認証や暗号化を組み合わせ各ステップに保護を提供
「データのライフサイクル全体を見た保護を」、セーフネット
2011/06/23
クラウドコンピューティングや仮想化技術、モバイル機器の普及によって、ビジネスや人の動きが活発になるにつれ、データをどのように保護するかというテーマはますますクリティカルなものになった。同時に、サイバー犯罪や情報漏えいといった、データを取り巻く脅威は深刻化する一方だ。
米セーフネットのアジアパシフィック担当副社長、ハンフリー・チャン氏は、情報ライフサイクル保護(Information Lifecycle Protection)というコンセプトに基づく一連の技術によって、データの保護を実現していくと述べた。
セーフネットは、電子証明書やUSBトークン、ワンタイムパスワードトークンによる認証やデータの暗号化、暗号化の基になる鍵を管理するHSM(ハードウェア セキュリティ モジュール)といったセキュリティ製品群を開発、提供している。金融機関や政府機関のほか、企業における知的財産(IP)や機微な情報の保護などに採用されているという。
「昔は、ネットワークに境界を築き、ファイアウォールやVPNで保護すればよかった。もちろんこうした機能はいまでも必要だが、それだけでは不十分だ。いろいろなところに散在しているデータそのものを保護する必要がある。情報ライフサイクル保護というコンセプトでは、データの『作成』『利用』『蓄積』『転送』という4つのすべての段階にフォーカスし、保護を提供する」(チャン氏)。
全体を俯瞰しての対策を
情報ライフサイクル保護の最初のステップは、認証によるアイデンティティの保護だ。ワンタイムパスワードやUSBといったトークンのほか、電子証明書、さらにスマートフォンなどのモバイルデバイス上でも動作するソフトウェアなど、多様な形で認証を行うことができる。
他の認証製品にない特徴として、チャン氏は、自社用の暗号鍵をオンプレミスで生成し、管理できることを挙げた。つまり、ワンタイムパスワード生成の基になる「シード」をHSMに格納して自社で管理し、保護できることがメリットだという。
先日、米EMCのセキュリティ事業部であるRSAが不正アクセスを受け、ワンタイムパスワードトークン「SecurID」に関する情報が流出し、Lockheed Martinへの攻撃につながったケースが報じられた。これに関連してチャン氏は、「セーフネットの認証では、ベンダに依存するのではなく、鍵およびシードファイルを顧客自身がコントロールできる」と述べた。もちろん、自社で管理するからには、相応のセキュリティ対策を自力で施す必要があるが、「シード情報を1カ所においておくのは、卵を全部1つのかごに入れてしまうようなもの」(同氏)だという。
データそのものの保護については2つのアプローチを提供するという。1つは、ラップトップPCなどエンドユーザーが利用する端末に保存されたデータだ。これは、USBトークンや電子証明書などを鍵とした「暗号化」によって保護する。
また、データセンターの中にあるデータベースに格納された情報は、データベースセキュリティに特化した「ProtectDB」で保護するという。「ここで有効なのが、トークナイゼーションという手法だ。暗号化は負荷が高く、処理が遅くなる可能性があるが、トークナイゼーションは効率的で、スピードを犠牲にせず実行できる。特定のカラムのデータのみ保護するという具合に、選択的な保護が可能だ」(チャン氏)。
さらに、通信経路そのものを保護する手段として、レイヤ2で経路を暗号化する「Ethernet Encryptor」や「SONET Encryptor」を提供。これらの機器を対向に設置することで、拠点間のデータのやり取りを保護する。
「このところの情報漏えい問題を見るに、全容を俯瞰し、ライフサイクル全体を見てセキュリティ対策を実施することが必要だと思う。問題を解決する単純な方法はない。データのライフサイクル全体を見て、よりよい認証システムを導入し、データそのものやデータベース、経路を守っていくことが必要だ」とチャン氏は主張している。
クラウド利用には認証とアクセス管理が不可欠
セキュリティ上の脅威が増大する一方で、同社にとって新しいチャンスも生まれているという。その1つがクラウドコンピューティングだ。
例えば、Salesforce.comをはじめとするSaaSを利用する際には、認証およびアクセス管理が欠かせない。「どのようにして、適切な権限を持ったユーザーが適切な情報にアクセスできるようにするかが課題。この課題に対し、ユーザーIDとパスワードの組み合わせは不十分だ」(チャン氏)。その代替として、同社の認証ソリューションを提案していくという。
また仮想化技術を利用したマルチテナント環境では、複数の異なる企業が共通のリソースを利用することになる。その場合でも、ある企業の情報が別の企業に参照されたりすることがあってはならない。そこで、権限の分離とアクセス制限、そして、情報を格納するデータベースそのものにセキュリティをビルトインすることが必要だという。
震災の影響、あるいは節電策の一環として、在宅勤務などを検討する企業も多い。「誰が、どのデバイスでアクセスしているかの確認が必要。リモートユーザーの認証を適切に実施すべき」(チャン氏)。さらに、BCPの一環として、データセンターを国外に移設する場合などには、データ経路のセキュリティにいっそう留意すべきだと述べている。
関連リンク
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。