クラウド/テレワークにも対応した軍需レベルの知財保護ソリューションとは安全、安価、カスタマイズ可能を同時に実現

テレワークが定着した中、オフィス外から重要なデータにアクセスする機会が増えている。サイバー攻撃や情報漏えいに対抗するには侵入を前提とした対策が必要であり、データの暗号化が有効だ。暗号化データを守るにはデータそのものではなく、暗号鍵の管理が重要であり、そのためにはハードウェアベースのソリューションが望ましいという。中堅中小企業が導入しやすいソリューションとはどのようなものだろうか。

» 2020年11月12日 10時00分 公開
[PR/@IT]
PR

 新型コロナウイルス感染症(COVID-19)の流行で人々の働き方が大きく変わりつつある。働き方だけではなく、企業に求められるセキュリティ対策も大きく変化している。これまではオフィスで働くことが前提だったため、ファイアウォールやエンドポイントセキュリティなどを用いてオフィス内環境をサイバー攻撃から守る対策が中心だった。ウイズコロナ、アフターコロナの時代にはテレワークが前提の企業も増えており、オフィスだけを守るのでは不十分だ。自宅や各地の拠点など分散した環境の安全をいかにして確保するのかが重要となる。

 さらに昨今のサイバー攻撃は複雑化しており、これまで主流だった境界防御型の対策だけでは重要な情報を守れなくなっている。侵入されることや攻撃を受けることを前提として、侵入されても被害を出さない、あるいは拡大させない施策、つまり分散した環境に対して侵入を前提としたセキュリティ対策が必要となっている。

 重要な情報を守る有効な方法の一つが暗号化だ。適切にデータを暗号化していれば、攻撃者にデータを盗まれても情報の中身が漏えいすることを防ぐことができるからだ。

なぜハードウェアベースの暗号化が必要なのか

 OSやストレージなどには標準で暗号化機能が備わっているものが少なくない。しかし重要な機密情報などに対しては、より高度な暗号化技術を適用し、安全性を高める必要があるだろう。そのため、市場には多くの暗号化ソリューションがある。しかし「それらの多くはソフトウェアベースで、より安全性を高めるにはハードウェアベースの暗号化ソリューションが必要です」と話すのは、台湾を拠点とするWiSECURE Technologies(以下、WiSECURE) CEOのアルバート・チェン氏だ。

WiSECURE Technologies CEOのアルバート・チェン氏

 データを暗号化してもそれだけで「安全」になるわけではない。暗号化したデータの利用には暗号鍵が必要であり、鍵の管理こそが重要なのだ。万一、鍵を盗まれればどんなに高度な暗号化を施していても、データは復号されて情報が漏えいしかねない。「鍵をソフトウェアベースで管理していると、リバースエンジニアリングなどで流出する可能性が高くなります。WiSECUREはハードウェアベースで暗号鍵を管理し、サイドチャネル攻撃にも対応していますので、重要な情報を厳重に守ることができます」とチェン氏。

 ハードウェアベースの暗号化ソリューションはWiSECURE以外にも、さまざまなものがある。高度なハードウェアベースの暗号化ソリューションは軍需企業によるものが多い。軍需や国などの機関が必要とする暗号化ではコスト効率よりも極めて高度なセキュリティ性を求める。そのため、かなり高価であることが珍しくない。軍需では量産を考えておらず、顧客の要求に合わせてカスタマイズすることも多い。こうした理由から、ハードウェアベースの暗号化ソリューションの多くは、一般企業が導入するには高価で導入までに手間がかかり、あまり現実的ではない。

「安全」「安価」「カスタマイズ可能」を支える技術とは

 これに対してWiSECUREのハードウェアベースの暗号化ソリューションは、主に民間企業での利用を想定している。他社のソリューションと比較して安価であり、中堅中小規模の企業でも導入しやすい。低コスト化が可能になった理由の一つは、WiSECUREがチップビジネスをベースにしているからだという。

 WiSECUREより先にセキュリティチップのODM設計メーカーから派生し、台湾を拠点にセキュリティビジネスを展開してきた企業がある。InfoKeyVault Technologyだ。同社は高度なデジタル資産保護のサービスを提供しており、高い暗号技術のノウハウを有している。それを活用する形で、2019年3月に創業したのがWiSECUREだ。WiSECUREも汎用(はんよう)のセキュリティ機器を量産できる。こうした優位性を生かし、当初から民間企業をターゲットとしている。

 「ハードウェアベースの暗号化ソリューションを提供する大手企業は軍需企業が多く、軍などからの高度な要求に徹底したカスタマイズで応えています。そのため、仮に同じセキュリティチップであっても、中身が全く違うことも少なくありません。これに対してWiSECUREは汎用のセキュリティチップを提供し、中身に軍需レベルの高度なアルゴリズムを複数用意しています。ユーザーがそれを選択することでカスタマイズコストを大幅に抑えています」とチェン氏。量産化してもセキュリティレベルを下げることなく、安価なハードウェアベースの暗号化ソリューションを提供できるのだ。

 WiSECUREの製品の特徴は「安全」「安価」「カスタマイズ可能」という3つだ。これらを可能としているのが「プラットフォーム」だとチェン氏は言う。PCIカードやmicroSDカード、USBトークンといった複数のハードウェア製品を提供しており、ハードウェアの種類が異なっても、中身のセキュリティチップと暗号用のコンポーネントは共通化されている。その上でセキュリティチップを使った暗号機能の開発に利用できる「ソリューションフレームワーク」を提供しており、プラットフォーム化を実現している。

 フレームワークにはAPIが用意されており、APIを呼び出すだけでユーザーのシステムに暗号化機能を組み込むことができ、既存環境に大きく手を入れる必要がない。「仮に対象がクラウド上のデータやファイルであっても数行のコードを追加するだけで、暗号化機能を組み込めます」(チェン氏)。データの置き場所はクラウドでもオンプレミスでも自由に選べる。その上でセキュリティチップを用いて鍵を管理することで、極めて高いセキュリティレベルを保証できる。

クラウドにあるファイルの保護も可能

 暗号鍵のライフサイクル管理システムとの暗号アルゴリズムはNIST(米国立標準技術研究所)の標準に準拠した設計で、InfoKeyVault Technology譲りの豊富な鍵管理の経験を基に、ユーザーフレンドリーな鍵管理機能を提供する。「鍵管理の部分の使いやすさは重要です。使いにくいと民間企業などで広く暗号化を使ってもらうのが難しくなります。WiSECUREのソリューションはロールベースのアクセス管理ができるデザインになっており、Active Directoryなどとも連携させ、高度な知識がなくても安全かつ柔軟に暗号鍵を管理できます」(チェン氏)

多様なハードウェアに対応し、幅広い情報セキュリティソリューションを選択できる

 従来のハードウェアベースの暗号化ソリューションは、PCIカードベースのものが多い。こうした中、WiSECUREはUSBトークンやmicroSDカードを用いた製品を提供している。

 USBトークンであれば分散した環境に簡単に持ち運びでき、対象機器に刺すだけで暗号化機能を利用できる。USBトークンに対してActive Directoryを連携させてアクセス権限を与えることも可能だ。トークン自体の管理に生体認証を用いればテレワーク環境でも高い安全性を保証できる。microSDカードは安価に量産でき、数多くのIoT機器の暗号化/機器認証/セキュア通信にも適用しやすい。microSDカードはAndroidを採用したスマートフォンなどに入れて利用でき、軍需レベルの電子情報ガードの用途をさらに広げることも可能だ。

 WiSECUREが持つデジタル資産保護技術をより簡単に使えるようにするための施策もある。ストレージベンダーの台湾QNPA Systemsと協業して「SecureNAS」という製品を提供する。「普及版の価格は50万円以下で、NASを軍需レベルの強度で暗号化できるパッケージ製品です。暗号化と復号はUSBを刺すだけで簡単に実現できます」とチェン氏。

 USBトークンが刺さっている端末でなければNASの中身を見ることができないように設定できる。大事な情報がこのNASで管理されていれば、VPNのパスワードを盗まれてもUSBトークンを持っていなければアクセスして見ることはできず、テレワークのセキュリティ強化にも有効だ。今後は認証技術のFIDO(Fast IDentity Online)2にも対応予定だ。生体認証と組み合わせることでトークンを盗まれても、それだけではアクセスできないようにする。

NASアクセスをセキュアにする取り組み「SecureNAS」

 その他に大規模なテレワークにも使いやすいようにBYOD(Bring Your Own Device)やBYOK(Bring Your Own Key)などにも軍需レベルの情報セキュリティを追加するソリューションフレームワークを用意した。サーバ側でデータを暗号化するだけではなく、USBトークンやmicroSDカードなどを刺したPCやスマートフォンに対してもAPIベースで開発したハードウェアセキュリティモジュール(HSM)を導入することで一貫したデジタル資産管理(暗号化/ブロックチェーン制御/コード署名/DRMなど)を提供できる。WiSECUREのHSMを使えばパスワード認証だけでは実現できない生体認証などの高い安全性を維持したテレワーク環境も実現できるのだ。「トレーサビリティーも高く、情報漏えいのリスクを大きく下げることができます」(チェン氏)

BYODやBYOKでもデジタル資産を安全に運用管理できる

 WiSECUREの多様なタイプのHSMを活用することで、中堅中小企業でも軍需レベルの暗号化技術を含めた高度な防衛ソリューションを比較的安価に導入できる。APIを呼び出すだけで、クラウドでもオンプレミスでもC#やJavaなどの広く普及している開発言語を用いて容易にシステムの暗号化やデジタル資産保護を実現できる。WiSECUREは今後日本で情報セキュリティビジネスを拡大するため、販売代理店やソリューション開発パートナーを含むエコシステムの体制を強化する予定だ。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:WiSECURE Technologies
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2020年12月11日

関連リンク

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。