なぜ暗号化は役に立たなかったのか――米最大規模の情報流出事件を検証(2/2 ページ)
Application Securityの戦略担当副社長、テッド・ジュリアン氏はeWEEKの取材の中で、「暗号化の利用を考えているユーザーにとって常に現実的な問題となるのが、パフォーマンス面でのオーバーヘッドだ」と話している。実際、この問題が契約成立の妨げになることも多いという。
パフォーマンスが低下するのは、非常に多くアプリケーションがインデックスフィールドでセンシティブなデータを使用するからだ。ジュリアン氏は一例として、大学生の社会保障番号を大学でのID番号として使用するという以前の一般的な慣習を挙げた。成績であれ学費納入記録であれ、特定の学生の情報を調べるには、インデックスフィールドに対してクエリを実行しなければならない。
しかしそのフィールドには社会保障番号というセンシティブなデータが含まれているため、大学側はそのフィールドを暗号化しようと考えるようになる。「しかしそうなると、システムのパフォーマンスが大きくダウンする」とジュリアン氏は指摘する。
「Oracle 10gR2データベースに搭載されたネイティブ暗号方式であろうとなかろうと関係ない。このパフォーマンス低下は受け入れ難いものだ」(同氏)
このような状況を避けるには、すべてのアプリケーションを変更し、異なるインデックスフィールドを使用するようにする必要がある。これは大変な作業だ。それに、この作業によってアプリケーションが壊れないという保証はない。
同様に重要なもう1つの問題は、公開鍵/秘密鍵暗号化にはアーキテクチャが関係するということだ。その際に考慮すべき問題は、鍵の強度をどの程度にするか、鍵をどこに保管するか、誰がアクセスできるようにするかなど多岐にわたる。
「これらの問題はいずれも、超一流の科学者が何人もいないと解決できないというものではないが、専門知識は必要だ。それに間違いは許されない。ラボでテストを行うとともに、効果的に機能することを確認する必要がある。また、セキュリティポリシーと連携するように組織の各部門を参加させることも必要だ」とジュリアン氏は話す。
そしてここでもアプリケーションへの影響という問題がある。これまで裸の状態のデータを扱ってきたアプリケーションが、暗号化されたデータを処理しなければならなくなるのだ。
ジュリアン氏によると、こういった負荷の変化がアプリケーションを壊すことは「十分にあり得る」という。大量のデータが入力されるのを想定していないアプリケーションでは、バッファオーバーフローが容易に引き起こされる可能性がある。
「アプリケーションが遅くなる可能性があるが、これはトライアル版を作成し、ラボでテストをするまで分からない。本番環境をシミュレートして動作状況を確認した上で、徐々にアプリケーションを配備する必要がある。これは半年から1年に及ぶプロセスだ」とジュリアン氏は語る。
しかも同氏によると、それぞれのアプリケーション、つまり過大な負荷で壊れる恐れがあるアプリケーションごとに、それだけの期間が必要になるという。
暗号化技術を採用すべきかどうか迷っている企業や、TJXの二の舞を避ける方法を模索している企業にとって望みはある。ジュリアン氏によると、暗号化システムをセットアップするのにかかるよりもずっと短い時間で、はるかに効果的なセキュリティ対策を講じることができるという。
その方法とは、データベースの脆弱性評価を行い、稼働中のデータベースのモニタリングシステムをセットアップすることだという(関連記事)。
脆弱性評価作業には、デフォルトのIDやパスワードをそのまま使っていないかチェックするといったことが含まれる、と同氏は話す。このような状況は決して珍しくはないという。また、既知の脆弱性の有無を確認する、パッチを適用する、攻撃に対してデータベースを堅牢化するといった作業も含まれる。これらの対策により企業は「1日で相当な改善を実現する」ことができる、とジュリアン氏は話す。
データベースの稼働状況のモニタリングは、データベースを狙う攻撃者に対する注意を企業に喚起するだけでなく、信頼できる従業員が是認されていない操作を実行しようとした場合も注意を喚起する。例えば、データベース管理者といえども、クレジットカード番号の列に対して「select-*」を決して実行すべきではない。
これらの2つのステップ――データベースの評価とモニタリング――は、「データベースのセキュリティ体制を大幅に改善する可能性がある」とジュリアン氏は話す。「しかもこれは、まだ暗号化を導入する前の段階なのだ」
TJXでは暗号化対策も役立たなかったようだ。「絶対確実なものは何もないのが、TJXの場合は明らかにモニタリングが有効であるようだ。この対策を講じていれば(流出した)4750万件のクレジットカード情報が画面に表示されていたかもしれない。ただし、画面を監視していることが前提だが」(ジュリアン氏)
関連記事
- 多くの企業でデータ流出が年に6回も――ITPCGの調査で明らかに
最近の調査によれば、68%の企業で、1年間に6回もセンシティブなデータが流出したり盗まれたりしているという。 - マサチューセッツ州の銀行加盟協会、情報流出による被害発生を報告
- ディスカウント小売りチェーンで大規模な顧客情報流出
- データベース管理者こそがセキュリティホール?
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
ITmediaはアイティメディア株式会社の登録商標です。