Posts

ペンタセキュリティ、韓国情報保護学会において優秀企業代表表彰を受賞

 

ペンタセキュリティ、韓国情報保護学会において優秀企業代表表彰を受賞

第22回情報通信網情報保護カンファランス(NETSEC-KR)参加を通じて受賞
データベース暗号化とWebセキュリティ専門企業ペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が4月27日、28日の両日間開催された「第22回情報通信網情報保護カンファランス」に参加し、行政自治部長官が授与する優秀企業代表表彰を受賞たことを明らかにしました。韓国インターネット振興院(KISA)が主催し、韓国情報保護学会(KIISC)が主管した今回の行事は、「大韓民国セキュリティ、どこまで来ているか。」をテーマにし、金融セキュリティ、産業セキュリティ、基盤保護、セキュリティ管制などの分野で韓国の情報セキュリティ現況を調べる時間を持ちました。また、優秀な研究事例の発表および今後の情報セキュリティ産業が進む方向に対する専門家の講演も行われました。

行事の開会式では、大韓民国情報保護の発展に貢献した優秀情報保護人材に対する授賞が行われました。ペンタセキュリティは、暗号プラットフォーム及びWebセキュリティ専門企業として約20年間、絶え間ない研究および開発活動を通じて、セキュリティ技術レベルの向上に努めてきた功労を認められ、優秀企業として選定され、ペンタセキュリティの李錫雨(り・ソクウ)代表取締役社長が賞を受賞しました。

ペンタセキュリティの最高技術責任者であるDS Kimは、「NETSEC-KRを通じて、参加者に最新情報保護技術を紹介し、専門家と情報を交流することができる場になった。」とし、「今回の情報保護優秀企業表彰をきっかけに、韓国のセキュリティ技術力をリードするセキュリティ会社として技術開発さらに努力していく計画である。」と述べました。

【コラム】PCI DSSの核心、Webセキュリティとデータ暗号化

情報セキュリティ製品の広告を見てみると、製品導入を決める基準としてさまざまな「標準」を羅列する。その中でも「PCI DSS」は、特によく登場する主人公である。

「自社のWebアプリケーションファイアウォールWAPPLESは、PCI DSS要求事項を満たし、PCI-DSS基準の適合認証を保有しています!」とか「オープンソースデータベース暗号化ソリューションMyDiamoは、クレジットカード番号のマスキング機能など、PCI DSSの要求事項を全て遵守しています!」とか。

いったい何の話なんだろう。難しい。こんなに強調しているのを見ると、何かとても重要なものには違いないだが…。

「それでいったいPCI DSSが何だ?」

「PCI DSS」とは、クレジットカード会社の会員のカード情報および取引情報を安全に管理するため、クレジットカード決済の全過程にわたって関連されている人はみんなが遵守しなければならないクレジット産業界のセキュリティ標準である。

PCI DSSが登場する前には、クレジットカードの会社ごとにそれぞれ異なるセキュリティ基準を要求していたので、一般事業者は、お互いに違う数多くの基準を充足しようとした。すると、費用もたくさんかかるし、とても不便だった。このような不便さを解消するためにJCB、アメリカンエキスプレス、Discover、MasterCard、VISAなどの国際的なクレジットカードの大手企業が共同で委員会を組織して「PCI DSS」という、事実的には「標準」となるのを策定したものだ。これは、「私たちと取引するためには、この標準に従わなければならない。」というように感じれるかもしれない。ところが、あまりにも大きな会社の連合だから、従わざるをえない。拒否したら、商売ができないから。

ところが、NIST、ANSI、ASA、ISOなどの国際的に通用される標準制定機関ではない民間企業が作り出した規格を「標準」と言えるだろうか。そもそも標準とは、ある物事を判断するための根拠や基準なのに、それを営利を目的にして運営される民間企業が決めても良いのだろうか。疑いの目で見る人もいるだろう。しかし、「PCI DSS」の内容を詳しく見ると、これは標準だと十分言える。かなり立派で、詳細かつ緻密な規格である。

全般的、細部的なセキュリティ状態の診断及び審査過程、アプリケーションやシステム、そしてネットワークなどの領域ごとに実施する浸透テストの回数や時期などのセキュリティ政策だけでなく、何回不正ログイン試行を繰り返すとロック処理されるのか、またはクライアントPCに個人アプリケーションファイアウォールのインストール状況の確認など、細かい基準まで完備している規格である。このように具体的で厳格な基準を提示するため、クレジットカードの取引と関係のない企業や組織でもPCI DSSを情報セキュリティ基準として採択する場合も多い。

それでは、PCI DSSがいったい何なのか、その内容をより詳しく調べてみよう。本質をちゃんと把握するためには、周りからの話を聞くのよりも当事者が説明したものを見たほうが良い。それで、「PCIセキュリティ標準委員会(PCI Security Standards Council)」が言うPCI DSSの認証仕組みを見ると…

 

KakaoTalk_20170412_150820812

図1)PCI DSSの認証仕組み
PCI DSSの認証仕組みは「PCI PTS」、「PCI PA-DSS」、「PCI DSS」、「PCI P2PE」など、4つのカテゴリーに分類されている。一つ一つ見る前に知っておくべき点は、PCI DSSが究極的に目的することは2種の情報を安全に守ることだ。2種の情報とは、クレジットカードの持ち主の個人情報やクレジットカードの番号や追加的な情報を含めた取引情報を示すが、これを合わせて「敏感情報」としよう。PCI DSSの全仕様は、まさにその「敏感情報」をどう扱うかについての内容である。

1)PCI PTS(PIN Transaction Security)
クレジットカード端末機などのハードウェア設計および検証の基準である。物理的装備やネットワークトランザクションを通じて、敏感情報が流出されることを防ぐための通信セキュリティ及びデータ暗号化などセキュリティ標準の遵守可否を確認する。

2)PCI PA-DSS(Payment Application Data Security Standard)
アプリケーション開発会社を対象とする認証基準である。カード会社及び会員会社そしてクレジットカードの会員が使う業務用ソフトウェアで敏感情報が伝送、処理、保存される過程での通信セキュリティ及び暗号化可否などを確認する。

3)PCI DSS(Data Security Standard)
クレジットカードインフラ全般にわたってネットワークとシステム構成が安全なのかなどを総合的に判断する基準である。アカウント統制及びアクセス制御を通じて、業務環境の厳しい管理はもちろん、定期的なセキュリティ監査実施有無などのセキュリティ政策まで含むとても広い概念である。技術的には、主にアプリケーション内部と通信区間での敏感情報の安全性および暗号化可否を検討し、安全性を判断する。

4)PCI P2PE(Point to Point Encryption)
PCI DSS全体の基になるのは、暗号化である。ただの暗号化ではなく、P2P暗号化、すなわちクレジットカード端末機からカード会社のアプリケーションを経てデータベースに保存されるまで、データが移動する全過程にわたった暗号化である。敏感情報は必ず最初から最後まで暗号化されていなければならない。

上記の内容をより簡単にまとめると、

1)PCI PTS=ハードウェア設計者が注意すべきの点
2)PCI PA-DSS=ソフトウェア開発者が注意すべきの点
3)PCI DSS=敏感情報を取り扱うすべての人が注意すべきの点
4)PCI P2PE=敏感情報は必ず最初から最後まで暗号化

こう説明できる。つまり、PCI DSS全体の基になる 4)を除いて見たら、1、2、3は業務分野に従う分類である。では、分野ではなく、内容そのものだけを見たらどうだろう?

PCI DSS、核心は、Webセキュリティとデータ暗号化

まず、「PCI PTS」を見ると、クレジットカード端末機とネットワークなど、主にハードウェアと関連している分類だが、その内容を見ると、純粋なハードウェア設計のほか、内容のほとんどがデータ暗号化、そしてトランザクション通信セキュリティ関連の内容となっている。ちゃんと暗号化しているのか、暗号化したデータを安全にやり取りしているのかなど。

ところが、データが移動してアプリケーションに到達してからは、その内容はアプリケーションが扱う対象になる。ところが、最近のアプリケーションは、ほとんどがWebアプリケーションである。実際に起きているアプリケーション関係のセキュリティ侵害事故のほとんどがWebセキュリティ事故だ。したがって、Webアプリケーション開発プロセスの基準となる「PCI PA-DSS」の内容のほとんどはWebセキュリティ関連の内容であり、内容の核心はデータ暗号化になる。

敏感情報を扱う全般的なセキュリティ政策とも言える「PCI DSS」もまた、内容を見れば、ほとんどがWebセキュリティとデータ暗号化関連の内容だ。そして「PCI P2PE」は別に言うまでも無く、用語自体が区間全体にわたった暗号化という意味だからやっぱりWebセキュリティとデータ暗号化が主な内容だ。

ところで、なぜWebセキュリティとデータ暗号化の内容が主になるのだろう。

最近の通信はほとんどがWebだし、最近のアプリケーションはほとんどがWebアプリケーションである。本格Web時代と言えるのだ。IoT、フィンテック(FinTech)などの技術が登場することによって、Webはますます私たちの日常になっているのだ。データは、アプリケーションを通じて移動する。そしてアプリケーションの主要環境はWebである。通信技術だけでなく、システム環境からユーザインタフェースに至るまで、すべてのIT技術がWebに統合されている。これからは、すべてのアプリケーションがWeb環境で開発され、運用されることに間違いない。したがって、分野とか分類に関係なく、最も重要なセキュリティは「Webセキュリティ」になるしかない。

そして先に述べたように、PCI DSSの究極的な目的は敏感情報を安全に守ることだ。用語も複雑だし、やるべきのこともすごく多いだが、結局言いたいのは「データを守りましょう。」ということだ。これは、覚えておくべきの非常に重要なポイントである。今日、情報セキュリティの中心は、過去に集中したネットワークやサーバーなどのインフラを保護するセキュリティからデータとアプリケーションを保護するセキュリティへ移動している。これは、結局本当に重要な価値が何かに気づく過程とも言える。本当に守らなければならない価値とは?当然、データだ。そして、データを最も安全に守る唯一の方法は「暗号化」だ。なぜ?暗号化以外には、別の方法がないから!

それでは、また最初に戻って、下の文章を読んでみよう。

「自社のWebアプリケーションファイアウォールWAPPLESは、PCI DSS要求事項を満たし、PCI-DSS基準の適合認証を保有しています!」
「オープンソースデータベース暗号化ソリューションMyDiamoは、クレジットカード番号のマスキング機能など、PCI DSSの要求事項を全て遵守しています!」

上の文章が少しは違く見えないのか。難しくて複雑な言葉も、言葉の核心を把握すると、すごく簡単に理解できるのだ。

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,200ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そしてカード情報保護研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

MyDiamo (マイ・ディアモ)

 

MyDiamoは、OSS(Open Source Software)のMySQLとMariaDBに特化したDBMSエンジンレベルの暗号化ソリューションであり、エンジンレベルのカラム暗号化セキュリティとパフォーマンスの両立を実現させるアプリケーションから独立したコンポーネントです。ペンタセキュリティでは、オフィシャルサイトにて個人用の非営利的利用のため、無償ライセンスを提供しています。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

【週刊BCN】ペンタセキュリティシステムズ、データベース暗号化を拡販

 

ペンタセキュリティシステムズ、データベース暗号化を拡販

事前予防策と事後対策の重要性強調
データベース(DB)暗号化とWebアプリケーションファイアウォール(WAF)の製品開発・販売を手がけるペンタセキュリティシステムズ(ペンタセキュリティ、陳貞喜・日本法人社長、www.pentasecurity.co.jp、)は今年度(2016年12月期)、DB暗号化製品のラインアップ拡充と拡販を強化する。15年には、DB暗号化の売り上げがWAFを超えたという。マイナンバー制度の導入や個人情報漏えい事件の頻発、巧妙化するサイバー攻撃の増加など、日本国内での潜在ニーズが顕在化したことを受け、パートナー施策を本格化する

ペンタセキュリティは、韓国のDB暗号化とWAFの市場でトップシェアを誇る。韓国政府の認証機関システムや最大手の民間金融機関のセキュリティシステムなど、豊富な導入実績がある。日本進出当初は、DB暗号化製品で市場開拓を試みたが、多くの企業の関心はWAFの「WAPPLES」という製品だった。WAPPLESは攻撃のロジックを解析しているため、攻撃パターンのアップデートがなくても新種と亜種の攻撃を検知、遮断できる。また、国際認証やビジュアル化された統合管理コンソールなどがユーザーに評価され、日本市場では、アプライアンス型で80社、クラウド型で120社の導入実績がある。グローバルでは1万8000ユーザーにのぼる。

しかし昨年度は、「DB暗号化製品に対する手応えを感じ始めた」(陳社長)ことから、今年度は既存環境にアドオンで提供するDB暗号化製品「D’Amo」とMySQLやMariaDB専用に開発されたDB暗号化製品「MyDiamo」の販売を強化している。とくに、MyDiamoは不動産業界や医療、教育分野からの問い合わせが急増している。「韓国では、外部からだけではなく内部からも攻撃を受けることが大前提で、事前情報漏えい対策に加え、事後対策を徹底的に行う。個人情報漏えい被害を最小限に抑える努力をしている」(陳社長)と、韓国の先行例などをもとに、日本国内でも事後対策が重要であることを強調する。今年度は、PostgreSQL向けの暗号化製品のリリースも予定。ラインアップを拡充し、市場の裾野を広げる。

韓国では、情報漏えいで厳しい刑事処罰を受けることへの備えとして、万全なるセキュリティ対策を構築する市場ニーズがあり、日本でも同様のニーズが拡大すると予想している。

直販がメインであったMyDiamoだが、今後、MySQLやMariaDBのサポート・サービスを手がける企業に積極的にアプローチし、パートナー企業の拡大を図る。パートナーが既存のサービスに加え、セキュリティを新たな価値としてユーザーに提案できるようサポート体制も強化していく。(鄭麗花)

関連情報

BCN Bizline http://biz.bcnranking.jp/article/news/1604/160421_142030.html

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,200ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

MyDiamo (マイ・ディアモ)

 

MyDiamoは、OSS(Open Source Software)のMySQLとMariaDBに特化したDBMSエンジンレベルの暗号化ソリューションであり、エンジンレベルのカラム暗号化セキュリティとパフォーマンスの両立を実現させるアプリケーションから独立したコンポーネントです。ペンタセキュリティでは、オフィシャルサイトにて個人用の非営利的利用のため、無償ライセンスを提供しています。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

【コラム】オープンソースDB、エンジンレベル、カラム暗号化、トータルソリューション

韓国と日本のITの現場は、一見似ているようで、まったく違う。主に使用するソフトウェアからもその差ははっきりしている。企業向けのソフトウェアの代表格であるデータベースだけを見ても、日本はMySQLやMariaDBそしてPostgreSQL等「オープンソースソフトウェア(Open Source Software)」の利用率が韓国に比べてはるかに高い。興味深い現象である。もう少し掘り下げてみましょう。

オープンソースデータベース

オープンソースソフトウェアは、長所がとても多い。誰でも無料でダウンロードし、自ら勉強しながら簡単に身につけることができる。だから、ユーザー層が厚い。一般企業では、このようなオープンソースソフトウェアの使える人材を簡単に採用することができるし、無料もしくは比較的に安い価格政策のおかげで、電算システムの構築費用を削減する効果も大きいとも言える。全世界数多くの開発者が自発的に参加する文化の産物であるため、最新技術の適用が速く、ソフトウェア自体の技術的な発展速度も早いということもまた大きな長所である。

ところが、韓国には何だか分からないけど「オープンソース」不信がある。「無料ソフトウェアを企業で使うのは、なんかちょっと不安じゃない?」と言い、値段の高い商用ソフトウェアを購入してしまうのだ。もちろん、商用ソフトウェアも長所が多い。オープンソースソフトウェアに比べて、より明確な開発ロードマップによって製品を開発して供給するため、急に生産終了になったり、アップグレードが中断される危険性が低い点だけでも、すでに十分な長所になる。しかし、純粋技術そのものだけを見てみると、オープンソースソフトウェアを選択する比率が高い日本の方が韓国に比べては「より技術的な理解に基づいて」意思決定をしていると考えても間違った解釈ではなさそうだ。 ところが、

「オープンソースデータベースは安全か?」

企業がソフトウェアを選択する基準は様々があるはずだが、その中でも最も重要な基準は、安全性ではないかと思う。特に、データベースの場合、安全性が不安なら性能が圧倒的に優れていると言っても絶対選択してはいけない。データベースは今日、企業の最も重要な資産であるデータを直接扱うソフトウェアだからである。韓国の企業が主に商用ソフトウェアを選択する最も大きな理由も安全性に対する漠然とした期待感があるからである。

こうしたデータベースやその中に入っているデータの安全性に影響を及ぼす様々な要素の中で最も重要なのは、暗号化である。暗号化は、データベースセキュリティの核心であり、本質である。その他にあらゆる道具は、暗号化の補助手段に過ぎない。今からは、データベース暗号化のあれこれを見ながら、OSSデータベースの安全性を考えてみよう。

データベース暗号化の種類

まずは、データベース暗号化の4つの方式を見てみよう。

1)アプリケーションAPI:アプリケーションソースの修正が必要
2)データベースAPI:データベースソースの修正が必要
3)暗号化プラグイン:DBサーバ内部に暗号化モジュール挿入
4)エンジンレベル暗号化:データベース内部に暗号化エンジン挿入、ソース修正は不要

1)から4)の順で暗号化を実現する位置が外部のアプリケーションからデータベースの内部に近くなる。よって、データベース内に直接暗号化エンジンを挿入する「エンジンレベル暗号化」は、アプリケーションやデータベースのソースの修正が不要なので、楽チンである。但し、エンジンレベルとなると、データベースのベンダーではない限り、難しく、これまではデータベースベンダーが独占してきた領域であった。他方、オープンソースデータベースは、ソース自体オープンであるため、エンジンレベル暗号化の開発が可能となるわけだ無論、開発のためには、高いレベルのセキュリティ技術は必須であることはいうまでもない。

そして、暗号化をする対象によって、暗号化の方式は3つに分けられる。

1)ディスク暗号化:データベースが保存されているディスク全体を暗号化
2)ファイル暗号化:データベースファイル全体を暗号化
3)カラム暗号化:データベース内部の特定カラムを指定して暗号化

1)から3)の順で、暗号化する対象のサイズが小さくなる。暗号化する対象のサイズが小さくなるということは、アクセス制御およびセキュリティ監査の効果、そしてセキュリティコントロール有効性(Security Control Granularity)が高くなる。すなわち、データ単位で細かくセキュリティ設定ができるという意味である。

技術的に論じる意味がないと言われているディスク暗号化は論外にしておいて、ファイル暗号化は、データベースファイルを丸ごと暗号化する方式である。ファイルの中に入ってあるどんな内容でも、閲覧するためにはファイル全体を復号しなければならないという意味である。他方、カラム暗号化は特定のデータを指定し、選択的に暗号化する方式である。それぞれメリット・デメリットはあるが、カラム暗号化は、必要なデータのみを選択的に暗号化ができ、そのデータ単位で細かくアクセス制御および監査の設定ができることからファイルを丸ごと暗号化するファイル暗号化に比べて業務プロセス負荷やセキュリティの面で有利な暗号化方式だと言えるでしょう。

かつてエンジンレベルの暗号化ソリューションは、カラム暗号化に対応できないと言われてきたが、進歩した技術よりエンジンレベルでの動作を確保しながらカラム単位の暗号化ができる製品が既に出てきている。

以上の暗号化方式は、それぞれ技術的なメリット・デメリットがあり、導入後、業務上体感するメリット・デメリットがある。技術的なメリット・デメリットももちろん導入時考慮しなければならない項目であるが、実質上、暗号化ソリューションは、導入による業務上負荷にて選定時大きく左右される。例えば、データーベースベンダーが大々的に広告しているエンジンレベルの「透過的(Transparent)暗号化」の訴求ポイントは、「ソースを修正する必要がないので楽な暗号化」というかたちになる。アプリケーションやデータベースのソースおよびクエリーを修正することなく、導入できるということは非常に魅力的である。

但し、暗号化ソリューションの導入を考えているのであれば、ひたすら利便性のみを重視してはいけなく、暗号化の本来の目的であるセキュリティの面からもちゃんと考慮しなければならない。利便性とセキュリティの両立を実現することはなかなか難しいことである

「暗号化だけでは、セキュアではない」

暗号化だけでは、セキュアではない。暗号化だけではセキュアとは言えないということである。暗号化後、誰でもが復号できてしまったら、その暗号化はセキュアではなくなる。当然ながら権限のあるユーザのみが暗号化データを復号できるようにアクセス制御は必須である。そして、そのセキュリティシステムが正常に作動しているかを常に監視しなければならない。このように暗号化には、アクセス制御、そして監査は付き物である。

暗号化・アクセス制御、セキュリティ監査、そして、鍵管理でセキュアになれる。これは、暗号化を実現するにおいて、当たり前なことであり、基本中の基本である。業務によっては、セキュリティポリシー上必須機能はまだまだある。パスワード暗号化のための一方向暗号化、インデックスカラムのための部分暗号化、PCI-DSSの遵守のためのカード番号マスキング等データベース暗号化時の要素は、いくらでもある。市販のデータベース暗号化製品は、このような要素でセキュリティ設計がされているトータルソリューションとしてパッケージングされている。

開発者がOSS DBを無償でダウンロードし、インストールしたとして、セキュリティを実現するために上述の様々な要素を頑張って実装していくのも、できないわけではない。但し、費用対効果の問題が生じる。OSS DBに対しセキュリティを実現するために頑張ったコストは費用に高い。あとからのメンテナンスも懸念される。セキュリティは、専門家に任しておいて、ただただその製品を簡単に導入することでお互いハッピーになれるのである。セキュリティは、専門家に任しておくべきである。

それで、「オープンソースDB、エンジンレベル、カラム暗号化、トータルソリューション」

今まで見たデータベース暗号化のあれこれを総合してみると、「オープンソースDB、エンジンレベル、カラム暗号化、トータルソリューション」が必要だという結論に到達する。結論が理由なく長いわけではない。技術的、そして実務的な長所や短所を全て考えて、利便性やセキュリティ性を全て満たした結論である。それでは、また最初の質問に戻って、

「オープンソースデータベースは安全か?」

安全だ。オープンソースデータベースのエンジンレベルで動作しながら、カラム暗号化を支援して、アクセス制御やセキュリティ監査、鍵管理などのデータ暗号化の3代必須要素や一方向暗号化、部分暗号化、マスキングなど、必ず必要な機能までそろえた最新の暗号化トータルソリューションがあれば。

結論の核心は、いろいろな暗号化方式の中で「エンジンレベル暗号化」を通じて透明(Transparent)でありながらも「カラム暗号化」を支援することにより、データ単位で完璧なセキュリティ性を達成することがセキュリティ的には最も理想的な暗号化方式の組み合わせである。しかし、「透明性(Transparency)」と「セキュリティコントロール有効性(Security Control Granularity)」の中で一つだけを選択しなければならない状況であるなら、どんな場合でも絶対諦めてはいけない要素なので、セキュリティコントロール有効性を選択すべきである。

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,200ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

MyDiamo (マイ・ディアモ)

 

MyDiamoは、OSS(Open Source Software)のMySQLとMariaDBに特化したDBMSエンジンレベルの暗号化ソリューションであり、エンジンレベルのカラム暗号化セキュリティとパフォーマンスの両立を実現させるアプリケーションから独立したコンポーネントです。ペンタセキュリティでは、オフィシャルサイトにて個人用の非営利的利用のため、無償ライセンスを提供しています。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

【コラム】ファイル暗号化 VS データ暗号化

暗号化セールス現場は、苦しい戦場である。暗号化製品の紹介に先立って、「ITとは一体何か?」の講義から始めなければならない困惑した状況ももう大分慣れてきたが、相変わらず大変なことで、古代ギリシャから今日に至る「暗号の歴史」を聞かせてほしいという要請も時々聞く。それで、話をしてみても第2次世界大戦の時、ドイツの暗号機械である「エニグマ」以後は興味が冷えてしまう。そこからが本当に大事な内容なのに!

 

一般的に人たちが「暗号」という言葉に対して持つ好奇心や期待のレベルはどうも幼い頃、スパイ映画を見ながら秘密要員活動を想像した少年期にとどまっているようだ。

 

もちろん、そういう「暗号」や「暗号化」が無関係なわけではない。現代暗号化もまた、置換と移動などの古典的な暗号理論に基づいて構築された体系だから。しかし、学校ではなく実務現場ではこのような教養や常識は全く(!)重要ではない。「暗号化」は、古典的な暗号理論よりは安全なITシステムの「設計」及び「構築」のための技術だが、その事実に興味を示す顧客は非常に少ない。セールスの困難さを訴える前に、情報セキュリティの根本の根本である暗号化に対する誤解は、本当に深刻な問題ではないか?だから、下のような曖昧な質問もとてもよく聞く。

 

「ファイルを丸ごと、いや、ハードディスクを丸ごと暗号化してしまえば、いいんじゃないんですか?」

 

もちろん、このような措置が必要な時もある。世の中、どんなものであれどこかにはきっと役に立つから。しかし、ほとんどの場合「ディスク暗号化」は情報セキュリティ的に適切な措置ではなく、「ファイル暗号化」ではなく、「データ暗号化」がもっと重要な概念である。 理解のため、まずは「ファイル暗号化」とは何かから調べてみよう。

 

 

ファイル暗号化とは?

 

 

当然のことだが、「ファイル暗号化」はファイルを暗号化することである。ところで、「ファイル」は一体何? 毎日口に出している、慣れた言葉だが、こう聞かれると何だか不慣れに感じられる。「ファイル」は、意味ある情報を盛る論理的な単位だ。それで、私たちはコンピュータを使用するとき、ファイルを単位として会話する。「ファイルは何個?」 「このファイルの容量はいくら?」 「そのファイルはこのフォルダの中に入ってる。」 このようにファイルを基準として情報を保存して、分類して、管理する。 それで、ファイルという言葉にすごく慣れている。 そのため、「ファイル暗号化」という言葉も、もともと慣れていた言葉のように聞こえる。聞くだけで、それが何かを全部理解したような気がする。 しかし、「ファイル暗号化」はそんなに簡単な概念ではない。

 

私たちはファイル単位にまとめ、そこに名前を付けて閲覧と検索のためにどこに保存するかなどを決めることにより情報を管理する。それではコンピュータの内部では1)物理的保存装置、2)運営体制カーネル、3)アプリケーションなどの3つの領域でそれぞれ違う方式を通じて、ファイルを処理する。したがって、私たちがよく言う「ファイル暗号化」も、またその3つの領域でそれぞれ違う方式で行われる。これに対するより詳しい説明は本一冊ぐらいのが必要なので、今は簡単に概要だけ見てみよう。

 

しかし、1)物理的保存装置、主にハードディスクを丸ごと暗号化する「ディスク暗号化」は、現在論点から遠く離れているので一応論外としておこう。もちろん、ハードウェア暗号化が必要な場合もある。 情報セキュリティがとても致命的なところでは想像できるすべてのセキュリティ措置を一つも抜かさずすべて適用しなければならないのでその場合は、ハードウェア暗号化措置まで必要だ。例えば、核発電所とか。しかし、そのような場合でも追加または補完措置になるだけで、情報セキュリティの基本は「データ暗号化」でなければならない。

 

簡単に言って、2)運営体制カーネル領域で3)アプリケーション領域にいくほど、マネジメントの対する負担が増大する代わりに、セキュリティ性は高くなる。これは、すべての情報セキュリティ技術全体にわたって適用される一種の原理である。セキュリティを高めると、どうしても使用が不便になるのだ。言い換えれば、便利さを求めるとセキュリティ性は低くなるしかない。それにもかかわらず、便利さはとても強力な魅力なので、「ファイル暗号化」や「ディスク暗号化」製品を販売する人たちは、よくこう言う。

 

 

「ファイルやディスクを丸ごと暗号化してくれるから本当に便利です!」

本当に魅力的な話ではないか? 便利であるというものは良い事だから。しかし、適当に逃さず、こんなにまた問わなければならない。

「便利にするために暗号化するのではないじゃないですか?」

そうだ。 暗号化は、セキュリティ性を高めるためにするものである。

 

 

実際の業務現場での、ファイル暗号化の危険性

 

 

こう単純に考えてみよう。過渡な単純化に見えるだが、一応、

―ファイルは、データを盛る箱である。

―ファイルに入っているそれぞれのデータがみんな同じ危険性を持っているわけではない。

 

実際はさらに複雑な違いがあるが一応、簡単に言うと「ファイル暗号化」はデータが入っている箱を丸ごと暗号化することであり、「データ暗号化」は箱の中に入っているデータの中で必ず隠さなければならない危険なデータだけを選別して暗号化するものである。二つの方式はそれぞれの長所と短所があるが、上の「マネジメントの対する負担が増大する代わりに、セキュリティ性は高くなる。」という原理はそのまま適用される。ファイル暗号化は管理が簡単である。しかし、セキュリティ性は低い。なぜだろう?

 

ある会社に顧客情報が保存されているデータベースファイルがあるとしよう。「ファイル暗号化」方式はそのデータベースファイルを丸ごと暗号化する。言い換えれば、ファイルを使用するためには暗号化されたファイル全体を復号化して、作業が終わったらまたファイル全体を暗号化して保存することである。このような場合、危険は下の通りである。

 

 

1.使用者のミスもしくは故意で暗号化しない場合: 使用者のミスで暗号化しない場合が頻繁に発生する。暗号化すべきだということを忘れたり、ただ暗号化の手続きが面倒で、平文のままに保存する場合が多い。セキュリティ事故の大半は使用者のミスのためだという事実を忘れてはならない。使用者のミスを未然に防止して監視する装置が必要である。

 

 

2. ファイル全体の内容が平文のままでメモリに存在:ファイル丸ごと暗号化されているなら、ファイルに入った情報内容を読む時、やむを得ずファイル全体を復号化するしかない。そうなると、暗号化されていない全体平文がメモリに存在するようになって、メモリダンプなどの手法を通じたデータ漏えいの危険がある。平文露出は何があっても最小限に減らす方が良い。

 

 

3.鍵管理およびアクセス制御、セキュリティ監査などの追加的な道具必要:暗号化は暗号化だけでは無用な技術である。暗号化および復号化作業のための鍵管理及びアクセス制御、セキュリティ監査など他のセキュリティ道具が一緒に動作しなければならない。しかし、様々なものを加えると「ファイル暗号化」の最も大きい長所である単純性から離れてしまう。便利さを強調するが、結局は同く複雑になるわけである。さらに、性質が違う他の道具を一つのシステムの中に結合する技術的な危険もある。実際、暗号化というそれ自体はそんなに難しい技術ではない。前に述べたように、安全なITシステムの「設計」及び「構築」のための技術なので難しいことである。

 

 

この中で特に注目しなければならないのは“2.ファイル全体の内容が平文のままでメモリに存在”しているので発生する危険である。しかし、これはどんな暗号化方式にも同じく該当する危険である。情報を読み取るためにはメモリに平文が存在しなければいけないから。しかし、どれほどたくさんの情報をどれだけ長く露出するかによる差はかなり大きい。実際の業務現場における状況を考えてみよう。

 

 

ファイル全体を一日中平文のままに露出する暗号化?

 

 

顧客情報が保存されているデータベースファイル全体を丸ごと「ファイル暗号化」したとしよう。そうすると、ファイルの中に入っているどんな情報であれ閲覧するためにはファイル全体を復号化しなければならない。探そうとするデータがマイナンバーなどの重要な個人情報ではない場合にも全体内容をすべて露出しなければならないのだ。それでは検索、閲覧、処理などの作業を終わってからまた暗号化する時まではすべての情報がメモリ上に平文のままに放置されてしまう。顧客管理業務が多い会社であれば、職員が出勤するやいなや暗号化データを復号化して一日中全てのデータを平文の状態に露出して、帰り道に再び暗号化するとしても決して誇張ではない。

 

逆に、重要なデータだけを暗号化した場合にはどうだろうか? 「データ暗号化」は、重要データを別に暗号化して該当情報が必要な時だけ復号化して処理して、再び暗号化する。露出しても、特に危険ではない一般情報だけを開いて作業して、特定暗号化データが必ず必要な瞬間に一連の手続きを通じて、復号化して作業を終えてから再び暗号化する。上の「ファイル暗号化」に比べると、危険性への露出時間が顕著に短いのである。そして暗号化のほか、別に必要な鍵管理及びアクセス制御、セキュリティ監査などの道具も全て一つの製品として統合されて提供されるから、 異種技術結合による不安定性も非常に少ない。

 

しかし、個人が使うコンピュータで、そして企業でもどんな特需な要求のため、情報をファイル単位で区別して管理する場合がある。その時は「ファイル暗号化」も選択すべきの方法かもしれない。しかし、「ファイル暗号化」は「データ暗号化」に含まれる一部とみる方が良い。言い換えれば、「ファイル暗号化」は一部のデータをまた別のものにして暗号化する方法がないが、「データ暗号化」はファイル内容の部分もしくは全体を選択して暗号化することにより、ファイル暗号化と同じ効果を得ることができる。

 

「ファイルやフォルダを丸ごと暗号化してくれるから本当に便利です!」

そうだ。 便利だ。 しかし、「便利にするために暗号化するのではないじゃないですか?」

 

 

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,200ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

ペンタセキュリティ D’Amo、韓国初でSAP社のHANA DB認証獲得

ペンタセキュリティ D’Amo、韓国初でSAP社のHANA DB認証獲得

HANA DB環境でも安定的なSAP暗号化提供

暗号プラットフォームとWebセキュリティ企業のペンタセキュリティシステムズ (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が、 SAP暗号化ソリューションD’Amo for SAP(ディアモ・フォ・エスエイピ)が韓国初でABAP Add-On Deployment認証を獲得し、HANA DBのための暗号化サポートを公式的に認められたことを明らかにしました。SAPは、多くの企業が使用している経営および管理のための資源管理(ERP)システムとして、企業の重要な情報が含まれており、徹底したセキュリティが必要だが、データ構造や下部システムの修正が難しく、特にSAPの場合、データの長さや形式を変更することが非常に難しいため、一般的な暗号化ソリューションでは暗・復号化が不可能です。ペンタセキュリティは、高度化された暗号化技術に基づき、SAP暗号化ソリューションであるD’Amo for SAPをすでに2012年にリリースして、2014年にはSAP本社のセキュリティ認証を獲得したことがあります。今回は、SAPで自らで開発したHANA DB連動に対する認証である「ABAP Add-On Deployment Certification」を韓国初として獲得しました。この認証は、SAP社がHANA DBと当該アプリケーションの間の連動に対して検証した後、該当ソフトウェア開発社に与える認証で、まだ日本でこの認証を獲得して、HANA DBに対応できるようにした暗号化ソリューションはリリースされていません。

最近、SAP社では、従来に使用していた3rd Party DBMSの代わりに、独自で開発したHANA DB環境を適用していたので、ペンタセキュリティはSAP ERPを構築した顧客が安定的にD’Amo for SAPを使用できるようにHANA DB環境での暗号化認証を準備してきました。これを通じて、SAP HANA環境でSAPの暗号化方式である形態保存暗号化(FPE:Format-Preserving Encryption)やトークン化(Tokenization、トークナイゼーション)をさらに効果的に運営できるようになったことと共に、データの暗・復号化、アクセス制御、監査および鍵管理も安定的に提供して、SAP暗号化分野における立場をさらに強固にすることができるようになりました。

ペンタセキュリティの最高技術責任者であるDS Kimは、「SAPセキュリティは、企業の情報セキュリティにおいてかなりの割合を占めているため、昨年にSAP S/4HANAがリリースされた直後からDB環境最適化に対する認証を持続的に準備してきました。」とし、「韓国初でHANA DBとの連動を認められた分、D’Amo for SAPで高レベルのセキュリティ性を確保するSAP ERP環境を作っていく計画です。」と述べました。

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,200ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

D’Amoに関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

【コラム】ペーパーレス時代の金庫、暗号化

ペーパーレス時代の金庫、暗号化

セールスは難しい。 海外セールスは国ごとに異なる文化のため、さらに難しい。 時と場所によって地位の高い人が座る上座の位置など礼儀の形式が国ごとに異なり、さらに、会った時に握手する方法や酒席でグラスの飲み物がどれほど空いている時、お酌をしなければならないのかなど、日常的な行為の意味も国ごとに違う。なので、海外で活動するセールスマンは国家別の文化差に応じた多様なビジネスマナーを学んで、身につけなければならない。

しかし、中途半端に学ぶと、それもまた失礼になる。日本で働く外国人のセールスマンが「日本人は約束時間を非常に重要に考える」という先輩のアドバイスを聞いて「では、素早く行って待ちながら真心を示そう。」という覚悟で、約束の場所に1時間も早く到着し、日本人の顧客を待った。顧客が到着し、「早く会いたくて、1時間も早く来ました!」と自慢したら、顧客が「いや、なんでそんなことをしましたか。 じゃ、約束時間を早くするのが良かったんじゃないですか?」と開き直って反問したため、驚いて緊張しすぎて仕事を台無しにしたという話を聞いた。「約束時間を重要に思う」ということは、正確性と効率性を重要に思うという意味ということを気づかなかった文化的な誤解のエピソードである。

セールスの中でも、ITセールスほど難しいことがあるだろうか。IT製品を販売するためには、その技術がどうして重要で、どうして必要なのか、この製品を導入すれば、顧客の事業にどんなふうに、そしてどれだけ役に立つか説明するに先立って、その技術がいったい何なのかからすべてを説明しなければならない。「ITとは、一体何か!」何冊分量の内容を昼夜問わず、騒いでも足りない。それに、前述した国家別の文化差まで重なった状況に追い込まれるようになると、目の前が真っ暗になり、頭の中ががらんと空いて何も思いつかないときもある。下は、最近直接経験したことである。

マイナンバーを紙に出力して金庫に入れる?

マイナンバー暗号化ソリューションのセールス現場で、自社の製品が競争社の製品に比べて、どのような長所を持っているかを一生懸命説明していた時や直ちに顧客が「いや、私たちはそんなに難しくて複雑なのは必要ありません。マイナンバーでも何でも重要な情報は、ただの紙に印刷して金庫に入れておけば安全なんじゃないですか?」 詰った。一瞬、頭の中ががらんと空いて何も言えず、しばらくぽかんと座ってばかりいた。いや、これは一体どう説明しなければならないのか、韓国では一度も経験したことのない状況だったので、準備することもできない状況だった。

いや、韓国でも15年前には、ソフトウェアのソースコードなどの情報を紙に出力して金庫に保管したりした。今は、そうせず、すべて適切なセキュリティ装置とともにサーバに保管する。たまに、ソースコードが入ったハードディスクを銀行の貸与金庫に保管する会社もあるが、セキュリティのためというよりは、「わが社はこのように重要なことをする会社だよ!」という心理的な圧迫感を演出する目的であるだけなので、一旦入れておいてほとんど探さない。ソースコードを修正しても、銀行に保管したハードディスクはそのままだ。15年前にもマイナンバー、韓国で言えば、住民登録番号などを随時に取り出して閲覧して処理しなければならない情報を金庫に保管することはなかった。それはあまりにも不便な事だから。だから、考えもしなかったことである。

韓国の企業文化は、早い。どんな文物であれ、区別せず、早く受け入り、また他のものが新たに登場すると、既存のものはすぐ捨てて、新しいものに乗り換える。試行錯誤の危険や負担を燃料にして走る暴走機関車のようにも見える。一応はよく走る。 たとえば、わずか作曲家数人でやっと維持しているK-pop市場の全世界的な規模を見ると、「驚く」という言葉では足りず、むしろ不思議に見える。

一方、日本の企業文化は韓国に比べると遅いというのはとにかく事実のようだ。なぜだろう。日本の企業文化が韓国より長くなったためではないかと思う。日本は韓国に比べて、主要経済主体の「富の伝統」が歴史的な断絶なく、長期間続いてきた長い経済歴史を誇る。会社という経済的な利益追求集団の歴史を見ても、韓国の企業に比べられないほど長く続いてきた長寿企業が国家経済の脊椎として堂々と構えている。現代的な企業の中にも過去、明治時代から出発した企業が多い。資料を探し、読みながら、驚いたりもする。数百年の伝統の老舖文化、そして長い時間を投資し、技術を鍛える職人を尊敬する社会的な雰囲気もそのような長い歴史性に貢献しているだろう。

長年を通じて鍛えられた企業文化は長所が多い。意思決定の過程やその手続きが落ち着いているし、冷静で、より長い時間単位で思考することで、百年の大計を丹念に構築するという覚悟や態度は新生企業がなかなか持つことができない立派な武器である。しかし、このようなところはまるで両刃の剣のようで、「長所は短所」になることもある。新しい方法論や新技術を受け入れるしかない、避けられない状況に直面した時は、明確に短所として作用する。上の状況に戻って、考えてみよう。「重要な情報は、ただの紙に印刷して金庫に入れておけば安全なんじゃないですか?」 結論から言えば、そうではない。

これはITセキュリティではなく、むしろ「ペーパーレス」時代に対する理解から解決する問題のようである。

ペーパーレスの時代

紙の使用を止揚して電子文書を活用する文化、つまり「ペーパーレス」時代の到来は、電子文書の長所のおかげである。見てみよう。

第一に、電子文書は紙文書より生産性が高く、送・受信が迅速で、保管が便利である。特に、修正および補完作業に有利である。したがって、随所で積極的に活用され、完全に定着したし、スマートフォンやタブレットPCなどの個人端末機の普及に支えられて残っていた紙文書まで全て代替している。

第二に、電子文書は情報をデータ状態で保管するため、簡単に検索することができるし、情報の保管および管理が便利で迅速である。特定情報を探すとき、紙文書なら文書全体を全て調べなければならないことも電子文書なら、関連キーワード検索を通じて迅速に、そして便利に探すことができる。

第三に、電子文書は紙文書に比べて安全である。電子文書のセキュリティに対する漠然としたおそれがあるが、十分に構築されたITセキュリティインフラを基盤とした電子文書は文書の作成及び保管、そして送・受信記録などがすべて残るため、外部流出に対する危険性が低く、文書偽造・変造を防止して、文書に対する接近や閲覧を制御することができる。

第四に、電子文書を使用すれば、会社の費用削減だけでなく、公共の資源節約および環境保護効果を期待することもできる。紙文書を生産して保管するのにかかる費用削減だけでなく、紙の生産にかかる費用や環境的な負担を減らすことで、毎年数百万本の木も保護できるということだ。

しかし、

第一、第二、第三、第四、いくら騒いでも、相変わらず電子文書は紙文書に比べ、なんだか不安に思われるという人が多い。 自分の目の前にちょうど見せてこそ安心になるが、電子文書は、一体今どこにいて、誰が見ているのかを分からないから不安だと言う。不要な不安ではあるが、不安というのがもともと何の訳もなく起きるもので、「いや、そんな心配はしないでください。」と言っても通じない。電子文書をそこまで信じられないなら、金庫に入れれば良い。金庫とは?

ペーパーレス時代の金庫、暗号化

先に、マイナンバーを印刷して金庫に入れておくとしても、安全なことではないという点を指摘しておこう。マイナンバー保有者の言葉を直接聞いて、手でメモを受け取って、そのまま金庫に入れて閉めない限り、どうせITシステムを通るようになっているし、それでは、すでにITセキュリティの対象である。さらに、マイナンバーというのは、元々情報処理手続きの効率や迅速さのために企画された制度ではないか。だから当然、常時的な検索と閲覧の対象であることである。マイナンバーを印刷した紙を金庫に入れても入れなくても、マイナンバーデータはITシステム内部を歩き回ることになっており、すべての情報は最善を尽くして守ろうと努力しなければ、自然に拡散されて流布される性質を持っている。

それで、解決策はデータ暗号化だけである。マイナンバーを暗号化すれば、情報は、言い換えれば、ハッカーが狙っている情報の価値は誰も職別できないバイナリデータに変わる。攻撃目的を源泉的に破壊してしまうのである。盗んでも、使うことも、売ることもできない物を狙う情けない泥棒はいない。

ただ、鍵を持った者だけが暗号化されたデータの本来の値を読めるという点で、データの暗号化は金庫と同じである。さらに、金庫は丸ごと盗んでなんとか壊したら、中に入った内容物を盗むことができるが、暗号化されたデータをハードディスク丸ごと盗んでも、復号化の鍵がなければ中に入っている情報を読めないため、より安全だ。それでは、暗号化の鍵を盗んで行ったら?そのような状況を備えてアクセス制御やセキュリティ監査など、事故発生の以前に犯罪動機を源泉的に遮断して、もしかしての場合に備え、鍵を安全に保護する安全装置がある。だから、安心しろ。 最新データ暗号プラットフォームは、金庫よりはるかに安全かつまた、便利だ。

「重要な情報は、金庫に入れておけば安全なんじゃないですか?」

はい!そうです。だから、重要な情報は「暗号化」という金庫の中に安全に保管してください。

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として2,100ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

【コラム】マイナンバーセキュリティ、暗号化さえすれば終わりか?

マイナンバーセキュリティ、暗号化さえすれば終わりか?

 

2015年12月、国民健康保険の加入者の個人情報が流出し、その一部が利用された事故が発生した。名前、住所、生年月日、電話番号や保険証番号などの個人情報が漏洩した被害者は、事故を報道した「共同通信」により確認されただけでも、47都道府県に居住する加入者10万3千人を超える。医療関連情報がこれほどの規模で漏洩した事故は、これまで前例がなかったので、前代未聞の大規模な情報漏洩事故と言える。

 

厚生労働省は不法漏洩された情報が病院や薬局などの複数の医療機関に流れた可能性があると見て、調査を着手した。医療機関にとって医療情報とは、潜在顧客リストと同様なので、まず被害者たちは、しばらくあらゆる客引き行為に悩まされるものと予想される。 しかし、被害がその程度に止まるなら幸いだ。健康保険証を悪用すれば、銀行の口座を開設したり、クレジットカードを申請するなどの金融取引が可能だし、公的に個人の身元を確認するときにも健康保険カードさえあればできる。つまり、名義盗用の犯罪の危険があるという意味だ。さらに、漏洩した保険証番号、名前、住所の情報があれば、健康保険証そのものを再発行できる危険性もあるため、その後相次ぐ被害が相当になると予想される。

たまたま今年の1月から施行された「マイナンバー」制度と連携し、個人情報管理に対する懸念の声が普段よりはるかに高まっている。これは杞憂ではない。実際にマイナンバー制度の施行後に上記のような漏洩事故が発生したら、マイナンバー情報の性格上、さらに大きな被害が発生するはずだ。なので、この時点で下の質問を一度振り返ってみるしかない。

 

「マイナンバーは今、安全なのか?」

 

そうではない。マイナンバー通知カードが市民に配達された数は2015年11月に52%で、12月に9%の追加配達が進む計画だったが、現在、約60%が配達済と推定される。まだ配達中である。それなら、マイナンバー情報セキュリティシステムの普及率はどの程度だろうか?まだ正確な統計は出ていないが、マイナンバーの配達率に比べては比較もできないほど不十分な状態である。政府機関や大手企業などの大規模機関さえ導入の必要性を検討しているぐらいで、まだ「普及」を話す段階でもない。中小企業では、それが何かすら把握もできていない場合が多い。しかし、情報とは、いつどこでも漏洩する危険性がある。前の情報セキュリティ漏洩事例だけ見ても大きな穴より小さな穴がより危険だということが明らかになっている。したがって、情報セキュリティシステムの適用対象を政府や企業などの巨大組織に限ってはいけないし、マイナンバーを取り扱って保管するすべてに適用が終わってからこそ「マイナンバーは安全だ」と言える。今は、安全ではない。

 

「マイナンバーを暗号化すると、安全なのか?」

 

そうかもしれないし、そうではないかもしれない。
答えはどのような暗号化システムを構築したかによって完全に違ってしまう。現在市中に流通しているマイナンバー暗号化ソリューションをざっと見てみたら、意外にも単純暗号化製品が多い。単純暗号化製品を導入しても、安全性は保障できない。というのも、情報を暗号化したとしても、すぐ安全になるわけではないためである。暗号化というのは、システムの環境全体に適用される一種の情報文化の意味で理解すべきものなのだ。したがって、暗号化を通じて十分な安全性を確保しようとするなら、データ暗号化プラットフォームの概念に立脚した統合型の暗号化ソリューションを導入しなければならない。

 

つまり、システムの環境的な特性に沿った要求やニーズに合わせながら、既に十分に検証された様々な暗号化アルゴリズムをすべてサポートし、一方向暗号化やカラム単位暗号化など、業務的なニーズに対応する適切な方法論を十分備えていて、