[Sponsored]
[IT Leaders Tech Strategy LIVE ゼロトラストセキュリティの要諦を穿つ]
「玄関の鍵はポストの中」が横行!? タレスが明かすゼロトラスト戦略における「暗号鍵管理」の重要性
2022年9月28日(水)
2022年8月31日に開催されたライブ配信セミナー「凶悪化するサイバー脅威に確かな策を[ゼロトラストセキュリティ]の要諦を穿つ」(主催:インプレス IT Leaders)にタレスDISジャパン クラウドプロテクション&ライセンシング データプロテクション事業本部の河原田誠司氏が登壇。「セキュリティ侵害/データ流出は必ず起こる!を前提としたゼロトラストのセキュリティ対策とは?」と題して、ゼロトラスト戦略に向けた「暗号鍵管理」の重要性を説いた。
ゼロトラスト戦略を持っている企業は全体の約28%
タレスグループは68カ国で事業を展開し、社員は8万名超、2020年度の売上高は190億ユーロ(約2兆3000億円)に達するグローバル企業。事業内容は、防衛、宇宙、民間航空、交通システム、科学技術・産業など幅広く、サイバーセキュリティの領域においても存在感を放っている。
「日本でも20年以上前から暗号化やデジタル署名の技術を用いた製品やサービスを行政機関、金融機関、ハイテク産業のメーカーに提供しています。セキュリティ専門ベンダー米Vormetricの買収や米SafeNetを傘下に持つ仏Gemaltoの買収などによって事業を拡大し、現在はこれら2つの製品を統合したソリューションを提供しています」(タレスDISジャパン クラウドプロテクション&ライセンシング データプロテクション事業本部 河原田誠司氏)
タレスが国内で提供するのは大きくデータ保護(暗号化/鍵管理)、アクセス管理(認証/SSO)、ソフトウェア収益化(ソフトウェア不正使用の防止)のソリューションだ。鍵管理のハードウェアセキュリティモジュール(HSM)は世界トップシェアを誇る製品として知られる。同社が毎年行っているユーザー調査の中には、近年、サイバーセキュリティ領域において大きなトレンドとなっているゼロトラストについての、日本と世界を対象にした調査がある。河原田氏はその調査結果から、次のようにゼロトラストの現状を解説した。
「調査によると、ゼロトラスト戦略を持っている企業は全体の約28%で、そのうちの約半数はゼロトラストについていくつかの考え方を採用していました。ゼロトラストはいまだ発展途上にあり、現在進行形のソリューションということができます」(河原田氏)
ゼロトラスト戦略が求められるようになった3つの理由
ゼロトラストの本格採用はこれからということになるが、期待やニーズは大きく高まっている。その背景には大きく3つの理由があるという。
1つめの理由は、データ侵害とセキュリティ脅威が複雑さを増し、被害を防ぐことが困難になってきていることだ。タレスの「データ脅威レポート」によると、過去にデータ侵害を経験した組織は50%にも及び、うち32%はこの12カ月以内に経験している。
2つめは、DXやクラウド移行に伴うリスクの増大だ。従来は社内外のネットワークを境界線で分けて防御していたが、クラウド利用の増加によって境界線がなくなることで、よりセキュリティ管理が複雑になった。クラウドに対応した新しいソリューションが求められるようになっている。
3つめは、各種の法規制・ガイドラインだ。例えば、国内における個人情報保護法やEUの一般データ保護規則(GDPR)があるが、個人情報保護法は、改正により罰則金が1億円に引き上げられ、GDPRも売上の4%または200万ユーロ(27億円)のいずれか高いほうが制裁金として課されるなど、ビジネスに大きなインパクトを与えるものとなっている。
「GDPR対応を適切に行っていたかどうかで制裁金の額は変わります。データ漏洩事故を引き起こした英国の航空会社British Airwaysと米国のホテル事業者Marriottの2社を比較すると、売上高が1兆7680億円で漏洩した個人情報数が約50万人だったBritish Airwaysが制裁金約250億円だったのに対し、売上高が2兆1760億円で漏洩した個人情報数が3000万人だったMarriottは約135億円で済みました。漏洩した個人情報数が60倍あったにもかかわらず、制裁金は約半分です。この違いは、適切なセキュリティを運用するためのシステムがあったかどうかにあります(図1)。Marriottは高度な暗号化などによって情報を守っていたことで、制裁金を減らすことができたということです」(河原田氏)
拡大画像表示
暗号データと暗号鍵を分けて管理する「高度は暗号化」が重要に
では、高度な暗号化とは具体的に何を指すのか。河原田氏は暗号の仕組みとして、暗号鍵と暗号アルゴリズムが重要と指摘したうえで、次のように説明した。
「高度な暗号化のポイントは、境界線防御ではなく、データが流出しても情報を守ることができるという点にあります。高度に暗号化されたデータはたとえ盗まれても情報としての価値がありません。これを無価値化と言いますが、無価値化のためには暗号鍵が適切に管理されていることが重要です。玄関の鍵を郵便ポストの中に置きっぱなしにするような管理ではなく、キーボックスや守衛室で管理するようなイメージです。高度な暗号化とは、暗号データと暗号鍵を分けて管理するということです」(河原田氏)
暗号鍵と暗号データを分けて管理するのは当たり前のことのように思えるが、実際には、必ずしも実現できているとは限らないという。
「一部のシステムは暗号化しているが、暗号鍵は各サーバーやクラウドで管理しているといったケースがまだまだ多いという印象です。また、鍵は定期的に更新するローテーション管理も必要なのですが、そこまでできていないように見受けられます。その原因は、鍵をバラバラに管理していることにあります。各データベースやクラウドサービスプロバイダーが提供するサービスで暗号化しているため、オペレーションがばらばらですし、管理負担も大きくなっています。暗号鍵の生成、ローテーション、削除などの操作が面倒なため、システムを導入して以来、暗号鍵のメンテナンスをしていないケースもあります」(河原田氏)
日々ハッキング技術は向上しており、それに対抗するためにも、暗号鍵の外部保管と定期的なローテーションは不可欠になりつつあると河原田氏は強調する。
暗号鍵を共通暗号管理プラットフォームでシンプルに管理する
こうした高度な暗号化を実現するソリューションとしてタレスが提供しているのが、暗号鍵管理をシンプルにする共通暗号管理プラットフォーム「CipherTrust Data Security Platform」となる(図2)。このプラットフォームを利用すると、各種データベース、ファイルサーバー、クラウドのデータなどを暗号化し、その暗号鍵を1つのプラットフォームで一元管理できるようになる。
拡大画像表示
「プラットフォームの核となるのは、CipherTrust Managerというアプライアンス製品です(図3)。このなかにすべての暗号鍵を集約し、暗号のポリシーを一元的に管理します。特長としてFIPS認証に対応した鍵管理サーバーであること、ハードウェアの専用アプライアンスであること、VMアプライアンスとして提供するため、VMwareを使った構築も可能なことが挙げられます」(河原田氏)
拡大画像表示
さらに、CipherTrust Transparent Encryption(CTE)という暗号化エージェントを使うことで、ファイルサーバー/データベースサーバーを透過暗号化したり、特権ユーザーのアクセスを制御することでランサムウェアや内部不正対策に有効活用したりできる(図4)。
拡大画像表示
また、CipherTrust Cloud Key Manager(CCKM)を使うことで、クラウド上の暗号鍵をオンプレミスで管理することもできる(図5)。
拡大画像表示
河原田氏は、最後に次のように述べ講演を締めくくった。「タレスでは、境界線防御ではなく、暗号化によるデータセントリックセキュリティへの移行を提案しています。暗号データと暗号鍵の分離によるコンプライアンス準拠を証明し、プラットフォームアプローチでセキュリティの集約管理と効率化を実現することが重要です。これらにより、ゼロトラストセキュリティ、コンプライアンス、セキュリティ管理の効率化を実現していただきたいと考えています」
●お問い合わせ先
タレスDISジャパン株式会社
https://cpl.thalesgroup.com/ja/encryption/data-security-platform