキュリティは、展示ブースを運営してアジア・パシフィック地域のマーケットシェア1位のWebアプリケーションファイアウォールであるWAPPLESをAWS環境に最適化したWAPPLESの仮想化バージョン「WAPPLES V-Series」と韓国データベース暗号化ソリューション市場1位のD’AmoをAWSのクラウド環境に最適化した「D’Amo for AWS」を紹介して、AWS環境での適用方法を教える時間を持ちました。

ペンタセキュリティは、2014年からAWS基盤の鍵管理サーバ製品であるD’Amo SG-KMSと仮想化WebアプリケーションファイアウォールWAPPLES V-SeriesをAMI(Amazon Machine Image)の形で提供しながら、APN(Amazon Partner Network)技術パートナーに登録されました。APN技術パートナーとは、AWSプラットフォームでホスティングや統合できるソフトウェアソリューションを提供する正式パートナーとして、他の企業より効率的にAWS基盤のソリューションを構築することができます。

ペンタセキュリティの最高技術責任者であるDS Kimは、「昨年と比べてAWSクラウドを利用する顧客の割合が高まり、AWS環境で適用可能なセキュリティソリューションに関するお問い合わせも増加した。」とし、「データベース暗号化ソリューションおよび仮想化Webアプリケーションファイアウォールを韓国市場では最初に発売してセキュリティ技術をリードしてきた経験を基にして、Microsoft Azure、IBM Softlayer、Google Cloud Platformなどの様々なクラウド環境でも誰もが簡単にセキュリティソリューションを適用できるように製品を最適化することに集中する予定である。」と述べました。

WAPPLES

 

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,200ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

【コラム】ファイル暗号化 VS データ暗号化

暗号化セールス現場は、苦しい戦場である。暗号化製品の紹介に先立って、「ITとは一体何か?」の講義から始めなければならない困惑した状況ももう大分慣れてきたが、相変わらず大変なことで、古代ギリシャから今日に至る「暗号の歴史」を聞かせてほしいという要請も時々聞く。それで、話をしてみても第2次世界大戦の時、ドイツの暗号機械である「エニグマ」以後は興味が冷えてしまう。そこからが本当に大事な内容なのに!

 

一般的に人たちが「暗号」という言葉に対して持つ好奇心や期待のレベルはどうも幼い頃、スパイ映画を見ながら秘密要員活動を想像した少年期にとどまっているようだ。

 

もちろん、そういう「暗号」や「暗号化」が無関係なわけではない。現代暗号化もまた、置換と移動などの古典的な暗号理論に基づいて構築された体系だから。しかし、学校ではなく実務現場ではこのような教養や常識は全く(!)重要ではない。「暗号化」は、古典的な暗号理論よりは安全なITシステムの「設計」及び「構築」のための技術だが、その事実に興味を示す顧客は非常に少ない。セールスの困難さを訴える前に、情報セキュリティの根本の根本である暗号化に対する誤解は、本当に深刻な問題ではないか?だから、下のような曖昧な質問もとてもよく聞く。

 

「ファイルを丸ごと、いや、ハードディスクを丸ごと暗号化してしまえば、いいんじゃないんですか?」

 

もちろん、このような措置が必要な時もある。世の中、どんなものであれどこかにはきっと役に立つから。しかし、ほとんどの場合「ディスク暗号化」は情報セキュリティ的に適切な措置ではなく、「ファイル暗号化」ではなく、「データ暗号化」がもっと重要な概念である。 理解のため、まずは「ファイル暗号化」とは何かから調べてみよう。

 

 

ファイル暗号化とは?

 

 

当然のことだが、「ファイル暗号化」はファイルを暗号化することである。ところで、「ファイル」は一体何? 毎日口に出している、慣れた言葉だが、こう聞かれると何だか不慣れに感じられる。「ファイル」は、意味ある情報を盛る論理的な単位だ。それで、私たちはコンピュータを使用するとき、ファイルを単位として会話する。「ファイルは何個?」 「このファイルの容量はいくら?」 「そのファイルはこのフォルダの中に入ってる。」 このようにファイルを基準として情報を保存して、分類して、管理する。 それで、ファイルという言葉にすごく慣れている。 そのため、「ファイル暗号化」という言葉も、もともと慣れていた言葉のように聞こえる。聞くだけで、それが何かを全部理解したような気がする。 しかし、「ファイル暗号化」はそんなに簡単な概念ではない。

 

私たちはファイル単位にまとめ、そこに名前を付けて閲覧と検索のためにどこに保存するかなどを決めることにより情報を管理する。それではコンピュータの内部では1)物理的保存装置、2)運営体制カーネル、3)アプリケーションなどの3つの領域でそれぞれ違う方式を通じて、ファイルを処理する。したがって、私たちがよく言う「ファイル暗号化」も、またその3つの領域でそれぞれ違う方式で行われる。これに対するより詳しい説明は本一冊ぐらいのが必要なので、今は簡単に概要だけ見てみよう。

 

しかし、1)物理的保存装置、主にハードディスクを丸ごと暗号化する「ディスク暗号化」は、現在論点から遠く離れているので一応論外としておこう。もちろん、ハードウェア暗号化が必要な場合もある。 情報セキュリティがとても致命的なところでは想像できるすべてのセキュリティ措置を一つも抜かさずすべて適用しなければならないのでその場合は、ハードウェア暗号化措置まで必要だ。例えば、核発電所とか。しかし、そのような場合でも追加または補完措置になるだけで、情報セキュリティの基本は「データ暗号化」でなければならない。

 

簡単に言って、2)運営体制カーネル領域で3)アプリケーション領域にいくほど、マネジメントの対する負担が増大する代わりに、セキュリティ性は高くなる。これは、すべての情報セキュリティ技術全体にわたって適用される一種の原理である。セキュリティを高めると、どうしても使用が不便になるのだ。言い換えれば、便利さを求めるとセキュリティ性は低くなるしかない。それにもかかわらず、便利さはとても強力な魅力なので、「ファイル暗号化」や「ディスク暗号化」製品を販売する人たちは、よくこう言う。

 

 

「ファイルやディスクを丸ごと暗号化してくれるから本当に便利です!」

本当に魅力的な話ではないか? 便利であるというものは良い事だから。しかし、適当に逃さず、こんなにまた問わなければならない。

「便利にするために暗号化するのではないじゃないですか?」

そうだ。 暗号化は、セキュリティ性を高めるためにするものである。

 

 

実際の業務現場での、ファイル暗号化の危険性

 

 

こう単純に考えてみよう。過渡な単純化に見えるだが、一応、

―ファイルは、データを盛る箱である。

―ファイルに入っているそれぞれのデータがみんな同じ危険性を持っているわけではない。

 

実際はさらに複雑な違いがあるが一応、簡単に言うと「ファイル暗号化」はデータが入っている箱を丸ごと暗号化することであり、「データ暗号化」は箱の中に入っているデータの中で必ず隠さなければならない危険なデータだけを選別して暗号化するものである。二つの方式はそれぞれの長所と短所があるが、上の「マネジメントの対する負担が増大する代わりに、セキュリティ性は高くなる。」という原理はそのまま適用される。ファイル暗号化は管理が簡単である。しかし、セキュリティ性は低い。なぜだろう?

 

ある会社に顧客情報が保存されているデータベースファイルがあるとしよう。「ファイル暗号化」方式はそのデータベースファイルを丸ごと暗号化する。言い換えれば、ファイルを使用するためには暗号化されたファイル全体を復号化して、作業が終わったらまたファイル全体を暗号化して保存することである。このような場合、危険は下の通りである。

 

 

1.使用者のミスもしくは故意で暗号化しない場合: 使用者のミスで暗号化しない場合が頻繁に発生する。暗号化すべきだということを忘れたり、ただ暗号化の手続きが面倒で、平文のままに保存する場合が多い。セキュリティ事故の大半は使用者のミスのためだという事実を忘れてはならない。使用者のミスを未然に防止して監視する装置が必要である。

 

 

2. ファイル全体の内容が平文のままでメモリに存在:ファイル丸ごと暗号化されているなら、ファイルに入った情報内容を読む時、やむを得ずファイル全体を復号化するしかない。そうなると、暗号化されていない全体平文がメモリに存在するようになって、メモリダンプなどの手法を通じたデータ漏えいの危険がある。平文露出は何があっても最小限に減らす方が良い。

 

 

3.鍵管理およびアクセス制御、セキュリティ監査などの追加的な道具必要:暗号化は暗号化だけでは無用な技術である。暗号化および復号化作業のための鍵管理及びアクセス制御、セキュリティ監査など他のセキュリティ道具が一緒に動作しなければならない。しかし、様々なものを加えると「ファイル暗号化」の最も大きい長所である単純性から離れてしまう。便利さを強調するが、結局は同く複雑になるわけである。さらに、性質が違う他の道具を一つのシステムの中に結合する技術的な危険もある。実際、暗号化というそれ自体はそんなに難しい技術ではない。前に述べたように、安全なITシステムの「設計」及び「構築」のための技術なので難しいことである。

 

 

この中で特に注目しなければならないのは“2.ファイル全体の内容が平文のままでメモリに存在”しているので発生する危険である。しかし、これはどんな暗号化方式にも同じく該当する危険である。情報を読み取るためにはメモリに平文が存在しなければいけないから。しかし、どれほどたくさんの情報をどれだけ長く露出するかによる差はかなり大きい。実際の業務現場における状況を考えてみよう。

 

 

ファイル全体を一日中平文のままに露出する暗号化?

 

 

顧客情報が保存されているデータベースファイル全体を丸ごと「ファイル暗号化」したとしよう。そうすると、ファイルの中に入っているどんな情報であれ閲覧するためにはファイル全体を復号化しなければならない。探そうとするデータがマイナンバーなどの重要な個人情報ではない場合にも全体内容をすべて露出しなければならないのだ。それでは検索、閲覧、処理などの作業を終わってからまた暗号化する時まではすべての情報がメモリ上に平文のままに放置されてしまう。顧客管理業務が多い会社であれば、職員が出勤するやいなや暗号化データを復号化して一日中全てのデータを平文の状態に露出して、帰り道に再び暗号化するとしても決して誇張ではない。

 

逆に、重要なデータだけを暗号化した場合にはどうだろうか? 「データ暗号化」は、重要データを別に暗号化して該当情報が必要な時だけ復号化して処理して、再び暗号化する。露出しても、特に危険ではない一般情報だけを開いて作業して、特定暗号化データが必ず必要な瞬間に一連の手続きを通じて、復号化して作業を終えてから再び暗号化する。上の「ファイル暗号化」に比べると、危険性への露出時間が顕著に短いのである。そして暗号化のほか、別に必要な鍵管理及びアクセス制御、セキュリティ監査などの道具も全て一つの製品として統合されて提供されるから、 異種技術結合による不安定性も非常に少ない。

 

しかし、個人が使うコンピュータで、そして企業でもどんな特需な要求のため、情報をファイル単位で区別して管理する場合がある。その時は「ファイル暗号化」も選択すべきの方法かもしれない。しかし、「ファイル暗号化」は「データ暗号化」に含まれる一部とみる方が良い。言い換えれば、「ファイル暗号化」は一部のデータをまた別のものにして暗号化する方法がないが、「データ暗号化」はファイル内容の部分もしくは全体を選択して暗号化することにより、ファイル暗号化と同じ効果を得ることができる。

 

「ファイルやフォルダを丸ごと暗号化してくれるから本当に便利です!」

そうだ。 便利だ。 しかし、「便利にするために暗号化するのではないじゃないですか?」

 

 

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,200ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

ペンタセキュリティ D’Amo、韓国初でSAP社のHANA DB認証獲得

ペンタセキュリティ D’Amo、韓国初でSAP社のHANA DB認証獲得

HANA DB環境でも安定的なSAP暗号化提供

暗号プラットフォームとWebセキュリティ企業のペンタセキュリティシステムズ (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が、 SAP暗号化ソリューションD’Amo for SAP(ディアモ・フォ・エスエイピ)が韓国初でABAP Add-On Deployment認証を獲得し、HANA DBのための暗号化サポートを公式的に認められたことを明らかにしました。SAPは、多くの企業が使用している経営および管理のための資源管理(ERP)システムとして、企業の重要な情報が含まれており、徹底したセキュリティが必要だが、データ構造や下部システムの修正が難しく、特にSAPの場合、データの長さや形式を変更することが非常に難しいため、一般的な暗号化ソリューションでは暗・復号化が不可能です。ペンタセキュリティは、高度化された暗号化技術に基づき、SAP暗号化ソリューションであるD’Amo for SAPをすでに2012年にリリースして、2014年にはSAP本社のセキュリティ認証を獲得したことがあります。今回は、SAPで自らで開発したHANA DB連動に対する認証である「ABAP Add-On Deployment Certification」を韓国初として獲得しました。この認証は、SAP社がHANA DBと当該アプリケーションの間の連動に対して検証した後、該当ソフトウェア開発社に与える認証で、まだ日本でこの認証を獲得して、HANA DBに対応できるようにした暗号化ソリューションはリリースされていません。

最近、SAP社では、従来に使用していた3rd Party DBMSの代わりに、独自で開発したHANA DB環境を適用していたので、ペンタセキュリティはSAP ERPを構築した顧客が安定的にD’Amo for SAPを使用できるようにHANA DB環境での暗号化認証を準備してきました。これを通じて、SAP HANA環境でSAPの暗号化方式である形態保存暗号化(FPE:Format-Preserving Encryption)やトークン化(Tokenization、トークナイゼーション)をさらに効果的に運営できるようになったことと共に、データの暗・復号化、アクセス制御、監査および鍵管理も安定的に提供して、SAP暗号化分野における立場をさらに強固にすることができるようになりました。

ペンタセキュリティの最高技術責任者であるDS Kimは、「SAPセキュリティは、企業の情報セキュリティにおいてかなりの割合を占めているため、昨年にSAP S/4HANAがリリースされた直後からDB環境最適化に対する認証を持続的に準備してきました。」とし、「韓国初でHANA DBとの連動を認められた分、D’Amo for SAPで高レベルのセキュリティ性を確保するSAP ERP環境を作っていく計画です。」と述べました。

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,200ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

D’Amoに関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

【コラム】ペーパーレス時代の金庫、暗号化

ペーパーレス時代の金庫、暗号化

セールスは難しい。 海外セールスは国ごとに異なる文化のため、さらに難しい。 時と場所によって地位の高い人が座る上座の位置など礼儀の形式が国ごとに異なり、さらに、会った時に握手する方法や酒席でグラスの飲み物がどれほど空いている時、お酌をしなければならないのかなど、日常的な行為の意味も国ごとに違う。なので、海外で活動するセールスマンは国家別の文化差に応じた多様なビジネスマナーを学んで、身につけなければならない。

しかし、中途半端に学ぶと、それもまた失礼になる。日本で働く外国人のセールスマンが「日本人は約束時間を非常に重要に考える」という先輩のアドバイスを聞いて「では、素早く行って待ちながら真心を示そう。」という覚悟で、約束の場所に1時間も早く到着し、日本人の顧客を待った。顧客が到着し、「早く会いたくて、1時間も早く来ました!」と自慢したら、顧客が「いや、なんでそんなことをしましたか。 じゃ、約束時間を早くするのが良かったんじゃないですか?」と開き直って反問したため、驚いて緊張しすぎて仕事を台無しにしたという話を聞いた。「約束時間を重要に思う」ということは、正確性と効率性を重要に思うという意味ということを気づかなかった文化的な誤解のエピソードである。

セールスの中でも、ITセールスほど難しいことがあるだろうか。IT製品を販売するためには、その技術がどうして重要で、どうして必要なのか、この製品を導入すれば、顧客の事業にどんなふうに、そしてどれだけ役に立つか説明するに先立って、その技術がいったい何なのかからすべてを説明しなければならない。「ITとは、一体何か!」何冊分量の内容を昼夜問わず、騒いでも足りない。それに、前述した国家別の文化差まで重なった状況に追い込まれるようになると、目の前が真っ暗になり、頭の中ががらんと空いて何も思いつかないときもある。下は、最近直接経験したことである。

マイナンバーを紙に出力して金庫に入れる?

マイナンバー暗号化ソリューションのセールス現場で、自社の製品が競争社の製品に比べて、どのような長所を持っているかを一生懸命説明していた時や直ちに顧客が「いや、私たちはそんなに難しくて複雑なのは必要ありません。マイナンバーでも何でも重要な情報は、ただの紙に印刷して金庫に入れておけば安全なんじゃないですか?」 詰った。一瞬、頭の中ががらんと空いて何も言えず、しばらくぽかんと座ってばかりいた。いや、これは一体どう説明しなければならないのか、韓国では一度も経験したことのない状況だったので、準備することもできない状況だった。

いや、韓国でも15年前には、ソフトウェアのソースコードなどの情報を紙に出力して金庫に保管したりした。今は、そうせず、すべて適切なセキュリティ装置とともにサーバに保管する。たまに、ソースコードが入ったハードディスクを銀行の貸与金庫に保管する会社もあるが、セキュリティのためというよりは、「わが社はこのように重要なことをする会社だよ!」という心理的な圧迫感を演出する目的であるだけなので、一旦入れておいてほとんど探さない。ソースコードを修正しても、銀行に保管したハードディスクはそのままだ。15年前にもマイナンバー、韓国で言えば、住民登録番号などを随時に取り出して閲覧して処理しなければならない情報を金庫に保管することはなかった。それはあまりにも不便な事だから。だから、考えもしなかったことである。

韓国の企業文化は、早い。どんな文物であれ、区別せず、早く受け入り、また他のものが新たに登場すると、既存のものはすぐ捨てて、新しいものに乗り換える。試行錯誤の危険や負担を燃料にして走る暴走機関車のようにも見える。一応はよく走る。 たとえば、わずか作曲家数人でやっと維持しているK-pop市場の全世界的な規模を見ると、「驚く」という言葉では足りず、むしろ不思議に見える。

一方、日本の企業文化は韓国に比べると遅いというのはとにかく事実のようだ。なぜだろう。日本の企業文化が韓国より長くなったためではないかと思う。日本は韓国に比べて、主要経済主体の「富の伝統」が歴史的な断絶なく、長期間続いてきた長い経済歴史を誇る。会社という経済的な利益追求集団の歴史を見ても、韓国の企業に比べられないほど長く続いてきた長寿企業が国家経済の脊椎として堂々と構えている。現代的な企業の中にも過去、明治時代から出発した企業が多い。資料を探し、読みながら、驚いたりもする。数百年の伝統の老舖文化、そして長い時間を投資し、技術を鍛える職人を尊敬する社会的な雰囲気もそのような長い歴史性に貢献しているだろう。

長年を通じて鍛えられた企業文化は長所が多い。意思決定の過程やその手続きが落ち着いているし、冷静で、より長い時間単位で思考することで、百年の大計を丹念に構築するという覚悟や態度は新生企業がなかなか持つことができない立派な武器である。しかし、このようなところはまるで両刃の剣のようで、「長所は短所」になることもある。新しい方法論や新技術を受け入れるしかない、避けられない状況に直面した時は、明確に短所として作用する。上の状況に戻って、考えてみよう。「重要な情報は、ただの紙に印刷して金庫に入れておけば安全なんじゃないですか?」 結論から言えば、そうではない。

これはITセキュリティではなく、むしろ「ペーパーレス」時代に対する理解から解決する問題のようである。

ペーパーレスの時代

紙の使用を止揚して電子文書を活用する文化、つまり「ペーパーレス」時代の到来は、電子文書の長所のおかげである。見てみよう。

第一に、電子文書は紙文書より生産性が高く、送・受信が迅速で、保管が便利である。特に、修正および補完作業に有利である。したがって、随所で積極的に活用され、完全に定着したし、スマートフォンやタブレットPCなどの個人端末機の普及に支えられて残っていた紙文書まで全て代替している。

第二に、電子文書は情報をデータ状態で保管するため、簡単に検索することができるし、情報の保管および管理が便利で迅速である。特定情報を探すとき、紙文書なら文書全体を全て調べなければならないことも電子文書なら、関連キーワード検索を通じて迅速に、そして便利に探すことができる。

第三に、電子文書は紙文書に比べて安全である。電子文書のセキュリティに対する漠然としたおそれがあるが、十分に構築されたITセキュリティインフラを基盤とした電子文書は文書の作成及び保管、そして送・受信記録などがすべて残るため、外部流出に対する危険性が低く、文書偽造・変造を防止して、文書に対する接近や閲覧を制御することができる。

第四に、電子文書を使用すれば、会社の費用削減だけでなく、公共の資源節約および環境保護効果を期待することもできる。紙文書を生産して保管するのにかかる費用削減だけでなく、紙の生産にかかる費用や環境的な負担を減らすことで、毎年数百万本の木も保護できるということだ。

しかし、

第一、第二、第三、第四、いくら騒いでも、相変わらず電子文書は紙文書に比べ、なんだか不安に思われるという人が多い。 自分の目の前にちょうど見せてこそ安心になるが、電子文書は、一体今どこにいて、誰が見ているのかを分からないから不安だと言う。不要な不安ではあるが、不安というのがもともと何の訳もなく起きるもので、「いや、そんな心配はしないでください。」と言っても通じない。電子文書をそこまで信じられないなら、金庫に入れれば良い。金庫とは?

ペーパーレス時代の金庫、暗号化

先に、マイナンバーを印刷して金庫に入れておくとしても、安全なことではないという点を指摘しておこう。マイナンバー保有者の言葉を直接聞いて、手でメモを受け取って、そのまま金庫に入れて閉めない限り、どうせITシステムを通るようになっているし、それでは、すでにITセキュリティの対象である。さらに、マイナンバーというのは、元々情報処理手続きの効率や迅速さのために企画された制度ではないか。だから当然、常時的な検索と閲覧の対象であることである。マイナンバーを印刷した紙を金庫に入れても入れなくても、マイナンバーデータはITシステム内部を歩き回ることになっており、すべての情報は最善を尽くして守ろうと努力しなければ、自然に拡散されて流布される性質を持っている。

それで、解決策はデータ暗号化だけである。マイナンバーを暗号化すれば、情報は、言い換えれば、ハッカーが狙っている情報の価値は誰も職別できないバイナリデータに変わる。攻撃目的を源泉的に破壊してしまうのである。盗んでも、使うことも、売ることもできない物を狙う情けない泥棒はいない。

ただ、鍵を持った者だけが暗号化されたデータの本来の値を読めるという点で、データの暗号化は金庫と同じである。さらに、金庫は丸ごと盗んでなんとか壊したら、中に入った内容物を盗むことができるが、暗号化されたデータをハードディスク丸ごと盗んでも、復号化の鍵がなければ中に入っている情報を読めないため、より安全だ。それでは、暗号化の鍵を盗んで行ったら?そのような状況を備えてアクセス制御やセキュリティ監査など、事故発生の以前に犯罪動機を源泉的に遮断して、もしかしての場合に備え、鍵を安全に保護する安全装置がある。だから、安心しろ。 最新データ暗号プラットフォームは、金庫よりはるかに安全かつまた、便利だ。

「重要な情報は、金庫に入れておけば安全なんじゃないですか?」

はい!そうです。だから、重要な情報は「暗号化」という金庫の中に安全に保管してください。

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として2,100ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

【コラム】マイナンバーセキュリティ、暗号化さえすれば終わりか?

マイナンバーセキュリティ、暗号化さえすれば終わりか?

 

2015年12月、国民健康保険の加入者の個人情報が流出し、その一部が利用された事故が発生した。名前、住所、生年月日、電話番号や保険証番号などの個人情報が漏洩した被害者は、事故を報道した「共同通信」により確認されただけでも、47都道府県に居住する加入者10万3千人を超える。医療関連情報がこれほどの規模で漏洩した事故は、これまで前例がなかったので、前代未聞の大規模な情報漏洩事故と言える。

 

厚生労働省は不法漏洩された情報が病院や薬局などの複数の医療機関に流れた可能性があると見て、調査を着手した。医療機関にとって医療情報とは、潜在顧客リストと同様なので、まず被害者たちは、しばらくあらゆる客引き行為に悩まされるものと予想される。 しかし、被害がその程度に止まるなら幸いだ。健康保険証を悪用すれば、銀行の口座を開設したり、クレジットカードを申請するなどの金融取引が可能だし、公的に個人の身元を確認するときにも健康保険カードさえあればできる。つまり、名義盗用の犯罪の危険があるという意味だ。さらに、漏洩した保険証番号、名前、住所の情報があれば、健康保険証そのものを再発行できる危険性もあるため、その後相次ぐ被害が相当になると予想される。

たまたま今年の1月から施行された「マイナンバー」制度と連携し、個人情報管理に対する懸念の声が普段よりはるかに高まっている。これは杞憂ではない。実際にマイナンバー制度の施行後に上記のような漏洩事故が発生したら、マイナンバー情報の性格上、さらに大きな被害が発生するはずだ。なので、この時点で下の質問を一度振り返ってみるしかない。

 

「マイナンバーは今、安全なのか?」

 

そうではない。マイナンバー通知カードが市民に配達された数は2015年11月に52%で、12月に9%の追加配達が進む計画だったが、現在、約60%が配達済と推定される。まだ配達中である。それなら、マイナンバー情報セキュリティシステムの普及率はどの程度だろうか?まだ正確な統計は出ていないが、マイナンバーの配達率に比べては比較もできないほど不十分な状態である。政府機関や大手企業などの大規模機関さえ導入の必要性を検討しているぐらいで、まだ「普及」を話す段階でもない。中小企業では、それが何かすら把握もできていない場合が多い。しかし、情報とは、いつどこでも漏洩する危険性がある。前の情報セキュリティ漏洩事例だけ見ても大きな穴より小さな穴がより危険だということが明らかになっている。したがって、情報セキュリティシステムの適用対象を政府や企業などの巨大組織に限ってはいけないし、マイナンバーを取り扱って保管するすべてに適用が終わってからこそ「マイナンバーは安全だ」と言える。今は、安全ではない。

 

「マイナンバーを暗号化すると、安全なのか?」

 

そうかもしれないし、そうではないかもしれない。
答えはどのような暗号化システムを構築したかによって完全に違ってしまう。現在市中に流通しているマイナンバー暗号化ソリューションをざっと見てみたら、意外にも単純暗号化製品が多い。単純暗号化製品を導入しても、安全性は保障できない。というのも、情報を暗号化したとしても、すぐ安全になるわけではないためである。暗号化というのは、システムの環境全体に適用される一種の情報文化の意味で理解すべきものなのだ。したがって、暗号化を通じて十分な安全性を確保しようとするなら、データ暗号化プラットフォームの概念に立脚した統合型の暗号化ソリューションを導入しなければならない。

 

つまり、システムの環境的な特性に沿った要求やニーズに合わせながら、既に十分に検証された様々な暗号化アルゴリズムをすべてサポートし、一方向暗号化やカラム単位暗号化など、業務的なニーズに対応する適切な方法論を十分備えていて、暗号化の情報セキュリティ効果の中核とも言える暗号・復号化鍵に対する安全な管理及び運営が可能で、データの閲覧および操作に対するユーザーへのアクセス制御やセキュリティ監査が徹底的に行われるという、上記の条件を全て備えた統合型暗号化ソリューションでなければならない。

 

「単純暗号化ソリューションと統合型暗号化ソリューションを区別する方法は?」

 

先に調べた要求事項だけ見ても分かるように、技術的に検討すべき内容は非常に多様である。まず簡単に最も重要な三つの必須要素だけを見てみよう。統合型暗号化ソリューションは「暗号化+アクセス制御+セキュリティ監査」機能をすべて備えていなければならない。

 

考えてみよう。ある情報があって暗号化をした。これで安全か? 暗号化された情報は復号化権限を持った人なら誰でもその内容を見ることができる。見ることができるというのは、盗むこともできるという意味だ。したがって、暗号化および復号化権限を管理しても、アクセスを制御する機能がなければ、その情報は安全とはいえない。そんな暗号化はしても無駄だ。重要な暗号化情報に対するアクセスは当該ユーザーのレベル及び権限、使用するアプリケーション、接続時間や場所、期間、日付など条件別に制限することができなければならない。

 

そして、アクセスが許可されたユーザーの活動に対する適切な監視機能もなければならない。それがなければ、事故が発生しても誰の責任かを分からないので調査も不可能になるだけではなく、すべてのセキュリティ装置が当初の目的である犯罪の動機を抑制する効果も期待できない。全ての暗号化情報は誰が何を閲覧して、処理したかの内訳を分かることができなければならず、これはデータベースのテーブル名、カラム名などクエリーの類型によって検討が可能でなければならない。このような「セキュリティ監視」機能は、上記の「アクセス制御」とともに、暗号化ソリューションの必須要素だ。

 

したがって、暗号化製品の中で、アクセス制御とセキュリティ監視機能が欠けていたら? その製品は導入してはならない。暗号化別に、アクセス制御別に、セキュリティ監視別に導入して、三つを統合して適用する方法も考えられるが、その三つの機能がお互いにどれほどスムーズに繋がるかは分からない。今までの数多くの技術的統合の失敗事例やその副作用を反面教師とするならば、当然避けるべきだ。さらに、ソリューションの導入及び運用過程で社内技術者が直接処理しなければならないことも必要以上に多くなるので、コスト面でも損害になる。したがって、円滑なアクセス制御とセキュリティ監視機能を含めている暗号化製品を選択するのが最も懸命な判断である。

 

「それで、統合型暗号化ソリューションというものを選んだら、安全か?」
これもまた、そうかもしれないし、そうではないかもしれない。
に述べたように、まともな暗号化ソリューションとは、データ暗号化プラットフォームの概念に立脚した統合型暗号化ソリューションである。 「プラットフォーム」という言葉に内包された「環境」の意味を振り返ってみよう。

 

いわゆる「ソリューション」というのは、ビジネス問題を解決して工程を自動化するためのソフトウェア(またはソフトウェアを搭載したハードウェア)である。したがって、ソリューションは使用するところの環境的な特性によって特殊性を持とうとする傾向がある。しかし、特殊性のみ強調すると、ソフトウェア工学的に見て、結合度(coupling:ある要素が他の要素に依存する程度)は高まるし、凝集度(cohesion:各要素が一つの機能を完全に担当する程度)は低くなる副作用が発生する。そうなると、維持及び保守が困難になり、以後の状況はますます迷宮に入りこんでしまう。だからといって、むやみに一般性だけを強調することはできない。あらゆる環境のすべての要求に対応するソフトウェアは非効率的になるしかない。それで、一般性と特殊性をともに充足するための解決策として台頭してきたのが「プラットフォーム」概念に立脚したソリューションである。プラットフォームとは、一般的標準モジュールで構成して、構造化した特殊な環境の全領域を意味する。したがって、「プラットフォームの概念に立脚した」という言葉は、標準化されたモジュールとして普遍的一般性を備えると同時に、使用環境全体に対する構造的な理解を基に各要素を適材適所に配置して統合することで、環境的な特殊性も備えたことを意味する。それで、プラットフォームという言葉には「環境」の意味が内包されたのであり、これは製品設計段階から環境に対する理解があればこそ、可能なことだ。

 

いくら性能が良い製品であっても、その製品が実際に使用される環境に対する理解を基にして設計された製品ではないと、完全に無駄になる危険性がある。実際の運用のため、試行錯誤をすることもたくさんある。一般的な企業活動のための統合型暗号化ソリューションは多い。しかし、「マイナンバー」という日本特有の個人情報インフラに対する環境的な悩みを基にして設計された製品は何個ぐらいあるだろう?ほぼない。したがって、「マイナンバー制度が要求する情報環境に最適化された統合型暗号化ソリューション」であればこそ、本当に安全だと言えるだろう。

 

製品を宣伝するカタログは華やかだ。さらに、開発販売会社は世界的に有名な会社だ。販売社員の話術もものすごくうまいとなると、ついその気にさせられる。契約書にはんこさえ押せば、すべてが安全になる気がするし、セキュリティ事故のようなものは完全になくなるような気がする。それでは、最後にもう一度聞いてみよう。「この製品は、マイナンバー制度に対する理解がどれほど反映された製品ですか?設計段階からマイナンバー暗号化のために設計された製品ですか?」 たぶん、たいていは答えられないし、ぐずぐずとするだろう。そんなときは、「お帰りはあちらです」という案内さえすれば良い。これ以上の対話は時間の無駄だ。

 

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として2,100ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201