[技術解説]

2012年7月11日(水)IT Leaders編集部

高岡隆佳氏

日本セーフネット

エンタープライズ事業部　シニアセキュリティエンジニア

ネットワーク技術者としてバックボーンサーバーやVPNの運用を経験した後、海外へ留学。帰国後はジュニパーネットワークスでVPNやIPSなどアプリケーションセキュリティ製品のサポートに従事する。2008年2月に日本セーフネット入社。主に官公庁と金融における暗号化プロジェクトを主導すると共に、暗号化に関連する認証やアクセス管理、暗号鍵管理の啓蒙活動を推進している。データベース・セキュリティ・コンソーシアムのデータベース暗号化ワーキンググループのリーダーも務めている

 

 

山崎文明氏

ネットワンシステムズ　サービス事業グループ

サービスソリューション本部　エグゼクティブエキスパート　PCI SSC PO Japan連絡会会長

2005年3月、ネットワンシステムズに入社。次世代ファイアウォールの国内初の導入や、データセキュリティスタンダード（DSS）に基づく多層防御システムの導入コンサルティングなど次世代型セキュリティ対策支援業務に従事してきた。2011年6月からは、情報セキュリティやサイバー戦に対する各国の動向に関する調査、分析を手がけている。内閣官房安全保障危機管理室情報セキュリティ対策推進室の委員などとして、政府の情報セキュリティ対策プロジェクトをけん引してきた

 

 

大野祐一氏

ラック　執行役員

セキュリティ事業本部　プロフェッショナルサービス事業部長

1994年にラックへ入社。約10年間にわたってクライアント/サーバーシステムやWebシステムの開発とプロジェクトマネジャーを経験。2004年にデータベースセキュリティ研究所の所長に就任。データベースやWebシステムに対する脅威や脆弱性、防御手法を研究すると同時に、啓発活動や緊急対応に従事してきた。2012年4月から現職。セキュリティ診断やコンサルティングを中心にサービス事業を統括している。データベース・セキュリティ・コンソーシアムの運営委員などを務めている

 

─ 本日は、「データを守る」という視点で現状の課題や海外の状況、今後の対策の勘所などをうかがっていきたいと思います。皆さんはセキュリティ業界での経験が長いので、お互いよくご存じだと思いますが、改めて自己紹介から始めましょう。日本セーフネットの岡さんからお願いします。

高岡： セキュリティ業界に身を置くようになって10年ほど経ちます。当社に転職する前は4〜5年間、ネットワークの境界線のセキュリティ対策に特化したエンジニアをやっていました。

─ どうして転職を？

高岡： 「境界線の対策だけではシステムの安全性を高めるのに限界がある」「もっと根幹、すなわちデータを守る技術が重要なのではないか」と感じてのことです。

─ 続いて山崎さん、どうぞ。

山崎： ネットワンシステムズの山崎です。私は大学卒業後にすぐに保険会社に入社し、5年ほどIT部門でシステムの開発や運用をしていました。

─ ユーザーのご出身なんですね。

山崎： ええ。セキュリティ対策に関わるようになったのは、その後、外資系コンサルティング会社に転職してからです。米国で始まっていたネットワーク脆弱性検査の技術を日本に移転したり、英国規格協会（BSI）が定めた情報セキュリティ管理実施基準「BS7799」のスペシャリストの資格を得て、日本政府のセキュリティポリシー策定の提案などに携わってきました。8年ほど前からは、クレジットカード業界で事実上の国際標準になっている「PCI DSS」と呼ぶセキュリティ基準の普及に力を入れています。

─ では、大野さんお願いします。

大野：私はお二方と違い、大学を卒業してから今までラック一筋です。最初はシステムエンジニアでしたが、プロジェクトによっては回線調達からデータセンター建設まで、手広く関わってきました。

─ システム構築をひと通り経験してからセキュリティの道に入った。

大野：はい。2004年にデータベースセキュリティ研究所という社内組織の所長に就いて以来、セキュリティ検査サービスの立ち上げや、データベースセキュリティ関連の任意団体の設立、データベースのセキュリティ対策指針の策定などに携わってきました。

境界線防御の強い意識が国内企業の意外な弱点に

─ 前置きはこのあたりにして、早速、本題に入りましょう。本誌や調査会社などの調査結果を見ると、マルウェア対策やID管理など境界線の対策はかなり浸透しています。しかし、暗号化をはじめとするデータのセキュリティ対策はそこまで進んでいない。実際はどうなのでしょう。

高岡： まさに、そこが国内企業のセキュリティ対策の弱い部分です。アクセス管理などを導入して境界線を守っておけば悪いモノは入ってこないし、決められた情報しか出ていかない。そうした考え方が根強く残っています。データの暗号化についても、「暗号化しておけば安心」という認識があるのか、肝心の暗号鍵そのものを安全に管理するところまで目が向いていません。

─ 待ってください。暗号鍵の管理は当たり前のようにやっているでしょう。

山崎： 当たり前になっていないから問題なんです。PCI DSSを例にすれば、データのセキュリティ対策はデータベースを暗号化する、もしくは文字列を別の文字列に置き換えることを推奨しています。ただし、これには暗号鍵を安全に管理しているという大前提があるんです。

─ 海外の企業は暗号鍵の管理を徹底している？

高岡： 暗号鍵管理の重要性に対する認識はとりわけ高いです。

大野：大切なのは、暗号化対象となるデータの管理者と、暗号鍵の管理者を分けるということですよね。すべての権限を持つ万能な管理者を作ってしまうと、その管理者の権限を乗っ取られたらデータを守り切れない。

高岡： おっしゃる通り。暗号鍵の管理には2つの側面があります。1つは、暗号鍵へのアクセス制御です。誰がどの時間帯に、何回まで暗号鍵を使えるかといったきめ細かい制限をかける。暗号鍵を24時間365日使える状態にしておくことは、盗難やなりすましによる情報漏えいのリスクにつながります。

もう1つは、暗号鍵の保証です。暗号鍵は暗号化したデータと物理的に分けて管理しなければ効力を発揮しません。さもないと、データベースを丸ごと暗号化しても、SQLインジェクション攻撃を受けた際、暗号化したデータと一緒に暗号鍵まで持っていかれてしまう。

─ まさか、それはあり得ないでしょう。

高岡： データベースを暗号化しても、暗号鍵を同じデータベースのどこかに格納していたりするから、暗号鍵ごと抜き出される可能性は十分にあり得ます。

山崎： アプリケーションに暗号鍵を埋め込んでいる例だって少なくありませんよ。

大野：だいたい企業の重要な情報の大半はデータベースに入っていて、ごっそりと抜き取られるのはデータベースが攻撃を受けたとき。実際、当社がデータ漏えいの緊急対応を受けたケースのほとんどは、SQLインジェクションが原因です。要は認証をパスしてアプリケーション経由でデータベースを操作されてしまう攻撃なので、仮に暗号化していても透過的なものだと効力がなくなってしまうのです。

暗号鍵の管理を工夫してクラウドを安全に利用

─ 攻撃者から見える場所で暗号鍵を管理しない、あるいは使いやすい状態にしておかないことが重要なことは分かります。しかし、どう管理したら暗号鍵を安全に管理していると言って良いのですか。

山崎： PCI DSSでは「HSM」の導入を推奨しています。

─ HSM？ それは何？

山崎： ハードウェアセキュリティモジュールの略で、簡単に言えば、ICカードのオバケみたいなものだと考えてください。ICカードは中に格納されている情報をハッキングなどの手段で取り出せないような、いわゆる耐タンパ性があります。それと同じように高い耐タンパ性を備えた暗号鍵管理の仕組みをHSMといいます。設定によっては、別々のIDとパスワードを持つ2人が同時にログインしないと暗号鍵にアクセスできないようにもできます。

─ 同時に2人がボタンを押さないと機能しないミサイルの発射装置みたいだ。

高岡： 暗号鍵のオーナーシップを自社で確保する意味でも、HSMはメリットがあります。

─ そこのところ、もう少し詳しく教えてください。

高岡： 海外事業者が提供しているクラウドストレージを利用するシーンを想像してみてください。データを暗号化して保管しても、暗号鍵の管理を事業者に任せていたら、米国のパトリオット法（愛国者法）に基づいて暗号鍵ごと持っていかれる可能性があります。ところが、HSMを自社に設置しておけば、仮にデータを持ち出されても暗号鍵は手元に残るのでデータの安全性は確保できる。

─ なるほど。

高岡： もう1つ、クラウドストレージの利用をやめる際にも、HSMをオンプレミスで運用する意味が出てきます。利用停止時には事業者からデータの破棄証明をもらうことになると思いますが、本当に消去されたかどうかはユーザー企業が知る限りではありません。その点、HSMを使っていれば暗号鍵を消去することでデータを復号化できなくなるので、そうした不安を抱えなくて済むわけです。