鍵の管理は大切――SSHの開発元が日本進出：Maker's Voice

リモート管理でおなじみのSSHを開発し、現在は商用版を手掛けるSSH Communications Securityが日本法人を設立した。

[國谷武史，ITmedia]

　IT管理者にとってはシステムのリモート管理でおなじみのSSH。そのプロトコルの開発元で商用版を手掛けるフィンランドのSSH Communications Securityは10月に、日本法人「SSH コミュニケーションズ・セキュリティ」を設立した。同社CEOのハッリ・コポネン氏に日本進出の狙いなどを聞いた。

SSH Communications Securityのハッリ・コポネンCEO

　同社は現在、商用化されたSSHバージョン2以降の開発やサポートのほか、SSH鍵の自動管理ツール「Universal SSH Key Manager」、暗号化通信のログ監視ツール「CryptoAuditor」を展開する。SSHバージョン1を源流とするオープンソースのOpenSSHはセキュアなリモート管理ツールに広く採用されているが、商用版のSSHは特に金融や政府系組織などに導入されているという。

　コポネン氏によれば、日本法人設立は国内販売代理店のサポート強化が目的。これまでは本国で直接サポートしていたが、距離が離れていることによる不便さやサポートニーズの高まりがあるという。「日本でも内部不正やサイバー攻撃がビジネスリスクをして組織トップに認知され始めた。特にリモートアクセス環境の不備が問題になるので、その対応を求める声が強い」（コポネン氏）

　SSHはオープンソースも含めて広く利用されているだけに、同氏は認証やアクセス管理の不備が起きやすいと指摘する。「海外のある金融機関でSSH Key Managerを使って調べたところ、特権IDに紐づく150万ものSSH鍵が見つかり、1割にあたる15万のSSH鍵ではユーザー不明の状態にあった。膨大な数のSSH鍵でも適切に管理しないといけない」

　組織の内外に存在する攻撃者に鍵を盗まれて権限を取得されれば、ITシステムへの不正アクセスや機密情報の搾取などの悪事をされかねないとコポネン氏。当然ながら鍵の数が多ければ、そのリスクが高まると話す。

　また、日本法人設立の背景ではIoT/M2Mの市場拡大に対応する狙いもあるようだ。センサなど大量の機器がネットワークを介してシステムと通信するが、その中身は暗号化によって保護される場合が多い。コポネン氏。は、M2Mシステムの80％がデータ交換を行う。非常に膨大な数の機器でSSH鍵が使われるようになるが、その状態を可視化して適切に管理しなければ危険になるだろう」を強調している。