「データが流出！」でも“漏えいしない”そのワケは――オンプレ×クラウド環境に急務なのは高度なデータの暗号化と鍵管理

[PR／ITmedia]

PR

　デジタル化やIT化が進むとともに、ランサムウェアなどによる情報漏えいの危険性が高まってきた。今、企業が取るべき対策とはどのようなものなのか――そのヒントになるのが、オンラインイベント「Risk Management Seminar」（3月27〜28日開催）で配信されたタレスDISジャパンのセッションだ。本記事では、同社の兼子晃氏（クラウドプロテクション＆ライセンシング データセキュリティ事業本部 本部長）が解説した「ハイブリッドIT環境のセキュリティ管理を簡素化するアプローチ」の講演を振り返りながら、リスクマネジメントの新常識を探る。

タレスの調査レポートから見えるセキュリティ対策の不十分さ

　タレスグループは従業員8万人、世界68カ国でビジネスを展開するグローバル企業だ。フランスに本拠地を構え、売上高は約2兆2500億円の大企業。展開しているビジネス領域は、防衛や航空、宇宙など多岐にわたり、日本国内では防衛関連の装備や、身近なところでいうと航空機内のエンターテインメントシステム、クレジットカードについているICチップ、携帯会社向けのSIMカードなども提供している。

　サイバーセキュリティもタレスが展開しているビジネス領域の一つ。日本でも15年以上前から、暗号化やデジタル署名の技術を用いたサービスを行政機関、金融機関、グローバル企業などに提供しており「世界的リーダーの立場にいる」（兼子氏）

　兼子氏はセッション冒頭で、同社が毎年実施している市場調査の結果を紹介した。調査によると、全世界を対象とした回答者の60％がSaaS、IaaS、PaaSを含む複数のクラウドを利用していると判明。兼子氏は「全てクラウド化している会社はほとんどなく、実質的にはマルチクラウドとオンプレミスを混合したハイブリッド環境にある」と見る。

　次にマルチクラウドの課題に対しては、「クラウドのセキュリティ管理はオンプレミスよりも複雑で難しい」という回答が目立った。気になるのは、機密データは「オンプレミスで管理している」という回答者がわずか20％だったことだ。つまり、クラウドのセキュリティ管理は複雑で困難だと分かっているのにもかかわらず、回答者の80％が機密データをクラウドにアップしていることになる。

　また回答者の43％が「過去にデータの侵害やセキュリティ監査に失敗した経験がある」という。日本の回答者においては、21年（29％）から22年（39％）で10ポイント増加した。DXの推進、クラウド移行と合わせて「ランサムウェアなどの脅威が増えていることも念頭に置いて何らかの対応をすべき」（兼子氏）状況だ。

　となると「クラウド上のデータをどのように守っているか」が気になるが、回答者の38％はデータを暗号化することによってセキュリティとコンプライアンス要件を満たし、記者会見などのデータ侵害通知プロセスを回避できたことが分かった。兼子氏は「クラウド上の機密データの暗号化を、ますます推進しなくてはならない状況にある」と話す。

マルチクラウドのセキュリティ管理をどうすべきか

　このように多くの企業がマルチクラウドを採用しているが、なぜそのセキュリティ管理は複雑なのか。兼子氏は「複数のクラウドサービスそれぞれで暗号化の鍵を管理しなくてはならない」点を要因に挙げる。実際にタレスの別の調査では、回答者の55％が「5つ以上の暗号化ソリューションを使用している」と回答しており、リスクマネジメントの複雑化は加速している。

　一方、このような環境下にあって、法規制はますます厳格になってきている。個人情報保護法のほか、クレジットカード情報を保護する「PCI DSS」や「GDPR」（EU一般データ保護規則）など、日本を含む各国にさまざまな法規制がある。

　GDPRを例にとると、EUに住んでいる個人の情報を管理している場合は日本企業も規制対象となる。特に厳しいといわれているのが個人情報漏えいだ。個人データ保護違反時の制裁金は、全世界売上の4％、もしくは2000万ユーロ（約27億円）以下のいずれか高い方となる。売上が少ない企業でも約27億円、売上2兆円企業の場合は、その4％にあたる800億円が最大制裁金として課される可能性がある。

国内外の主な法規制（タレス資料より、以下同）

　実際の例として、英国の航空会社と世界的ホテルチェーンのデータ漏えい事例を見てみよう。英国の航空会社は約50万人の個人情報が漏えいして250億円の制裁金を課された。一方、世界的ホテルチェーンは約3000万人もの個人情報が漏えいしたが、制裁金は航空会社より安い135億円にとどまっている。

　この差がどこにあるかというと、セキュリティ対策があるかないかだ。世界的ホテルチェーンにはセキュリティ運用センターがあり、データを暗号化していたために制裁金が少なくて済んだ。兼子氏は「セキュリティ対策がいかに企業のビジネスを守るかという参考になる事例」と語る。

　日本の個人情報保護法でも、適切なセキュリティ対策が施されていればデータが漏えいしても記者会見などの報告、告知の義務が免除される。「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&Aには、高度な暗号化などで情報が秘匿化されている場合――具体的には暗号化した情報と復号鍵を分離するとともに、復号鍵自体の漏えいを防止する適切な措置を講じている場合――には、データが外部に流出しても漏えいしていないと判断されることが記載^※されている。

※個人情報保護委員会Webサイトより

データが外部に流出しても漏えいしない「高度な暗号化」とは

　そもそも暗号化とは、平文のデータを暗号化処理して読解不可能な状態にすることだ。このときに、暗号のアルゴリズムと管理するための暗号鍵が重要になるが、「暗号鍵の管理こそがセキュリティの要」と兼子氏は強調する。

　クラウドのように境界線のないIT環境では、データそのものを暗号化してセキュリティを施す必要がある。データが暗号化されていれば、例えデータが流出しても漏えいにはならない。しかし、そのデータを復号する暗号鍵が同じサーバー上、同じクラウドにあるとデータと一緒に盗まれる可能性があり、暗号化の意味がなくなってしまう。

　大切なのは、暗号データと暗号鍵を分けて管理することで、これこそ個人情報保護法が示す「高度な暗号化」ということになる。

さまざまな場所にある機密情報の暗号鍵を一元管理

　そこでタレスが提案しているのが、共通暗号管理プラットフォーム「CipherTrust Data Security Platform（以下、CDSP）」による暗号鍵管理のシンプル化だ。

　今のIT環境では、機密情報が複数のクラウドサービスやサーバー、ストレージ、ファイル、データベース、アプリケーションといった実にさまざまな場所に分散している。これを一元管理できるのがCDSP。機密情報自体を暗号化し、ハードウェアもしくはタレスのクラウド内に鍵を保管して一元的に管理し、セキュリティを守るソリューションになる。

　このCDSPの中核になるのが暗号鍵の管理を行う「CipherTrust Manager（以下、CM）」だ。鍵管理の専用サーバーであり、独自の鍵を作って管理したり、外部で作られた暗号鍵の管理を一緒に行ったりできる。

タレスの共通暗号管理プラットフォームCDSP

　「サーバーベンダーが提供している、暗号化オプションで作成された鍵もタレスのCMで一元管理できる。例えばオラクルの透過的データ暗号化機能『Transparent Data Encryption』を使って機密データの鍵を作り、その鍵をCMで一緒に管理できるほか、AWSやAzure、Google Cloudの暗号鍵も一緒に一元管理することができる」（兼子氏）

　CMは米国の連邦情報処理標準規格「FIPS」の認定を受けている。FIPS認証は取得が難しい規格であり、この認定を受けているということは「鍵が外部に漏れないと第三者が証明」（兼子氏）していることになる。

　また、ファイルサーバーやデータベースの機密情報を独自に暗号化して保護する機能も備えている。機密情報へのアクセス権限を持っている人は、意識せず自分で暗号、復号の処理を行える。もちろん、アクセス権限がない人は復号鍵を使えないため、データを見ることはできない。管理者にとっては、グループやユーザー単位で簡単にアクセスポリシーを設定できる便利なソリューションだ。

　データの暗号化は、最近急増しているランサムウェアに対しても非常に有効と兼子氏は説く。暗号化されたデータの価値を犯罪者が判断することはできない。また、暗号鍵でアクセス制御がかかっているので、ランサムウェアや悪意あるデータベース管理者がデータを盗めたとしても復号ができないので、そのデータは無価値である。最近のランサムウェアは二重恐喝される傾向があるが、盗まれる前にデータそのものが暗号化されていれば被害を回避することが可能だ。

　CDSPには暗号化と鍵管理機能以外にも、「検出と分類」という機能があり、特定の機密データがどこにあるかを検出、分類し、平文で保存されていることが分かると暗号化するように指示を出してくれる。各種環境の暗号化、そして大切な暗号鍵の管理を一元化し、統合されたデータ保護プラットフォームとして提供してくれる。

暗号化されていないデータを検出し、暗号化を指示。暗号鍵の管理も一元化できる

　「昨今のハイブリッドのIT環境では、ネットワークはますます複雑化してセキュリティ防御が非常に難しい。そこで、本当に機密性の高い情報や個人データそのものを暗号化して保護するというデータセントリックなセキュリティをわれわれは提案する。データが流出しても暗号化されていれば漏えいにはならない。ぜひ、この機会にデータの暗号化、鍵管理というソリューション、データセキュリティを考えていただければ」（兼子氏）

　さまざまなところに分散された機密情報へのアクセスを容易にしつつ、コンプライアンスに準拠したソリューションを提供するCDSP。DX推進とともに検討してみてはいかがだろうか。