Posts

【コラム】情報セキュリティの環境変化とWAFの位置づけの変化

 

情報セキュリティの環境変化とWAFの位置づけの変化

 

22ヵ国50社の企業経営者を対象に行ったアンケート調査結果のまとめによると、今日の企業経営における最大のリスクは、「経済の不確実性」が1位で55%を占めており、「サイバー脅威」が50%の2位となっています。

しかし、経営の一線からは、「サイバー脅威」を最大リスクだと訴える声が多数です。経済の不確実性は常に言及されているリスクであるため、水があるのがあたりまえのように当然のこととされますが、新しく登場したサイバー脅威はなじみの薄いものでありながら、その勢いはますます強くなっています。また一度事故が起きたらすべてのメディアが先を争って報道しており、事後処理も困難でどうしたらいいのかという困惑の声も多くなっています。

サイバー脅威における最も深刻な問題は、その概念自体があまりにも難しくて何を言っているか解らないということです。関連書籍を探してみても熟練された技術者向けの技術書か理論とは言えないでたらめな経営書かであるため、学びたくても学べないのが現実です。そのため、経営と技術の間のギャップはさらに広がり、その隙間を狙う犯罪者や詐欺師によるICTに関する各種事件が相次いでいます。経営者とエンジニア、生産者と消費者、両方とも問題の解決策が全く見つけられません。恐らく、今日の企業経営における最大のリスクは「サイバー脅威の不確実性」かもしれません。

「サイバー脅威に対する対応ガイドが必要!」という現場からの要求が強く求められます。要求があれば、その解決策も出てくるはずですので、世界有数の経営諮問機関から定期的に発行されるICTの市場分析レポートが大変役に立ちます。

「ガートナー(Gartner, Inc.)」は、米国コネチカット州スタンフォードにあるICTの研究・助言を行う企業です。1979年に設立され、それならではの鋭利な分析力を武器として目覚ましい成長を成し遂げ、今や全体従業員5,700人のうち1,500人余りがリサーチアナリストとコンサルタントという世界最高で最大の研究集団です。

 

不確実性という海の灯台、ハイプサイクルとマジッククアドラント
「ガートナー」レポートのクオリティは、昨今の市場分析の象徴のように広く通用している2つのグラフだけでも十分証明できます。「ハイプサイクル」と「マジッククアドラント」、企業経営の意思決定に重要な資料であるだけに、簡単にそれについて探ってみましょう。

図1) Gartner’s 2015 Hype Cycle for Emerging Technologies

「ハイプサイクル(Hype Cycle)」は、特定技術の成熟度を視覚的に表現するためのツールです。当該技術の研究開発水準や市場の反応など様々な条件によって各項目を下記の5つに分類しグラフ上に表示します。

1)黎明期(技術の引き金、Technology Trigger)

2)流行期(過剰期待の頂、Peak of Inflated Expectations)

3)幻滅期(幻滅のくぼ地、Trough of Disillusionment)

4)回復期(啓蒙の坂、Slope of Enlightenment)

5)安定期(生産性の台地、Plateau of Productivity)

1)成長の可能性を秘めている技術に対する世間の関心が高まり、2)概念-モデルへの過度な注目のおかげで製品も造ってみるものの、その殆どは失敗になり、3)数多くの失敗でその関心が失われます。そこから生き残ったわずかの企業から成功事例が出はじめ、4)利益を設ける製品が生産されることにより、再び注目を集め、, 5)市場に一定のポジションを占めるようになり、品質を争っていく一連の過程です。殆どの技術がこのプロセスで進められます。

それを基にグラフを見てみますと、非常に面白いです。世の中に新しい用語が登場し、メディアでも大話題になるものの、すぐ冷めてしまいます。激しい競争の中で極わずかがやっと生き残り、成功していく過程が目に見えませんか。実に面白いですね。要するに、よくできたグラフです。ハイフサイクルの変化像を参考にすると、複雑なIT業界の不確実性もある程度消えていきます。冬場に車のフロントガラスの曇りをとるワイパーのように。

次は「マジッククアドラント(Magic Quadrant)」を探ってみましょう。「ガートナー」に負けないぐらい有名な研究集団である「フロスト・アンド・サリバン(Frost & Sullivan)」のグラフを探ってみましょう。「フロスト・アンド・サリバン」は40年の歴史を持つ企業成長のコンサルティング会社です。世界各国にある現地支社ネットワークを通じて、800人余りのアナリストから収集した情報を基に作成された市場分析レポートは、バランスのよい国際的視点と鋭利な解析力が高い評価を受けています。

図2) Frost & Sullivan’s Asia Pacific Web Application Firewall Vendors 2015

縦軸は現在ンの市場分布状況を意味し、横軸は将来に向いた成長戦略の優秀性と実行可能性を意味します。消費者の立場からは、アーリーアダプターの戦略にするか、レイトアダプターの戦略にするかなど、自社の意思決定基準により、グラフの4分割面上の候補群の位置と変化から異なるインサイトを得られます。もちろん、最終意思決定の段階ではなく初期検討の段階でそれを活用することが賢明でしょう。

グラフ上の企業の位置は、売上、流通ネットワークの規模と品質、従業員数、特に開発者の数とそのレベル、販売、サポートといった各事業分野別における従業員の割合などによって決定されます。最終結果物が単純な絵の形になっただけで、その裏にはなぜこのようなグラフを描いたかその理由を説明する読み終えるのが困難なほど分厚いレポートがあります。重要なのはグラフではなく、その分厚いレポートです。そのため、ハイプサイクルやマジッククアドラントなど簡単に描かれたグラフは、あまりにも忙しくてその分厚いドキュメントを読む時間のない役員などいわゆる「重役用のサマリー(Executive summary)」とみてもかまいません。

要するに、グラフは非常に主観的にみえますが、それを裏付ける普遍性は備えているため、客観性まで認められているのです。 「ガートナー」や「フロストアンドサリバン」など誰もが知っている有名なコンサルティング会社のアナリストは、実情は何も知らずただ机の前に座って難しい言葉だけを言っているわけではありません。現場の傾向を実質的に把握するための研究体制も充実していることも、業界を問わず彼らの分析結果を認める理由です。皆一応その専門性を認めてから見ているのです。

「その会社のアナリストより私の方がより詳しい!」 社内の当該専門家がアナリストより優れたエンジニアではあるものの、彼らのように業界全体を把握することはできず、業界内の人的ネットワークなどのため、客観性を失う場合も度々あります。簡単に言うと、アナリストの方がはるかにスマートです。不愉快でも仕方がありません。それは、彼らの「仕事」であり、彼らは公的に認められた専門家ですので、むしろ詳しくないのがおかしなことではないでしょうか。

したがって、経営陣はこれらのレポートを閲覧し沈思熟考したうえで、意思決定の過程でそれを参考にすると、大変役に立ちます。技術は、特にICT関連技術は、新陳代謝が非常に活発な生物で常に変化しているので、一度見たから十分理解したと思ってはいけません。 定期的かつ持続的な観察が必要です。少なくとも毎年更新されるグラフだけでもみましょう。

問題は常に新たに発生し、技術的判断の基準も常に変化しているため、その解決策も常に異なっていきます。実際に重要なのはある要素のグラフ上の位置ではなく、状況の変化によってその要素がどこからどこへと移動していくかです。つまり変化や、その変化の理由と根拠です。その一例を挙げてみます。

 

企業情報セキュリティ環境の変化とWAFの位置づけの変化
最近「ガートナー」のレポート上のWAFの位置づけが変わりました。去年までは、WAFを「クレジットカードのデータセキュリティ標準(PCI DSS: Payment Card Industry Data Security Standard)」など法的規制のため、仕方なく導入するものでしたが、その効用性を疑い、適者生存のルールにより市場からすぐ姿を消す商品」と定義しました。しかしながら、最近のレポートを見ると、「WAFは企業の情報セキュリティに必須不可欠な要素」へとその内容が変化しました。

文章表現からみても、「Hype Cycle for Application Security, Gartner 2013」では、「WAFは、他の競合製品に比べ、その効用性や拡張性が低いため、いまだにも小市場をせいぜい維持している」と評価を格下げしましたが、「Hype Cycle for Application Security, Gartner 2014」では、「規制対象に該当しないという理由でWAFを導入していなかった企業も、今はWebアプリケーションセキュリティの重要性に気づき、WAF導入がただ規制を充実させるための決定ではないことに気付いている。」とより現実的な評価をしています。WAFに対する態度が完全に変わりました。

何よりも、ある要素の位置づけがどう変化したか、その理由と根拠は何かが重要です。WAFの位置づけの変化の理由を類推してみると、

● 法的規制があるので嫌々買うのではなく、導入してみたら実際にセキュリティ効果が高かった。

● WAFの代案として挙げられている「セキュアコーデイング」は、結果的に非現実な希望にすぎなかった。

● 確実にセキュアなコーデイングを行って、管理・維持することはWAF導入より、多くのコストがかかる。

それで、WAFの位置づけが急速に上がったのです。このように変化そのものより、変化の理由に焦点を合わせてみる必要があります。

企業の情報セキュリティ環境は常に変化しており、そのリスクは日々高まっています。相次いでいるセキュリティ侵害事故をみてもICTリスクは、ビジネスの連続性を損ない、投資家の投資心理にも悪影響を与え、深刻な場合は社会混乱を招いて災害災難レベルの経済活動のマヒや企業活動の停止という結果につながる恐れがあります。それでも企業現場では、情報セキュリティに対する総合的な理解不足による意思決定の難しさを訴えています。

その時、「ガートナー」や「フロストアンドサリバン」のレポートを活用してください。不確実性という海の灯台のように、企業の意思決定に大変役に立ちます。

 

WAPPLES

 

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

【コラム】マイナンバー、完全な暗号化の必須要素

マイナンバー制度が始まりました。全国民の個人情報を一元管理するマイナンバー制度の施行は、その大きな趣旨にふさわしく大規模な電算システムが必要となる国レベルのインフラ構築作業であり、結果的にそのシステムは超巨大なデータベースでありながら超巨大なデータ暗号化システムとなります。
データ保護に向けた様々な技術的措置の中でもデータ暗号化は、技術的な面でも、安定性の面でも、最も重要で根本的な措置です。完全なデータ暗号化のためには、データに対する暗号化、暗号化・復号の鍵に対する安全な管理・運用、データ閲覧に対するアクセス制御および監査など、情報セキュリティ全般にわたる技術が求められます。その理由でデータ暗号化は情報セキュリティそのものであると言っても過言ではありません。データ暗号化について簡単に探ってみましょう。

マイナンバーは暗号化の必須要素

 

個人は、個人情報データベースにおいてそれぞれのエンティティとなります。個人情報は、識別者となるマイナンバーを含め数多くのアトリビュートを持っています。それぞれのデータは、当該情報がいかに重要なのか、漏洩時にいかに致命的な影響を及ぼすかなどの基準によって分けられます。また当該情報を取り扱う業務や分野によっても分けられます。業務を処理する上で、すべての情報が必要なわけではありません。

個人はマイナンバーとは別の「認証情報」で当該データが自分を特定するものであることを証明します。国のシステムはマイナンバーで個人を識別し、個人は認証情報で本人であることを証明するわけです。認証情報とはその人のみ知っている知識、その人のみ持っている所有物、その人のみ有する行為の特長や生体情報などを意味しますが、パスワードのようなものです。

まず、データそのものに対する暗号化が必要です。状況に応じて適切に選択し適用できるようにAES, TDESなど安全性、機密性、効用性が既に十分立証された多様なアグロリズムと鍵の生成方法などすべてを含む「暗号化方式」を支援する総合的なデータ暗号化システムが必要となります。

前述したように、個人の情報に対しすべてのデータが同様な重要度を持つわけではありません。情報そのものによって、それを取り扱う業務によって重要度は異なります。つまり、データベースにアクセス可能だからといって個人情報のすべてのデータを閲覧できたり修正できたりすることがあってはならないということです。そのためには、それぞれのデータを別途暗号化して管理できる「カラム暗号化」などの安全装置が必要です。

許可されていない者は暗号文の復号ができないようにし、許可されている者にのみ暗号化・復号の鍵とセキュリティの核心となる媒介変数に対するアクセスを許可する機能があるべきです。データベースの管理者であっても、あらかじめ許可を受けていなければアクセスできないようにすべきです。これが重要です。データベース管理者と情報セキュリティ管理者は全く違う概念です。重要データへのアクセスはユーザ権限、アプリケーション、アクセス時間、期間、曜日など条件を付けて制限できるようにし、そういった「アクセス制御」のポリシーも許可された者のみ修正できるようにすべきです。 また、円滑な「セキュリティ監査」のために、すべてのデータは操作に対する履歴、結果、主体、テーブル名、カラム名などクエリーのタイプによって検討可能にすることが求められます。

個人の認証情報は他の情報とは分離し、別途管理する必要があります。とりわけパスワーなどの認証データはそれを推測することを未然に防ぐためにSHA-256といったハッシュアルゴリズムなどの「一方向暗号化」が必須要件となります。また、すべての認証情報はできる限り個人を特定する識別情報とは物理的に完全に分離された場所に保管することを推奨します。

そしてこのすべてのシステムをデータ暗号化の核心と言える「暗号化・復号の鍵管理」システムズを通じて管理し、統制します。暗号化・復号の鍵を統合管理し、各種セキュリティポリシーを実務に適用する鍵管理システムは、すべてのシステムを効率的に運用するための一種のインターフェースと言ってもいいほど重要です。

これまでの内容を体系的にまとめますと、完全なデータベースの暗号化のためには、

1. 多様な暗号化アルゴリズムに対しその機密性の確保と検証は必須であり、
2. 暗号化・復号の鍵に対しては安全な管理や運用が可能で、
3. データの操作や閲覧に対するアクセス制御とセキュリティ監査を徹底しなければなりません。

その実現に欠かせない要素を羅列してみると、

● 多様な暗号化方式を支援する総合的なデータ暗号化システム
● 個人情報の各データ別に暗号化できるカラム暗号化
● パスワードなど認証情報のセキュリティに向けた一方向暗号化を支援
● 円滑なアクセス制御およびセキュリティ監査を支援
● 上記のすべてを総合的にコントロールする暗号化システムの核心となる鍵管理システム

このすべてのツールと機能が連携され作動しなければなりません。それでは、それらをまとめれば安全でしょうか。

統合型暗号化のトータルソリューションが必要!
市販されている暗号化ソリューションを見てみると、単なる暗号化システムに一方向暗号化とカラム暗号化、そしてデータベースへのアクセス制御ソリューションなどの付加装置の追加により、ある程度の機能を整えている製品は数多くあります。しかし、それは本当の問題を回避しようとする場当たり的な対応にすぎません。単に部品を組み合わせるような方法では統合型トータルソリューションにはならないため、全体の仕組みが複雑になるにつれてパフォーマンスが低下し、各要素の間で衝突が発生するなど、技術の根本的な問題は避けては通れません。他のすべてのシステムを連携するデータ暗号化システムの核心となる鍵管理システムは、適当に購入して構築すれば作動するものではありません。

これまでICT分野におけるすべての問題は、技術統合の失敗と、それに伴う副作用に起因していることを再度認識する必要があります。既にうまくいかなかったことをなぜ、またあえてやろうとするでしょうか。セキュリティはより簡単で容易に業務を処理するための道具ではありません。セキュリティは企業の潜在的なリスクを最小限のコストで最大限に効率的に統制するリスク管理ツールです。そういったセキュリティの趣旨を看過しては、現在の資産と将来の富を保護するというセキュリティの根本的かつ究極的な目的を事実上あきらめることです。

統合型データ暗号化のトータルソリューションが必要です。前述したように、すべてのシステムを統合することは、それ自体が常に難しいことであり、数多くの試行錯誤を重ねて初めて確保できるトップ技術です。長年の経験から積み重ねてきたノウハウこそ、ソリューションの核心と言えます。激しい戦場で数多くの戦闘を経験して取得してきた「ノウハウ」のことです。

規制が厳しく、処罰を免れるために泣き寝入り状態でセキュリティ対策を整えた?韓国の住民登録番号制度のように日本のマイナンバー制度も規制により厳しく統制されます。しかし、規制は、セキュリティにおける最も基本的な最小限の条件にすぎません。そもそも、セキュリティは完全にはなれず、進化を続けていくものです。

 

「このソリューションさえ購入すれば、法的規制は全部免れる」
と言う者を警戒しましょう。そう言っている者が多いのは確かです。しかし、実に懸念すべきなのは、規制による処罰ではなく、個人情報漏洩などの情報セキュリティ侵害事件のそのものです。政府の規制統制があるから適当なセキュリティ対策を行い処罰だけは免れたい、と安易に考えていては長期的な観点では深刻な被害につながる可能性が高くなります。

確実かつ完全な暗号化を目指すデータ暗号化専門企業は、まさにそのような被害を防ぐために常に取り組んでいます。情報セキュリティのために技術を研究することにより暗号化のパフォーマンスは向上させ、データベースのパフォーマンス低下は最小限にする製品を開発して統合し、チャレンジして失敗し、またチャレンジします。その長年にわたって積み重ねてきた技術、それが統合型暗号化のトータルソリューションです。

D’Amo(ディアモ)

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として2,100ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

 

【コラム】 OSS(Open Source Software)データベースは安全なのか?

 

OSS(Open Source Software)データベースは安全なのか?

「オープンソース」は哲学であります。ソースコードに対する全てのユーザのアクセスを許可することで、自主参加や協力によって最高の技術を生み出すことができるという信頼です。それはまるでジョン・レノンの「Imagine」のように、存在そのものを超越したロマンチックな魅力を持っています。

「オープン・ソース・ソフトウェア(Open Source Software、以下OSSと言う)」は、従来当たり前とされてきた「クローズド・ソース・ソフトウェア(Closed Source Software、以下CSSと言う)」の私有独占ポリシーに対立する概念として、人々の純粋な善意を引き付ける力を持っています。人々はその哲学に共感し、開発や配布、修正の作業に積極的に参加します。ひいては、「イノベーション」とまでいいます。

 

OSSの定義及びメリット・デメリット

 

正確に言うと、「オープンソース」とは、ただ単に、ソースコードを公開するということだけを意味します。オープンソースを無料と認識している人も多いですが、それは「フリーウェア(Freeware)」とその意味が区別できないことから生まれた誤解です。

「オープンソース」とは、ソースをオープンすることであり、価格をオープンすることではありませんので、明白にライセンスポリシーを持っているソフトウェアであれば、導入時に費用が発生する場合もあります。ほとんどのOSSが無料でダウンロードできますが、あるOSSは、当該ソースを修正したソフトウェアも無料で配布することをポリシーとして厳しく求める場合もあります。したがって、企業が保有している知的財産権の管理ポリシーと使用しているOSSのライセンスポリシーが一致しているかを予め厳密に調査する必要があります。

OSS使用のメリットは明確です。まず、個人ユーザはほとんどのOSSを無料でダウンロードし使用できるため、学習用としてよく使われます。そのため、企業にとっては、人材確保が容易になり、システムの導入コストも削減できます。しかし、CSSに比べレファレンスの文書化が整っていないため、開発プロセスを遅らせる原因にもなっていますが、視点を変えれば、自らこまめに勉強しなければなりませんので、担当者の技術的力量が強化されるとも言えます。

また、同じ哲学の「オープンフォーマット」とプロトコルを主に使うため、異種ソフトウェア間の相互連動性が高いという特性がります。それは異種機器間の異種ネットワーク連携が強く求められるユビキタス時代、最近の用語としてはIoT時代に欠かせない要素として高く評価されています。そのため、MSウィンドウズ基盤のGUIに使い慣れている一般ユーザにとっては、少数のハードコア開発者の趣味であると軽視さることもあります。

そして、OSSでは、ダウンロードしてインストールするだけの導入手続きで必要な演算機能を適時適切に使用可能となるため、開発プロセスの柔軟性やアーキテクチャ構築の実効性が高くなります。多くの人々が自主的かつ積極的に開発に入り込むOSSならではの環境のおかげで、最新技術の速い適用や、課題と解決策を皆がともに共有していく形で運用される開発環境のため、CSSに比べ、技術の進歩が速いのも大きなメリットです。積極的なコミュニティによる迅速な問題解決も、その効果が明らかです。

それで最近は、OSSの使用理由の断然トップであった「コスト削減の効果」以外に、クラウド、モビリティなど第3のプラットフォームに対する開発の利便性や、ビックデータ、ソーシャル技術といった新技術に対する高い活用性を挙げる企業も増えています。新しいビジネスやサービスを生み出す際に、OSSの特長は確かにプラス効果をもたらします。

その反面、営利を追い求める会社で厳しいスケジュール下で開発されるのではなく、100%個人の参加意志によって開発が行われるため、CSSの提供する確実で具体的なロードマップは期待できないことがマイナス要素となっています。それは、常に熱く議論されている「OSSは安全なのか?」という問題と共に、企業がOSSの使用をためらう大きな理由でもあります。

 

OSSは安全なのか?

 

OSSの安全性問題に対しては、常に熱い論争が起きています。独占的ソフトウェアに比べ「安全である/安全ではない」という意見が鋭く対立しています。主観的な意見は排除し、客観的に事実だけを探ってみましょう。

OSSは、世界数多くの開発者が、直接開発および配布し、デバッギングに参加します。そのため、閉鎖的な組織の中で開発され独占的ソフトウェアに比べ、比較的安定的に動作します。しかし、そのようなOSSの信頼性と安定性は、非常に多くの開発者が積極的に参加する場合に限って確保できることなので、そのOSSの開発状況や評判を注意深く検討する必要があります。導入した後にはもう遅いですので、導入する前に長い時間をかけて十分に検討する必要があります。しかし、検討そのものがあまりにも長くなり、「早くて迅速な開発」というOSSの大きなメリットを活かせない場合もあります。

また、OSSは営利を追い求める独占的ソフトウェアに比べ、不確実で不明確なロードマップを持つ運命にあります。ある日、突然使用が停止されたり、アップデートが停止されたりする場合もあり、ライセンス関連の法的イシューが発生してポリシーが変更される場合もあります。そうなると、たとえ当該OSSが高い安全性を持っているとしても、そもそも何の意味もなかったことになってしまいます。

決定的にOSSは開発プロセスにおけるその特性のため、「破片」になる危険性があります。主要機能を整えると、公開され、それ以降、ユーザのそれぞれのフィードバックに断片的に対応していく過程の中で、一つ一つ仕様を積み重ね、全体仕様を整えていく場合が普通です。特に注目すべきなのは、アーキテクチャ全体を検討するプロセスは省略される場合が多いということです。問題が存在し、その解決策があるという状態のままで総合的な検討は不在な状態であるということです。それは「セキュリティ性」にかかわります。

OSSの各部分は大体安全です。各機能は最高のセキュリティ性を持っている技術、広く認められているセキュリティ標準などを受け入れている場合が多数です。問題が発生すれば、全世界の数多くの開発者が問題の解決に当たるため、それぞれの部分に限ってはほぼ完璧に安全だといえます。しかし、ソフトウェアの仕組から見ると、各部分が安全だからと言ってその全体が安全だとは言えません。それとこれとは全く違う問題であります。セキュリティ性の核心を一文章にまとめると、下記のように表現できます。

 

「鎖の強さはその環のいちばん弱いところどまり」

 

開発および配布環境のため、おおよそ破片的な方法で問題を解決するしかないOSSのセキュリティにおける最大のリスクは、上記のようにまとめられます。

セキュリティ性は、総合的な体系を通じてのみ、確保できます。

全体ICTシステムの各階層や各部分を縦横問わず全体的に検討し、総合的に完成するべきなのが「セキュリティの体系」です。他の企業や組織で使われているセキュリティ体系やセキュリティソリューションが自分の会社や組織では抜け穴ばかりなのもそのためです。

ただし、暗号化したデータと暗号化・復号の鍵まで持って行かれたら暗号化自体根本的に意味がなくなるため、暗号化をするなら、「鍵管理」を想定しないと行けない。

基本的に各部分は安全であり、システムが構築できたら、全体の体系やユーザシナリオからセキュリティ性を再度点検し、それを踏まえて設計すべきなのがセキュリティです。各機能が安全だからと言って、全体のセキュリティまで担保できるわけではありません。

OSSを利用してシステムを構成する場合にも、各構成を整えた最終の全体構成図を基に、セキュリティを設計および点検する必要があります。そうでなければ、OSSの自由度を積極的に活用すると同時に十分なセキュリティ性を確保することはできません。

 

OSSデータベースの暗号化

 

代表的なOSSである「MySQL」を見てみましょう。企業が使用するOSSの3割以上を占めるほど、圧倒的なシェアを誇ります。それでは、MySQLは安全なのでしょうか?

部分的には安全だと言えます。安全ではないところを探すのはかなり難しいです。それほど、全世界の無数の開発者がMySQLの問題解決に努力しているということです。データ暗号化のためのツールも多く、ほぼ全ての暗号化方法論をサポートしています。事実上、解決すべきことはやっています。

それでも再度言わせてもらいます。MySQLは安全なのでしょうか?

安全かもしれません。

MySQLにおける総合的な安全性を確保するため、MySQLに関わる全てのセキュリティ要素を総合的に検討し、適切な方法を採用して「セキュリティの体系」を構築するのであれば、安全です。性能も考慮しなければいけないので、MySQLデータベースをエンジンレベルで暗号化するシステムの構築も必要であり、場合によってはAESのような国際標準暗号アルゴリズムもサポートできるようにする必要があります。また、パスワード暗号化のためには一方向暗号化を、インデックスカラムのためには部分暗号化を、PCI-DSS準拠のためにはクレジットカード番号のマスキング機能など全てが行われていれば、安全であるといえます。

勿論、そうすれば問題はありません。できないことでもありません。しかし、それはデータベースのセキュリティ専門家の仕事です。その全てを直接しようとするなら、ただ無料のデータベースを手軽に早く安く利用したかっただけなのに、完璧な情報セキュリティ専門家にならなければいけないことになるわけです。それでも、チャレンジしてみますか?

真剣に受け止めて下さい。貴方は貴方の仕事をするべきです。その仕事に集中してください。つまり、データベースを使いたければ、データベースを使えばよいのです。データベースのセキュリティのためには、データベースのセキュリティソリューションを利用すればよいのです。

OSSであるため、専用のセキュリティソリューションがなくて仕方がない?そうではありません。探せばあります。

MyDiamo(マイ・ディアモ)

 

MyDiamoは、OSSデータベースのセキュリティ対策に応えた暗号化ソリューションであり、MySQLおよびMariaDBに特化したエンジンレベルのカラム単位の暗号化ソリューションです。エンジンレベルの暗号化より、セキュリティとパフォーマンスの両立を実現します。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

【コラム】マイナンバーを守るための対策、最も根本的なセキュリティ論点

 

マイナンバーを守るための対策、最も根本的なセキュリティ論点

マイナンバー社会保障・税番号制度の施行を目前に控え、個人情報の保護やシステム的対応をめぐる論争が熱い。そんななか、誤解も広がっていることから、明確に認識しておかなければならない、最も重要な事案に回答することで、この誤解を払拭することに一役買いたい。

「マイナンバーを暗号化すれば、対策は完璧」

「暗号化しておくと、そのあとの取扱いは気にしなくていい」

結論から言わせて頂くと、「違う」。データを暗号化しても、データの管理における厳密度は下げてはいけない。関連コンプライアンスにもそう明記されており、 「特定個人情報保護委員会」より公表されているガイドラインによると、暗号化等を採用し変換された個人識別番号に対し、変換前の個人識別番号と同レベルで取扱いすることを明らかにしている。

「マイナンバー保護の最大のリスクは、一体何?」

実は、データ暗号化というのは、簡単な作業ではない。ICTシステム全体にわたり、広範囲で適用しなければならない非常に大変な作業となるため、「マイナンバー保護の最大のリスクは」と聞かれると、簡単に回答はできないが、その中で一つを選ぶとすれば、個人情報を取扱いする実際の現場での日常的な活動から見ると、それは、

「マイナンバーには、”誰”がアクセスできるのか?」

ということである。情報にアクセスできるのは、”誰”なのか。それは、アクセス権限を持っている者である。じゃ、そのアクセス権限を付与するのは、”誰”なのか。非常に残念なことであるが、個人情報保護における最も大きなリスクに直面してしまう。殆どの現場では、アクセス権限を付与する”誰か”は、「システム管理者」か、又は「データベース管理者」であり、その人が”セキュリティ管理”も兼業してしまう場面に遭遇する。

このような状況は、実に変だと思うべきだ。システム管理者は、組織におけるシステムの運用および管理に責任があるわけで、データベース管理者は、当該データベースにおける運用や各種問題に対応する責任があるわけだ。そのため、この担当者らは、セキュリティの求められている個人情報そのものにアクセスする権限を持たせる必要もなければ、そもそもアクセスする必要自体がない。更に、このシステム管理者とデータベース管理者が、なぜセキュリティポリシー、つまり個人情報へのアクセス権限を設定し運用してしまうのか。「システム管理者だから」という極めて単純な論理で、セキュリティ管理者でもないシステム管理者が組織のセキュリティポリシーを総括する大役を背負ってしまう場合は珍しくない。これこそが実際現場レベルで引き起こされる個人情報保護における最大のリスクである。

データベース管理者のDBA(Database Administrator)に関しても当然ながらセキュリティ管理者との明確な職責分離を実現しなければならない。暗号化したデータに対しては、許可されたユーザのみがアクセス可能にすべきであり、いくら全権限を持っているDBAでも、セキュリティ管理者からの許可がなければ暗号化データの復号はできないようにすべきである。

長年情報セキュリティをやっているとよく耳にする言葉がある。

「セキュリティはチェーンのようで、このチェーンの強度は、最も弱い箇所の強度で決まる」

要するに、情報セキュリティ全体を構成する全ての要素が高レベルで維持されていなければならないということである。そのシステムのセキュリティのレベルは、最もセキュリティのレベルが低い箇所によって評価されてしまう。そのため、弱いところを突かれてしまうと、システムの全体がダメになってしまうものだ。最も弱い箇所というのは?状況によって答えはそれぞれだと思うが、個人情報の保護における最弱の箇所は、DBAとセキュリティ管理者の職責分離である。

「では、個人情報に対しアクセス制御を行っていれば、全ての問題が解決されるのか?」

これには、簡単に答えられない。データセキュリティにおいて「暗号化」と「アクセス制御」は、その優位性を主張してきた。この二択の選択肢を持ったユーザは、その選択を迫られてきた。暗号化とアクセス制御は、セキュリティにおけるアプローチから明白に異なっていて、メリット・デメリットがあり、今になってもユーザからみたら、選択できないでいる。

早速結論から言わせて頂くが、データ暗号化が答えになる。なぜ?

1. セキュリティレベル

アクセス制御のソリューションのベンダーは、よく言う。暗号化に比べ、構築および導入においてその簡単さからシステムの可用性が高く、アカウント別に情報へのアクセス権限を付与又は遮断することで、情報漏えい事故を未然に防ぐ効果があると。しかしながら、これは、システムおよびネットワークのパフォーマンスに与える影響の面で暗号化と比較しているだけで、本来のセキュリティの面では、言及をしない。これはセキュリティの面では、暗号化のほうが優位にあるという逆説ではないかとも思えるし、事実上そうでもある。

暗号化ソリューションのベンダーは、よく言う。アクセス制御に比べ、高セキュリティを保障できると。万が一、情報漏えい事故が発生したとして、データが暗号化されているのであれば、内容は解読できたい状態であるため、安全だと。そして、暗号化こそが根本的なセキュリティ対策になると訴えている。もちろん暗号化にもデメリットはある。過去には、長い構築期間や暗号化後のパフォーマンス劣化が懸念されていて、とりわけ、パフォーマンスやシステム安定性が強く求められる金融業界では、暗号化前後のパフォーマンスの劣化を予測できないということから、暗号化の導入をためらってきた。

このような話も、今や昔話に過ぎない。暗号化は、構築期間、パフォーマンス、安定性等に非常に敏感な金融機関のような現場に次々と導入され、これまで指摘されてきたシステムの可用性の問題を乗り越えたと評価されている。 アプライアンス型の導入によるハードウェアとソフトウェアの一体型にてデメリットとして指摘されていたスピードの問題まで、完全に解決した。その結果、今は、誰も「暗号化は、セキュリティ的には高いと思うが、スピードが出ない」とは言えなくなっている。

その反面、アクセス制御のセキュリティには相変わらず疑問が残っている。アクセス制御システムは、データの存在する内部システムではなく、外部システムとして新規構築する。それは、事実上もう一つの管理権限を作ることになり、マイナンバーデータに対しセキュリティ管理者を指定することではなく、データベースのアクセス制御のための管理者を新設することを意味する。つまり、根本的な対策にはならないということ。なお、アクセス制御にて指定したパス及び条件に該当しないアクセスの場合、対象外となる限界もある。

2. 情報漏えいがあっても、基本安全

完全なる情報セキュリティは存在するだろうか。残念ながら、存在しない。完全なるセキュリティを目指して日々努力を重ねていくのみである。

セキュリティ対策は、「情報が最初から外部に漏出しないこと」を前提とする嫌いがある。情報漏えいを抜本的に遮断するためにあらゆるソリューションを採用し対策を講じても、絶えずに大規模な情報漏えい事故は発生し報道されていることをみると、深刻な問題を抱えている単なるリスク管理の論理であるというしかない。大変残念だが、情報は漏出するものである。情報は短時間にて広範囲にわたり広がる性質を持っている。よって、情報漏えいは、必然的であり、人間が完全に防ぐことはできない。情報というのは、そもそもそういう性質だから。

情報漏えいを防ぐために最善を尽くすべきだが、万が一の状況に備えて、万全の準備をしなければならない。漏えいしてしまってからの「回復力」が求められる。情報漏えいの影響を最小限に抑え、日々の業務状態に戻すまでがどれだけ短時間で内部および外部に影響を与えずにできるかがポイントとなる。暗号化は、情報漏えいが起きてしまった場合でも、情報を安全に保護できる唯一な方法である。有意義な情報をビット単位の無意味な文字列に変換することで、解読できなくすることで情報漏えいの目的を根本的に遮断する方法でもある。情報が漏洩されたとしても、その中身は読み取れないという、究極な方法とも言える。

ただし、暗号化したデータと暗号化・復号の鍵まで持って行かれたら暗号化自体根本的に意味がなくなるため、暗号化をするなら、「鍵管理」を想定しないと行けない。

3. 暗号化とアクセス制御の両面に対応できる

的確に導入および構築されている暗号化システムでは、”誰”が暗号化・復号の鍵を持つのか、指定することにより、情報へのアクセス権限を管理できる。つまり、鍵管理が適切に行われているのであれば、アクセス制御のソリューションのベンダーが主張している部分はできてしまうことを意味する。逆に、アクセス制御ソリューションにおいて、暗号化ソリューションが提供するセキュリティは、確保できるのか。そもそもそういう構造ではない。

データ暗号化を前提とし、セキュリティ管理の一環としてアクセス制御ソリューションを活用する方法は考えられる。市販のデータ暗号化製品の中で、セキュリティに関する正確な概念を持って設計されているソリューションの場合は、データベースおよび暗号化されたカラム単位でアクセス制御を設定できるインターフェースがすでに実装されているため、個別にアクセス制御ソリューションを追加構築する必要もない。

また、暗号化システムを構築すると、組織全体におけるデータ管理のプロセスが変わることになる。こうした変化は、開発プロセスにも影響を与え、データの生成・共有・廃棄というデータのライフサイクル全体における暗号化・復号の鍵をどのように管理するのかを考えないと行けない羽目になる。これは、とてもポジティブに受け入れるべきであり、データの処理プロセスはもちろん、開発プロセスまで一段階ランクアップするきっかけになるからである。このようなことを既に経験している数多くの海外の企業は、暗号化導入後の満足度が高いと評価していて、これは、暗号化から企業のデータ管理セキュリティの意識が生まれるとも言えるだろう。

繰り返すようだが、

「個人情報に対しアクセス制御を行っていれば、全てのセキュリティ問題が解決されるのか?」

答えは、「解決できない。 暗号化が必要である。」

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として2,100ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

【コラム】韓国から見た日本年金機構の個人情報漏えい事件を語る

 

韓国から見た日本年金機構の個人情報漏えい事件を語る

 

マイナンバー社会保障・税番号制度の施行を目前に、必要なセキュリティ対策とは。
日本年金機構の年金情報の管理システムがハッキングを受け、125万人もの個人情報が漏えいされる大事故が発生した。日本の公共機関としては史上最大規模の事件であり、今後被害がさらに拡大する恐れもあることから、マイナンバー社会保障・税番号制度の施行を目前に、個人情報の管理における懸念や不信の声が高まっているという。韓国では常に目にしている「このシーン」が他国でも起きていることを見ていたら、妙な気持さえする。「ようこそ、地獄へ」各種メディアから報道されている事件の全貌から、その本質と核心を探ってみたところ、どうやら、セキュリティ対策といって、何をどうすればいいのか、はっきりしていない。一つずつ綿密に突き詰めていけば、問題の核心に近づけるはずだ。

現段階であがっている問題とその対策は、概ね以下の通りだ。

「発端はウイルス感染なので、問題はアンチウイルスソフトなのか。」
「組織の内部ネットワークによる拡散なので、ネットワークセキュリティに集中するべきなのか。」
「データを安全に保管していなかったので、データベースを暗号化すれば、済むのか。」

1. アンチウイルスソフトは対策にならない

最初にウイルスを発見した時、外部の管理会社は、「情報を漏えいできるようなウイルスではない」と判断した。恐らく従来型のウイルスを装った悪性コードであろう。アンチウイルスは、既存のリストからマッチングさせるシグネチャベースであるため、そもそものはなし、その限界がある。最近の情報セキュリティの傾向をみると、「アンチウイルスの導入は、基本中の基本」とみられる。しかし、実際には、それは対策にはならないのだ。攻撃者の立場で考えてみよう。「標的」を定めた攻撃者は、既知の攻撃のパターンを用いるバカなことはしない。市販のアンチウイルスソフトにてテストしてから攻撃に挑むだろう。だからと言って、市販のアンチウイルスソフトが不要というわけではない。少なくとも、「新米」のハッカーによる攻撃に対する対策としては、十分有効だろう。

 

2. ネットワークのセキュリティ対策で済む問題ではない
殆どのWebハッキング攻撃のパターンは、通常1次攻撃と2次攻撃にわけて考えられる。1次攻撃は、外部から標的の内部ネットワークに潜入すること、そして、2次攻撃は、1次攻撃の成功を持って内部のネットワークおよびシステムを支配し、目的を達成することを意味する。2次攻撃により成し遂げたいのは、「重要なデータ」である。最近の攻撃には、一昔前までの攻撃のようにただシステム上不具合を意図する愉快犯的な試みもないわけではないが、大規模のシステムを狙う場合のコストを考えても、得るもの(対価)がなければ、狙うも者もいないのが定説になっている。得るものとは?個人情報といった、いわゆる「カネになるもの」であることは、想像に難しくないだろう。

今回の事件に戻ろう。1次攻撃の試みとしてEメールを用いていることに注目する必要がある。通常のネットワークレベルのセキュリティ製品では、Webを介し転送されるEメールやWebコンテンツを監視対象にすることができない。「コンテンツ」はネットワークのL7(OSI 7レイヤによる分類)にてその「正体」が分かるが、主にL4を管理するネットワークセキュリティ製品は当該コンテンツの悪意を判断できないためだ。ここでL7を監視できる「WAF(Web Application Firewall、Webアプリケーションファイアウォール)」の出番となる。

だからこそ、ただ「ネットワークセキュリティ」だけでは、済む問題ではないというのだ。最初に感染した福岡支部の職員のパソコンをネットワークから完全隔離したにも関わらず、まもなく東京本部でも感染が確認され、すぐさまその広がりをみせた。ネットワークセキュリティにおける階層の脆弱性を利用したに違いないだろう。一体どれだけ「WAF導入の必要性」を訴えれば、分かっていただけるのか。残念なことばかりだ。

 

3. 単なるデータ暗号化では、十分ではない

 

今回の事件の当事者である日本年金機構やその監督機関である厚生労働省の方なら大変耳障りであるお話になるが、そもそもの話、なぜデータの暗号化をしていないのか。これは国民の個人情報を扱っている機関として恥を知るべく、この場を借りて指摘したい。もはや日本も韓国のように個人識別番号のマイナンバー社会保障・税番号の制度の施行を目前にしているものの、個人情報におけるセキュリティ対策として暗号化に関するコンプライアンスを定め、社会インフラを整備し、具体的な方法論を官公署のみならず民間にも浸透させていく等、特段の措置を取る必要がある。言うまでもなく、当然なことであろう。

「データ暗号化」は、事実上非常に複雑なものである。そのアルゴリズムは簡単であるものの、暗号化は複雑である。なぜだろう?

今後、これと類似した事件がどれだけ発生するかによっては、既存の個人識別番号を別な番号に「変換」することも考えられる。韓国がそうであった。そして番号を扱うシステム自体が「番号」の形式や属性に依存しているのであれば、「FPE (Format Preserving Encryption, 形態維持暗号化)」といった、より高度な暗号化技術が求められる場合も必ず出てくる。そのため、なりすまし防止への対応と同時に多様な環境への対応にも備えるべきだ。セキュリティを強調すると、その使用環境は狭まる傾向がある。しかし、セキュリティのためだといって、今更ながら特定の指定されたパソコンのみ使うことを強要することはできない。モバイル環境にも、個人情報が流れているPOS(Point Of Sale, 販売時点情報管理)システムなどにも、対応しなければならないのだ。要するに、単なる暗号化ではなく、「データ暗号化プラットフォーム」の構築が求められているということが言いたい。今回のような個人情報の漏えい事件により、当分は本人確認手続き等が厳しくなるだろうが、同時にデータ暗号化の仕組みは、ICTシステム全体にわたって適用されなければならない。単なる暗号化製品を提供している会社はいくらでもある。しかしながら、データ暗号化プラットフォームの全体をカバーできる暗号化専門会社は、そうはいない。必ず暗号化のコア技術を保有している「専門会社」と相談してもらいたい。

事件の全貌やその対策に関して検討してみた。 繰り返しいうが、韓国では、常に目にしていたシーンであり、日常茶飯事である。

日本の開発者、そして個人情報の管理責任者に言いたい。韓国では10年以上も前から毎日のように目にしていることであると。個人情報の管理と漏えいの問題は、日本にとっても他人のことではないことを認識してもらいたい。

WAPPLES

 

WAPPLESは, 世界各国117,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として2,100ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

 

【コラム】マイナンバーの導入!カギとなるのは、データ暗号化!

 

マイナンバーの導入まですでに1年を切り、日本国内ではそれに対する様々な声が高まっています。データ工学専門家として関心を持たざるを得ない話題であり、日本政府の発表内容とその反応に注目したいです。
元々の導入目的である複雑な行政手続の簡素化への期待や、IT業界の成長を成し遂げる決め手になると見込まれるなど肯定的な意見も多い反面、プライバシー侵害や個人情報漏洩といったリスクに対する懸念の声も多いです。それは当然のことでしょう。国をあげてのインフラ整備や政策の策定・実行していく上で現れる明暗は、どの国でも同じではないかと思います。韓国の「住民登録番号」と日本の「マイナンバー」マイナンバーは、各種年金、保険、納税、運転免許、パスポートなどそれぞれの行政機関で行われていた業務を、国民一人一人に固有の識別番号を割り当て、情報を一元管理して業務の効率性向上や無駄な重複投資の削減を図ることが狙いです。それは、韓国で使われている「住民登録番号」とよく似ています。したがって、住民登録番号を利用することによって韓国で発生した様々なセキュリティ問題を踏まえて、「マイナンバー」管理システムが今後取り組むべきことについて考えてみましょう。
韓国の「住民登録番号」における問題点は、大きく2つあります。
最初に、個人識別番号そのものに盛り込まれている情報が多すぎることです。住民登録番号だけで、特定人物の生年月日はもちろん、性別、出身地域まで判別でき、その情報を基にデータの整列と検索を行うことで、その他の情報も簡単に推測することが可能です。それは、数十年前の「紙文書時代」に作られた住民登録番号が、元々秘密設計されていなかったためです。それに比べ「マイナンバー」は、設計の段階から韓国の「住民登録番号」のように番号そのものに情報が盛り込まれていないため、このような問題は生じないと思われます。

次に、事実上再発行不可能な単一の固有番号が、余りにも多くのデータベースの識別インデックスとして使われることによって生じる技術的なセキュリティ問題の深刻さを挙げられます。その問題を解決するために韓国では、「i-PIN」という任意に生成させた値を使い、問題が発生したら振替番号を新しく割り当てる、インターネット上の身元確認番号システムが提案されました。しかし、完全に定着している「住民登録番号」システムには追い付かず、業績も伸び悩んでいます。「住民登録番号=インデックス」という設定による問題は今もなお残されています。
個人識別番号をデータベースの識別インデックスとして使うことが、なぜ、問題になるのでしょうか?
一般のデータベースには、テーブル処理と検索のためにインデックス値が必要となります。インデックスは,高速の検索動作だけでなくレコードアクセスに関わる整列など、動作のベースになります。そのため、重複項目はインデックス値として登録できず、テーブル上での完全な固有性が求められます。つまり、効率性だけをみると、完全な単一の固有個人識別番号がインデックスとして使われるのは、適合だといえます。実際にそのように処理される場合も多いです。

ところが、インデックスは、データベースのテーブルの中でも、最もよく呼び出されるものであるため、事実上完全隠蔽は不可能であります。
残りの全ての情報につながるカギとも言えますが、それが露出されており、また多くのシステムに通用するものであるとしたら、それは情報セキュリティの深刻な弱点になりかねません。さらに、インデックス値がユーザの身元を確認することにまで使われるとしたら、ユーザの全ての個人情報がもれなく流出されてしまう最悪の結果につながります。
「マイナンバー」セキュリティソリューションの選択基準
韓国の「住民登録番号」と同様に、日本の「マイナンバー」も徹底した暗号化のプロセスを通じて処理、保存しなければなりません。その重要性は言うまでもなく、それに関わる研究も活発に行われています。その中で、最も信頼できるのが、個人の識別が可能な重要情報は徹底に隠し、それを代替する他の適切な値を使う方法です。

その方法に対する研究も活発に行われており、「トークン化(Tokenization)」をはじめ、フォーマットを維持した暗号化である「FPE(Format-preserving encryption)」など、多様な方法があります。その全ての方法に専門性を持っていて現場の必要に応じて最適の方法で対応できるデータ暗号化専門企業との緊密な連携が何より重要となります。

「マイナンバー」の値を他の値に置き替えて使う方法などを支援するセキュリティソリューションのビジネスは、今後、日本の情報セキュリティ市場をリードすると見込まれます。国レベルのインフラ事業をはじめ、個人事業など大小問わず事業が立ち上がり続けるでしょう。約500万に至る全ての日本の企業は、1年以内に新制度に対応しなければならなく、それに伴う混乱は避けて通れないことです。

この時期にこそ、雨後の筍のように出る「マイナンバーセキュリティソリューション」に対して技術面で適切かどうか、判断に慎重を期す必要があります。従来のITシステムを大きく変更しないままセキュリティを十分に確保することは、大変難しいことです。導入前後の点検も簡単な問題ではありません。
本当に安全な暗号化なのか、従来のプロセスを害することはないか、ソリューションを導入するには、従来のシステムにどのくらいの修正が必要となるのか、修正作業の難易度はどの程度なのか、複数のシステムが繋がっている連携システムの場合、システム間のネットワーク通信区間のセキュリティは安全なのか、今後のシステムの管理や運用に適切なのか、メンテナンスは円滑に行われるのか、そして、決定的にソリューションの価格は妥当なのかなど、考慮すべきことは山ほどあります。

時期が時期だけに、特に、導入費用に関しましては徹底に調べる必要があります。好機を逃瀬ないと思い、低性能の製品を高い価格で販売するなど、市長と消費者を裏切る悪意を持った事業者は必ずあります。
混乱が予想できる時期にあるだけに、問題の核心に集中することを推奨します。問題の核心とは、データ暗号化そのものです。ソリューション導入を決定する前に、データ暗号化専門企業と十分に相談し、状況に適切な対応ができるように体制を整えることが必要です。

日本は、韓国で起きた住民登録番号のセキュリティに関する大騒ぎを反面教師にすべきです。これまで長い間、 同じ性質の問題に悩み、解決し,乗り越えてきた韓国のデータ暗号化専門企業のノウハウをご参照ください。

 

 

 

【コラム】SAPは、会社そのもの、徹底したセキュリティが必要!

 

SAPは、会社そのもの、徹底したセキュリティが必要!
– SAPのデータ暗号化の二つの方式
 
総合型(業務横断型)業務リソース管理(Enterprise Resource Planning, ERP)は、企業も経営および管理のためのコンピュータシステムです。会社内部の各部門にわたり、それぞれ運用されてきた、様々な経営リソースを一つの統合システムとして管理することで、生産性を最大限にする経営の革新のツールです。

ERPセキュリティ

ERPを通じ、会社は、様々なリソースのフローを処理し、監視します。リソースの効率的運用のため、関連データを収集し解析することで、最適な経営的判断ができるようにサポートすることもERPのロールです。そのため、ERPはデータベースを基盤としリソースを管理します。各部署の意思決定の結果は、部署の活動と密接に影響を与え合うため、会社全体のシステムは、有機的に統合され、縦と横を駆けぬきながら連携されたシステムのフローは流れ続けて行きます。

様々なERPソフトウェアがありますが、その中でも、
「SAP(Systems, Applications, and Products in Data Processing)」は代表的なブランドです。全ERPのマーケットにて約50%のシェアを誇り、今シェアを拡大しつつあります。様々な業種と規模の会社で採用していますが、特に大手企業がSAPを好む傾向にあります。SAPを採用し、製造、開発、購買、マーケテイングサービス、流通、会計等の業務を統合管理するため、会社のビジネス活動そのものと言えます。

会社の活動においてERPの比重は相当大きいため、ERPセキュリティこそ会社セキュリティそのものと言っても過言ではありません。会社システムは、会社内部のみ閉鎖的に利用されているため、比較的安全だという考えが多いですが、Web社会の本格化、そして系列会社を含んだ全社的に統合されたシステムの構築が求められているため、社内外の区分が薄れてきています。またSAPもCRM, SCM, SRM等拡張パッケージをERPシステムと連携し統合しています。その結果、ERPシステムのセキュリティ問題は、技術的次元を超えてビジネス的次元へと拡張されていると言える時代になりました。

 

SAPデータ暗号化

 

ERP内部には、従業員の個人情報、金融取引履歴、営業機密等、重要な情報が格納されています。このような情報は、漏えいされてしまうと、その会社の存続自体が危ぶまれる程、機密な情報であると同時に個人情報保護関連の法律により暗号化が必須である情報でもあります。

しかしながら、会社は、ERPデータの暗号化にすぐさま踏み切ろうとはしません。格納データの構造や属性等といった固有の特性により暗号化自体がそう簡単には行かないためです。特にSAPの場合、その特性上データのタイプおよびデータ長を変更することが非常に難しいため、データの属性を維持すると同時にセキュリティを実現することの両立は厳しい課題でもあります。

SAPにてデータ構造を変更するには、色んな制限があります。SAPソリューションにてデータ構造は、標準化および可読性を重視したかたちで構成されているため、データ長および属性の変更を推奨していません。同時にSAPのポリシー上標準機能に影響を与えない範囲内で追加機能の開発は認めているものの、標準機能自体を変更することは推奨していません。

例えば、データ長および属性を変更するか、あるいはプログラムコードを変更する場合、SAP動作において想定外の問題が発生する恐れがあり、その際の対応および保守は、会社が負わなければなりません。そのため、SAPに対しては、通常のデータベースの暗号化ではない、別な方式でアプローチする必要があり、これこそが、的確なSAPセキュリティの選別の決定球となります。

 

SAP暗号化方式

 

SAPデータ暗号化には、大きく2つの方式があります。

その一つは、クレジットカード番号CCN、個人情報、取引情報等といった高度なセキュリティの実装が求められるデータのみをソートし、AES等の通常の暗号化法方式を採用したセキュリティDBに格納する方式です。SAPシステム内部にて実際のデータの代わりに「ランダムなトークン」に置き換えを行うため、「トークナイゼーション(Tokenization)」と言います。主なデータのみを別に分類し安全に格納するという点では、容易な方式と見られますが、各システム間の通信の確立が必須であり、全体的にシステムが複雑になるため、パフォーマンスに大きく影響を与える恐れがあります。

次の一つは、暗号化装置をSAP内部に搭載し、システムと連動する、フォーマットを維持した暗号化、「FPE(Format-preserving encryption)」があります。SAPシステム内部にて動作することで、システムのパフォーマンスには殆ど影響を与えない反面SAPデータベースにあるトークンは実情報であるため、暗号化アルゴリズムおよび鍵管理等高度なセキュリティが必要されます。そのため、必ずFPE専門企業の製品のみを利用することが重要なポイントになります。

重ねて強調したいことですが、ERPセキュリティは、非常に重要です。その中でもSAPセキュリティは、実装においてはシステムの特徴上より厳格に検討を重ねて行く必要があります。 今回のコラムでは、SAPセキュリティの第一歩として、データ暗号化方式についてお話しをしました。

パフォーマンスおよび高度なセキュリティの両立を望むのであれば、トークナイゼーション方式よりはFPE方式のほうが、より適切な方式と言えますが、その際には、必ずSAPセキュリティに関する総合的な知識のあるセキュリティ専門企業と密接に話し合い、プロジェクトを進めて行くことを心掛けましょう。

【ニュース】ベネッセ社個人情報流出事件からみた韓国と日本の対応の違い

 日本国内最大級情報セキュリティ専門ポータルサイトのScanNetSecurity編集部
ペンタセキュリティのソウル本社を訪問

 

同社のCTOであるDukSoo Kimと韓国と日本のセキュリティ事情の違いをインタビュー
>>>韓国における大規模情報漏洩事故発生時の経営責任

7月14日ペンタセキュリティ本社を訪問した、日本国内最大級情報セキュリティ専門ポータルサイトのScanNetSecurityの編集部は、今回のベネッセ社個人情報流出事件からみた、韓国と日本の対応の違いを取材しました。

******

ベネッセの情報漏えい事件では何名かの取締役が辞任したが、韓国では、大規模情報漏えい事故発生時に経営者に罰則を科す法律がある。韓国のセキュリティベンダ Penta Security Systems Inc. の CTO である、Duk Soo Kim 氏にソウル本社で話を聞いた。

――韓国の個人情報保護の経緯と歴史を教えて下さい。Kim:韓国では2009年に個人情報保護法が施行されましたが、相次ぐ漏えい事故の発生を受け、管理責任者が安全対策の不備を認識していた場合、発生した事故に関する責任を明確化する改正が2011年に行われました。

 

――リスクを認識していながらそれを放置していた場合ペナルティが科されるということですね。

Kim:そうです。しかし、それでもまだ不充分であるということで、2013年に再度法改正が行われ、たとえ管理者が充分と思われる対策を実施していたとしても、CEOを含む管理責任者に、懲戒や更迭などを含むペナルティが科されるようになりました。今年2014年8月から施行されます。

 

――今年1月に韓国で発生したクレジットカードの情報漏えいでは、ロッテ社など大手の取締役の多くが辞任に追い込まれています。一方で、日本では韓国よりもずっと早く個人情報保護法が作られましたが、ペナルティを伴う運用は行われていません。

Kim:情報漏えい事故が起こるたびに、記者会見で謝るだけの社長や取締役の姿を韓国の誰もが見飽きたのだと思います。一方、経営陣への罰則は、現場のセキュリティ管理責任者と経営者の間にあるギャップを埋めることも目的としています。経営者はセキュリティ対策をコストと考え投資を敬遠する傾向にあるからです。現在韓国では、金融委員会が金融機関向けに、IT予算の7%をセキュリティ対策費用として計上すること、社員の5%の人数をセキュリティ対策部署の要員とすることと定めています。

 

――なぜ韓国ではこういった思い切ったルール決めが可能なのでしょうか。

Kim:一つは、韓国ではインターネットバンキングや、電子政府サービスによる行政書類手続など、ネットでできることが非常にたくさんあって、犯罪者の利益が大きいからだと思います。

二つ目は、情報漏えいによる被害が非常に身近だということです。たとえば韓国から盗まれた個人情報が、中国の犯罪組織に売却されて、ハングルを話せる中国人による電話詐欺が行われる犯罪があるのですが、韓国の成人の半数くらいは、一度はこの電話を受けたことがあります。こうした詐欺は、韓国のバラエティ番組でコントのネタになるくらい国民にとって身近です。中国から来るこうした詐欺電話の話し手のハングルには、北のイントネーションがあるので、それをネタにするんです。

 

――Penta Security Systems は、今後の韓国のセキュリティにどのように寄与していくのでしょうか。

Kim:私は根本的な対策は暗号化だと思っています。重要なデータの棚卸しを行い、情報管理のライフサイクルに暗号化を組み込んでいく必要があります。たとえば、個人情報が入ったファイルは暗号化することを義務づけるなどです。また、当社は WAF の国内最大手として支持をいただいていますが、そもそも開発段階からセキュリティを考慮したアプリケーション開発も進める必要があります。

 

最後に、エンタープライズだけではなく、個人やSMBも対象に、セキュリティの大衆化を図っていきたいと思っています。WAFをアンチウイルス並に簡単に利用できるようにしていく一方で、オープンソースDBMS向けの暗号化ソリューション「MyDiamo」などを公開しています。

 

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として2,100ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5573-8191

 

 

【ニュース】ペンタセキュリティ、アメリカ法人設立し、グローバル企業として挑む

ペンタセキュリティ、日本法人に続きアメリカ法人を設立し、

グローバルなセキュリティ企業として挑む

2009年日本法人設立、そして2014年アメリカ法人設立で、世界にペンタセキュリティを発信する

 

ペンタセキュリティシステムズ株式会社(代表取締役社長 李 錫雨)は、アメリカのテキサス州オースティン市にアメリカ現地法人のPenta Security Systems Corporationを設立し、本格的なアメリカのマーケットへの参入を表明しました。当社は、MySQLセキュリティおよびMariaDBセキュリティを実現するのエンジンレベルの暗号化ソリューションのMyDaimo(マイ・ディアモ)と今年下半期リリース予定であるユーザ体験型セキュリティサービスへのニーズが、アメリカを含む北米および中米を中心としマーケットが形成されていくなか、アメリカ法人を設立することで、積極的にニーズに応えていく方針を明らかにしました。

 

当社のグローバルビジネスを担当しているJason Yooは、”ソフトウェア基盤の企業がグローバルなマーケットで競争するためにアメリカに拠点を確保することが先決条件だと判断した。日本を含むアジア、そして北米までユーザのニーズに応えることで、グローバルなセキュリティ企業として歩み出して行きたい”と表明しました。

 

MyDiamo(マイ・ディアモ)

MyDiamoは、OSSデータベースのセキュリティ対策に応えた暗号化ソリューションであり、MySQLおよびMariaDBに特化したエンジンレベルのカラム単位の暗号化ソリューションです。エンジンレベルの暗号化より、セキュリティとパフォーマンスの両立を実現します。

 

WaaSup(ワッスアップ)

WaaSup(Web security As AService UP)は、ユーザ体験型セキュリティサービスとして、Popularize WAFを目指し、より多くのお客様を安全に守ります。

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5573-8191

ペンタセキュリティシステムズ、第10回情報セキュリティEXPO【春】に出展

ペンタセキュリティシステムズ、第10回情報セキュリティEXPO【春】に出展

 

ペンタセキュリティシステムズ株式会社( www.pentasecurity.co.jp、以下、 当社)は、201358日(水)から10日(金)の3日間、東京ビックサイトで開催される「第10回情報セキュリティEXPO【春】」へ出展します。

 

この展示会で当社は、昨今増加の一途を辿っている特定の企業や団体に対する標的型攻撃が社会問題として取り上げられている中、情報資産の保護が最優先課題となっております。

そこで当社はWeb改ざん対策であるWebアプリケーションファイアウォールの「WAPPLES(ワップル)」と、企業・団体が保有する個人情報及び機密情報を格納するデータベースの暗号化ソリューション「D’Amo(ディアモ)」を展示します。

今回のEXPOを通じ、当社は企業の情報資産を的確に保護し、重大な事件・事故を未然に防止する費用対効果の高いセキュリティソリューションを提案します。

当日は導入が容易なWebアプリケーションファイアウォール「WAPPLES」のアプライアンス版と、クラウドや仮想環境下に最適なバーチャルアプライアンス版の2種類とデータベース暗号化ソリューションの「D’Amo」を展示します。

 

情報セキュリティEXPO【春】開催概要

会期

201358(