情報漏えいが多発するデジタル社会で「本当に守るべきものは何か」を見極めるデータ保護対策とは：法規制が求める「高度な暗号化」の効力

サイバー攻撃による情報漏えいが後を絶たない。アクセス制御や侵入検知など「防御」の仕組みはもちろんあるが、それだけではソーシャルエンジニアリングや内部不正など“人の隙”を突いた攻撃は防ぎ切れない。今、ユーザーが企業に期待するのは、“情報漏えいが疑われる事象が発生しても、実質的な被害は最小限にとどめてくれる”という安心感だ。

[PR／＠IT]

PR

　残念なことに「企業からの情報漏えい」はすっかり身近な事件になってしまった。

　流出の危険にさらされているのは、氏名や住所といった個人情報はもちろん、クレジットカードなど直接金銭に関連する情報、病歴などセンシティブなプライバシーに関する情報も含まれる。個人のプライバシーが損なわれるだけでなく、そうした情報が別のサイバー犯罪に悪用される恐れもある。また、情報が漏えいしてしまった企業の信頼やブランドも地に落ちることになる。

　企業の知的財産の漏えいも問題だ。製品の設計情報や営業機密など、事業に直結する機密情報が流出してしまえば、市場での優位性が失われ、ビジネスの継続そのものが危うくなる可能性もある。

　こうした事態を受け、個人情報、機密情報を適切に保護し、影響を最小限にとどめるように求める法規制やガイドラインの整備が進んできた。法規制が求める「適切な措置」をどうすれば実現できるのだろうか。

データ暗号化は万一に漏えいしても安全を保証する事後対策

　一般にセキュリティ対策といえば、PCへのセキュリティソフトウェアの導入やネットワークでの防御といった対策がまず思い浮かぶだろう。これらは効果的な対策であることに違いはないが、システム全体から見れば、特定の脅威に対応する局所的な対策にすぎない。実際、そうした防御をかいくぐった攻撃（ソーシャルエンジニアリングや業務上知り得た内部不正）による情報漏えい事故も多く発生している。

　ペンタセキュリティシステムズの美濃部 崇氏（セキュリティコンサルティング部　プリンシパルセキュリティコンサルタント、CISSP＜Certified Information Systems Security Professional＞認定者）は次のように話す。

ペンタセキュリティシステムズの美濃部 崇氏

　「セキュリティの本質はリスクマネジメントです。100％の安全を確保しようとすると、あらゆる脅威を考慮しなければならず、迷走することになります。重要なことは実際の被害が発生する可能性（リスク）を今よりも減らすことです。そのためには、本質的に保護すべき対象とは何かを明文化する必要があります」

　その事実を踏まえ、「最後のとりで」として考えておきたいのがデータの暗号化だ。仮にサイバー犯罪者が何らかの手段によってデータを丸ごと盗み出したとしても、鍵がなければ復号できない。閲覧もできず、ユーザーの安全やプライバシーは保証され、リスクをコントロールできる。

　情報漏えいに有効な対策として暗号化が期待されていることは、2022年4月に施行された改正個人情報保護法からも明らかだ。同法では、情報漏えいが発生した際には個人情報保護委員会への報告と利用者への通知が義務付けられているが、「高度な暗号化」などの措置（個人の権利利益を保護するために必要な措置）を行っていた場合、報告義務の対象から除外されている。

　もし保護すべきデータを暗号化していなかった場合は、情報漏えいが判明してから3〜5日以内に「速報」を出し、その後外部の専門家の手を借りながら（つまり予定外の大きな支出を伴いながら）調査を進め、30日以内に「確報」を報告しなければならない。また、顧客や関係者にも通知しなければならない。仮に被害が軽微だとしても「平文で保存していた」となれば、社会一般のセキュリティに対する危機意識が高まりつつある中、批判は免れないだろう。

　「さまざまなセキュリティ対策の中でも、アクセス制御や侵入検知などは、被害を未然に防ぐことを目的としたものです。一方で暗号化は、仮に漏えいしたとしてもデータを読み出せない状態にして安全を保証する事後対策です。いずれも“被害の発生リスク”を減らすための措置ですが、データ暗号化は、実質的なデータ漏えいの影響を受ける顧客や業務上の被害を最小限に抑える重要な手段の一つといえるでしょう」（美濃部氏）

アクセス制御と組み合わせ、カラム単位での暗号化を実現する「D'Amo」

　ただ、データ暗号化の実装方法となると悩む人は多いだろう。

　例えば、業務で使うドキュメントなど、個人のPCに保存された「非定型データ」については、Windows OSに搭載されている「BitLockerドライブ暗号化」などでハードドライブを暗号化することで、PCの紛失や盗難による情報漏えいに備えることができる。

　だが、業務アプリケーションのデータベースに格納されたデータなど、組織単位で使う「定型データ」の暗号化となると幾つかの条件をクリアしなければならない。例えば、既にサービスが稼働している場合は「アプリケーションの動作やパフォーマンスの影響を最小限に導入できること」が必然的な要件となる。

　こうした現実的な多くの課題を解決できる、定型データに対応した暗号化製品となると意外と選択肢が少ないことに気付く。

　その数少ない選択肢の一つが、ペンタセキュリティシステムズのデータベース暗号化製品「D'Amo」（ディアモ）だ。「Oracle Database」「Microsoft SQL Server」という、業務アプリケーションを支える主要な商用データベースにも対応しており、格納されているデータをカラム単位で、「AES 128bit／256bit」といったグローバル標準で推奨されているアルゴリズムで暗号化できる。

　特徴的なのは、プラグイン方式でデータベースに暗号化機能を追加できるため、必ずしも既存のアプリケーションを改修しなくてもいいことだ。カラムを指定すると、テーブルのデータはもちろん、ディスクに書き込まれるデータファイルやメモリ上のデータも暗号化される。既に稼働しているデータベースに暗号化の機能を拡張し、これまで蓄積していたデータを自動的に暗号化マイグレーションできる点は、「TDE」（Transparent Data Encryption）などデータベースベンダーが提供する他の暗号化機能ではあまり見られない特徴だ。

D'Amoの暗号化領域

　また、データベースのセキュリティについて忘れてはならないのが、データベース管理者（もしくはDBA権限者）による内部不正や権限の過剰付与、一時アカウントの放置などの問題をいかに防ぐかだ。D'Amoは、データベースを運用、管理するDBAの権限と、暗号化／復号の権限を付与するセキュリティ管理者の職務を分離することで、たとえDBAであっても不必要なデータは参照できないように制御可能だ。

　カラムごとの制御に加え、暗号化／復号の権限を付与するユーザーをきめ細かくコントロールするアクセス制御機能も備えている。「例えば、データベース運用を委託している外部の業者が利用するアカウントなら、『指定の管理ツールから、特定のカラムにだけ、平日の朝9時から夕方6時までアクセス可能』といった具合に制御することで、データベースのセキュリティをさらに強化できます」（美濃部氏）

暗号化カラムの暗号化／復号権限の制限

　もちろん、データベースセキュリティの基本ともいえるアクセスログとポリシーログの監査機能も備えている。「いつ、どのユーザーによって暗号化カラムの復号が試みられたのか」「それは成功したのか、失敗したのか」といったログを確認できる。これによって、暗号化カラムに対する不自然なアクセスを早期に発見できる。

　ポリシーログは、セキュリティ管理者の操作履歴を自動的に取得する（証跡管理）。これは、特権ユーザーが不正なオペレーションを実施していないことの証明となり、内部不正を未然に防ぐためのセキュリティ対策にもなる。

暗号化カラムのアクセス履歴

　D'Amoのような統合セキュリティプラットフォームを導入することは、既存のデータベースセキュリティを見直す上でも効果的だ。

　「データベースの運用を続けていると、特定のユーザーアカウントに必要以上の権限が付与されていたり、異動して不要になったはずのアカウントにDBAの権限が残されたままになっていたりすることがあります。この状況は、重大なセキュリティインシデントにつながります。D’Amoを使って、保護すべきデータを分類し、適切な権限のユーザーアカウントを洗い出すことは、組織としての体制やセキュリティポリシーの整備をより一層強化するためのきっかけになります」（美濃部氏）

守るべきデータを意識し、デジタル社会に活用するために

　こうしたD'Amoの特徴を一足先に評価し、導入しているのが、金融やエネルギーといった“クリティカルな領域”を扱う企業だ。個人情報、機密情報保護の機運が高まり、個人情報保護法や「PCI DSS」（Payment Card Industry Data Security Standard）といった法規制、ガイドラインなどの整備が進むにつれ、その動きはさまざまな業種に広がりつつある。

　今やセキュリティ対策は経営課題と位置付けられつつあるが、「何か手を打たなければならないが、何から手を付ければいいか分からない」という経営者も多いだろう。ただ、セキュリティ対策においてまず考えるべきなのは「何を守るか」だ。

　D'Amoが提供するカラム単位の暗号化機能は、「何を守るか」を意識する上でも有効だという。

　「攻撃からシステムを守るという視点にとどまらず、企業として、組織として何を守るのか、本当に守るべきデータは何かについての認識を高められると考えています」（美濃部氏）

　データは、この先到来するデジタル社会においては一層貴重な資産となる。そのデータを閉じられた環境で守るのではなく、積極的に活用し、共有する上でも安全性の確保は必要不可欠だ。美濃部氏は「守るべきデータを特定し、どのように保存し、どう管理するかが問われるでしょう」と警鐘を鳴らす。そこでデータを守る手段の一つが暗号化であり、今後のデジタル社会を支える柱となり得るのではないだろうか。