2023年11月2日8:00
データを保護するための最も一般的で効果的なアプローチの1つは、鍵管理と暗号化だ。サイバー攻撃によるデータ侵害で不正アクセスがあった場合でも、暗号鍵を守ることでデータを読み取ることができないようできるからだ。タレスDISジャパン株式会社が提供しているタレスデータ保護製品は、オンプレミスでもクラウドでも、カード会員データを処理する企業インフラとアプリケーション上で、保管データとデータ通信を保護するためのポートフォリオを持っている。(提供:タレスDISジャパン株式会社【PR】)
ファイルシステムやデータベース全体を暗号化
データ暗号鍵自体をローテーション
タレスDISジャパン株式会社 クラウドプロテクション&ライセンシング データプロテクション事業本部セールスエンジニアマネージャの舟木康浩氏は「クラウドか、オンプレミス環境かに関わらず、データを暗号化して保護することは有効なセキュリティの手段です。悪意のある第三者に機密データが漏洩しても、暗号鍵がない限り、そのデータを復号することはできないからです」と話す。
タレスのCipherTrust Transparent Encryption(CTE:透過的暗号化製品)は、アプリケーションに影響なく、ファイルシステムレベルで透過的に保存データ暗号化を提供、特権管理者の制御等のアクセス管理、また監査ログ機能を提供する。さらに暗号化されたファイルを検知するというユニークな方法によりランサムウェア対策機能を今年追加した。同製品は暗号化導入時に課題となるアプリケーション変更が必要なく、サポートしているOSであればクラウド、オンプレミスでも利用可能であることから多くの企業で利用されている。企業が使用し、保存しているデータの量は、この1年間だけでも大幅に増加していると考えられる。また、各地域や国のさまざまなプライバシーに関する法律や規制を遵守することは、より複雑で困難になっており、CTEの活躍の場は広がっている。
また、特許を取得しているCipherTrust透過的暗号化ライブデータの変換によって、管理者はサービス中断を最小限に抑えながら、ファイルシステムやデータベース全体を暗号化し、鍵のローテーションを実行できるのも強みだ。
CDSPは透過暗号化製品以外にもストレージデバイス等がサポートしているKMIP連携、データベースのカラム単位を暗号化する機能、トークナイゼーション機能を提供しており、単一のプラットフォームであらゆるデータを保護することを実現可能だ。また現在多くのITシステムで利用が進んでいるクラウド環境やコンテナ環境にもBYOK/HYOKというクラウド鍵管理、各種シークレット管理という提供を開始している。
舟木氏は「タレスのCDSPは、お客様の要件に合わせてストレージ等とのKMIP連携、ファイルシステムレベル、DBカラム単位で暗号化することができます。ファイルシステムレベルで暗号化する場合はアプリケーションに対して透過的なので、許可されたユーザーを除き、管理者であっても、ログオンはできるが鍵は使えません。つまり、大事な見積もり情報を、許可された営業担当者だけが見ることができるように制御できるのです。暗号化鍵管理システムもハードウェア、仮想化アプライアンスで提供しており、クラウドサービス上、各種仮想環境にも構築可能です」と話す。
シークレット管理ソリューションを提供
さらなるCDSPのロードマップ
データ保護を実現する前の課題に対してCDSPはデータ検知機能を提供していることも強調した。
「そもそも、どのデータがどこに保管されているかわからなくなっているので、何から手を付けたらいいのかわからない」という悩みを抱えている企業も少なくない。そうした場合は、クラウドストレージやデータベース、ネットワークシェア、ファイルサーバなどをスキャンして、データを可視化したうえで、ヘルスケア、金融、社内の固有データなどに識別し、分類できるデータ検知ソリューションも提供している。
今後多くの企業で課題となると大手調査会社が指摘しているのが、各システムが利用するシークレット情報である。シークレットとは、人だけではなく、システムやアプリケーションが認証に利用する情報を指す。
タレスはCDSPにシークレット管理機能をサポートすることを発表したシークレットタイプは、手動で作成・更新するキーと値のペアやパスワード、APIトークンなどの「静的シークレット」と、クライアントに限られた期間や限られた権限セットでリソースのアクセスを提供するためにオンデマンドで生成される一時的な認証情報である「動的シークレット」がある。このほか、ターゲットマシン上のパスワードをリセットすることによって定期的に更新される特権ユーザーアカウントのパスワードや、更新されたシークレット値を保存し、必要な時に取得するローテーションされたシークレットなどがある。利用例として開発者に対して有効期間付きのDBログオン情報、サーバログオンのためのSSH証明書を発行する機能がある。シークレット管理の主要機能はクラウドサービスでの提供であり運用費用削減、容易な導入が可能である。
PCI DSSバージョン4.0(v4.0)の要件8では、カード会員データ環境へのすべてのアクセスに多要素認証(MFA)を実装するように拡張するなどサービスアカウントへの認証強化が行われたが、同機能が生かされるに違いない。
PCI DSS v4.0対応も
日本企業でのデータセキュリティへの関心が高まる
ユーザー制御機能を備えたタレスのソリューションをPCI DSS v4.0への対策に活用したいというニーズは増えている。一方、顧客からの相談では「いったん暗号化してしまうと、アプリケーションが復号化できなくなった場合、データが使えなくなってしまうのではないか?」「情報処理性能が落ちてしまわないか?」などを懸念も寄せられているという。
そうした顧客の声に対し、タレスDISジャパン株式会社 クラウドプロテクション&ライセンシング データセキュリティ事業本部メジャーアカウントセールス担当部長の船田大氏は「タレスの暗号化製品はCTEなどアプリケーションに影響なく、ユーザーの判別ができるのが特徴で、非常に高い評価を頂いています。自信を持って、PCI DSS v4.0対応を考えているお客様にもご提案しています」と語る。
PCI DSSのバージョンアップへの対応は関連する業界にとっては、自社のデータセキュリティのあり方を点検する良い機会にもなりうる。舟木氏は「タレスのデータ保護製品は、鍵管理をしっかり実装できるソリューションです。PCI DSSの新バージョンへの対応をきっかけに、日本企業にもデータセキュリティへの関心が高まっており、これを機会に鍵管理と暗号化の重要性についてご説明していきたいです」と話している。
【ホワイトペーパー】
ディスク暗号不可のPCI DSS 4.0準拠に備える
データを保護する暗号化ソリューションの重要性
■お問い合わせ先
タレスDISジャパン株式会社
クラウドプロテクション&ライセンシング データプロテクション事業本部
〒107-0052・東京都港区赤坂2-17-7、赤坂溜池タワ
TEL03-6234-8180
URL:https://cpl.thalesgroup.com/ja/data-protection
Email:jpnsales@thalesesecurity.com