ランサムウェア対策には「暗号化」が必要不可欠 肝心なのは鍵の管理：自社の重要データを暗号化しなければならない理由

企業の重要データを窃取しようとするサイバー攻撃に対抗するには、何が必要だろうか。防御策の一つが暗号化だ。データが暗号化されており、犯罪者がそれを復号できないのなら、データを盗まれたとしても損害は少ないからだ。では、データの暗号化にはどのような計画が必要なのだろうか。

[PR／ITmedia]

PR

　サイバー攻撃による情報漏えいが止まらない。ランサムウェアは暗号化を前提としない“恐喝”にシフトしており、情報の窃取と暴露のリスクがますます大きくなっている。

　脅威を完全に食い止めることが困難な今、“データそのものを守る”という基本に立ち返り、漏えいしたとしても情報が犯罪者の手に渡らない方策が必要だ。そこで暗号化技術による情報漏えい対策を推奨するのがタレスDISジャパン（以下、タレス）だ。同社が提唱する「データセキュリティ」の詳細を聞いた。

データ保護は企業にとって急務　暗号化でよくある“誤解”とは？

タレスの舟木康浩氏

　タレスの舟木康浩氏（クラウドプロテクション＆ライセンシング　データプロテクション事業本部　セールスエンジニアマネージャ）は、日本クラウドセキュリティアライアンスにおけるデータセキュリティワーキンググループに参加し、暗号化技術を追い掛け続ける有識者だ。暗号化技術のエバンジェリストとしての役割をタレスで担っている。

　舟木氏は昨今のサイバー脅威について「従来の境界型防御が限界になってきていることに加え、ランサムウェアの技術が著しく進歩しています。最近はRaaS（ランサムウェア・アズ・ア・サービス）の発展によって、高いスキルを持っていない犯罪者でも簡単にランサムウェア攻撃を実行できるようになりました。海外では内部不正も急増しています」と語る。

　このような企業内外の脅威に対処し、自社のデータを守ることが急務になっており、タレスはデータを中心に据えたセキュリティ対策として“暗号化”に着目した。

　舟木氏は「電子政府推奨暗号の安全性評価や適切な実装方法を検討する政府主導のプロジェクトCRYPTREC（Cryptography Research and Evaluation Committees）でさまざまな暗号化技術が紹介されています。私が特に伝えたいのは、暗号アルゴリズムだけでなく“鍵の分離管理”も同じくらい重要だということです」と話す。

　どれだけ高度なアルゴリズムでデータを暗号化していたとしても、鍵が同時に漏れてしまえば意味がない。逆に、正しく暗号鍵が管理されており、データが漏えいしても暗号鍵を正しく廃棄でき、その手順に透明性があれば、第三者から見ても安全性が分かる。情報漏えい対策で目指すべきなのはこの仕組みだ。

　「個人情報保護法で定められている『特定個人情報について、高度な暗号化等の秘匿化がされている場合』とは機密データの暗号化と鍵の分離管理が十分にできている状態を指します。この要件を満たせなければ個人情報が漏えいした際に個人情報保護委員会への報告義務が生じるため、企業にとってこの対応は必須だと言えます」（舟木氏）

　舟木氏は「米国国立標準技術研究所（NIST）が発行しているFIPS（連邦情報処理標準）に準拠した鍵の分離管理を実施していれば、インシデント発生時に『対策をここまで果たしている』という説明責任を果たせるため、経営層にとってもプラスに働くはずです」とメリットを語る。

「鍵」はクラウドに置くべきか、それとも社内にとどめるべきか

　暗号鍵の管理が甘いと、さまざまな場所に鍵が保管されてしまう可能性がある。暗号化の際には鍵をどこに置くか、あらかじめ戦略を持っておく必要がある。

　舟木氏によると、多くの場合は技術の前段階で「コンプライアンス」が関係してくる。日本では「Bring Your Own Key」（BYOK）、つまり自分の鍵を自分で管理し、Amazon Web Services（AWS）などのパブリッククラウドに鍵を持ち込むのが一般的だという。「政府情報システムのためのセキュリティ評価制度」（ISMAP）においても、要件としてBYOKのサポートが記載されている。つまり鍵管理のソリューションがBYOKに対応していることが前提となる。

クラウドデータの暗号化における鍵管理手法は要件によって異なる（提供：タレス）

　これに対して、海外では暗号鍵を自社の外に出さない「Hold Your Own Key」（HYOK）が要求される場合がある。クラウドに鍵を置かず自社内で鍵管理を実施し、クラウドから参照させる仕組みだ。クラウド事業者はさまざまな鍵管理の仕組みに対応できるように、インテグレーション可能なソリューションを用意している。タレスも複数のパブリッククラウドと連携し、企業のコンプライアンス要件に対応できる仕組みを持っている。

　企業に侵入したサイバー犯罪者がサーバのメモリ内に読み込まれた暗号鍵を奪うという事件があった。本番環境は対策済みだったとしても、テスト環境などで生成されたメモリダンプが意図せず残っている可能性はあるだろう。舟木氏は「正しい鍵管理をしていればメモリ上には残りません」と述べる。さらに、社内にハードウェアモジュールを置いて暗号鍵をしっかり管理していれば「外に出ていないという保証もできます」と同氏は指摘する。それこそが正しい鍵管理の目指すものであり、鍵管理があったことで得られる透明性だ。

ある海外保険会社は、鍵管理の基盤をオンプレミスに配置し、クラウド、ハイブリッド、オンプレミスで鍵管理を一元化する仕組みを構築してデータ保護を実現した（提供：タレス）

暗号化の技術的ハードルは高くない

　機密データの暗号化に加えて鍵の分離管理を実現するのは技術的なハードルが高いのではないかと考える企業もあるだろう。

　タレスは暗号化と鍵管理の仕組みを導入するハードルを下げ、暗号化を意識することなく各種要件に対応できる「CipherTrust Data Security Platform」（CDSP）を提供している。CDSPはオンプレミスからクラウドまで、暗号化のために必要な機能を提供する。暗号鍵を集中管理し、ログを取得して監査レポートを作成できる。

CDSPの概要　データ検知、暗号処理とトークナイゼーション、鍵管理、シークレット管理などの機能を提供する（提供：タレス）

　舟木氏は「鍵管理はインフラの一部です」と述べる。暗号化さえすれば安全だということではなく、正しいアルゴリズムで暗号化し、暗号鍵を管理することが重要だ。CDSPはセキュリティ要件が厳しい金融機関だけでなく、欧州連合（EU）の「GDPR」（EU一般データ保護規則）などの海外の法規制の要件をクリアする必要がある多くの業種で利用されている。

　「絶対に漏れてはいけないハイセキュリティが必要なデータ、個人情報が入っているファイルサーバなど、適用範囲ごとに暗号化手法を提供できます。アプリケーションに絶対に影響を与えられない場合にも、適切な暗号化が可能です」（舟木氏）

　暗号化ソリューションを導入した場合、鍵管理が部署や個人の単位に任されてしまい、一貫したルールが適用されず、コンプライアンスの問題を抱えてしまうことがある。舟木氏によればそれが「暗号化」のハードルの一因になってしまっている。しかし舟木氏は「実は導入のハードルはそれほど高くない」と述べる。必要なのは、正しい知識を持ったパートナーの技術力と行動力だという。

　「既にタレスとパートナーは15年以上の経験があり、サポートできる代理店も多数存在します。海外であれば提案依頼書（RFP）が先に来ますが、日本の場合はまずタレスのパートナーから選定のための情報を出せます。クラウドの利用や仮想化環境、コンプライアンスなど顧客のさまざまな要件を基に最適な構成を提供できるので、導入のハードルはお客さまが考えるよりも低いはずです」（舟木氏）

　ファイルサーバの暗号化と鍵管理だけでも最初は十分な効果が得られる。次の段階で、ファイルサーバのデータを部署や権限に合わせて保護する、データベースなどアプリケーションのデータをユーザー単位で保護する、などを考えていけばいい。「コンサルティングの手前でも構わないのでぜひ相談してください」（舟木氏）

　タレスはCDSPを無料で利用できる“コミュニティーエディション版”も提供しており、これを使えば気軽に検証できる。

正しいデータセキュリティにはコストメリットあり

　マーケットのニーズに従ったCDSPの新機能が幾つか計画されている。クレジットカード番号をはじめとする漏えいしてはならないデータがどこに存在するのかを把握するディスカバリー機能を既に提供しており、ランサムウェアによる不正な暗号化処理を停止する機能や認証情報をはじめとするシークレット情報を管理する機能も提供する予定だ。

　ランサムウェア対策機能について、「われわれは“暗号化”の専門ベンダーでありプロです。暗号化しようとする動作の特異性を検知し、先回りしてブロックできます。シグネチャベースではなく、暗号化している間にファイル入出力を見てブロックするため、未知の脅威にも有効です」と舟木氏は述べる。

　セキュリティが向上することは分かっていても、暗号化のコストメリットには不安が残っているかもしれない。Forrester Researchによる調査では、CDSPの財務上のメリットを3年間で910万ドルとしている。鍵の統合管理による業務効率の向上や侵害による影響の軽減、開発コストの削減、不要になるツールとストレージのコストから見積もったコスト削減額だ。正しいデータセキュリティを実現すればコストメリットも確保できるというわけだ。

　デジタル庁はガバメントクラウドの要件として、「セキュリティ機能」とは別枠で「(15)　暗号鍵管理とデータ保管セキュリティ」を用意していることからも、暗号鍵管理と「データセキュリティ」の重要性が伝わるのではないだろうか。鍵管理をインフラの一部として考えられるかどうかが、セキュリティそしてコンプライアンスの“カギ”となるだろう。

　舟木氏は最後に「情報漏えいを狙う攻撃は今後もなくならないでしょう。『自社の重要データを保護したい』というだけでなく『暗号化に関する疑問や悩みを抱えている』といった場合でもタレスに気軽に相談してください」と締めくくった。