2025年4月22日8:00
暗号化における4つの課題
鍵管理や文書化などが企業の負担に
小原:企業においてデータの暗号化を推進しようとするときの課題を、4つ挙げさせていただきます。
まず、鍵管理の複雑さとリスクです。実は暗号化そのものよりも、鍵の管理に頭を悩ませる企業が少なくありません。単一のデータセンター内ならまだしも、現在のようなマルチクラウド環境になると、クラウドごとに鍵管理システムが存在しており、それらを統合的に管理することは非常に困難だといわれています。複数の環境にまたがる鍵を扱う場合、環境ごとに異なる手順やプロトコルに精通していなければなりません。運用の複雑性は飛躍的に増します。それから、生成、配布、ローテーション、破棄という鍵のライフサイクルを適切に管理することが難しいという声も、よくいただきます。
次に、暗号化によるシステムパフォーマンスへの影響です。暗号化するというと、どうしても処理が重くなるのではないかという懸念を持たれるのではないかと思います。確かに暗号化・複合処理にはCPUリソースを使用するため、対策を講じていない場合はシステム性能へのオーバーヘッドが発生します。また、パフォーマンスのチューニングも必要になってきます。
3つ目は、PCI DSSで求められる文書化要件の負担です。PCI DSSは、ポリシーや手順の文書化や、証跡管理を要求します。暗号化に関しても、どのデータをどのように暗号化し、鍵管理をどのように行っているかを文書化し、定期的にレビュー、更新しなければなりません。また、それらが正しく行われているかを、きちんと証跡として残すことが必要です。これらの監査対応が難しいということです。
最後、4つ目が、サイバーセキュリティ全般に言えることなのですが、投資対効果の検討が難しいという点です。起こらなかった被害は表面化しにくいので、評価されにくいのです。
これらの課題を解決するソリューションとして、タレスのCipherTrustをご紹介させていただきます。
暗号環境を一元管理できる「CipherTrust」
必要な機能を柔軟に追加することが可能
小原:CipherTrustは、社内すべての機密情報の暗号環境を一元的に管理できるソリューションです。単一コンソールや自動化を行えるので、運用も非常に楽です。このプロダクトは、管理コンソールと、必要な機能を、柔軟に追加できるライセンス形態を持っておりますので、皆様の環境に必要な機能だけを搭載していただくことができます。
たとえば秘密鍵の管理には、CipherTrust Key Managementという機能を使います。マルチクラウド環境でも一元的に鍵を管理することができます。各クラウドプロバイダの鍵管理サービスや、オンプレミスのHSMで生成・管理される鍵を、単一のコンソールから統合管理することができます。これによって、クラウドごとに異なる管理ツールを習得する必要がなくなりますし、専門知識がなくても複数クラウドの鍵を一括して扱うことができます。また、鍵のライフサイクルも、各クラウド、各ディビジョン、各プロジェクトにまたがって自動化することができます。
データの暗号化には、CipherTrust Transparent Encryption、透過的な暗号化という機能を使います。会員システムレベルでデータを自動暗号化し、既存アプリケーションやデータベースに変更を加えることなく導入が可能です。
また、トークナイゼーションを行うCipherTrust Tokenizationという機能もございます。暗号化ではなく、たとえばカード情報などを匿名化する、非保持化するという機能です。非保持化したデータは、PCI DSS上はカード情報にあたりませんので、トークンとして扱うことによって、そのデータは監査対象からはずれ、監査の範囲を縮小することができます。
また、文書化支援として、CipherTrustのプラットフォームでは、各種ソリューションによって収集された暗号化/復号ログ、アクセスログ、鍵の利用記録などを集中管理することができます。監査ログの網羅的な取得とレポーティングの自動化によって、セキュリティ担当者のドキュメントの作成業務を大幅に軽減しつつ、監査要求に迅速に対応することができるようになります。
DEMO:
暗号化、ランサムウェア対策、トークン化
多様な場面にフレキシブルに対応
豊田:ではここから私が、実際にCipherTrustを使ったデモを、いくつかお目にかけたいと思います。
1つ目は暗号化のデモです。製品の構成ですが、まずCipherTrust Managerがあります。このアプライアンスは、仮想と物理の両方で提供していますが、このデモでは仮想版を使います。暗号化対象のWindowsサーバには、暗号化のソフトウェア、エージェントソフトウェアをインストールしてあります。AdministratorはC:testの復号権限なし、testユーザーはC:testの復号権限ありの設定としております。デモ内容はシンプルに、暗号化されているデータの確認と、その復号です。復号権限のないAdministratorがWindowsサーバにログインしても、暗号化されたディレクトリがあるだけで、元の情報を見ることはできません。同じサーバに復号権限を持つtestユーザーがログインして操作すると、データが復号されました。
2つ目は、ランサムウェアプロテクション(RWP)というランサムウェア対策のソリューションのデモです。保護対象のサーバはWindowsサーバです。ランサムウェアのシミュレーター自体を動かして、実際に挙動をブロックするかどうかを見てみましょう。RWPをブロックモードにすると、ランサムウェアは攻撃を実行することができません。
3つ目は、トークナイゼーションのデモです。製品構成としては、CipherTrust Managerと、鍵管理のアプライアンス、そしてトークン化を行うトークナイゼーションサーバがあります。デモ用の疑似的なWebサイトで、名前、メールアドレス、クレジットカードのPANを入力することによって、PANをトークン化します。データベースを見ると、実際にPANがトークン化されて保存されていることがわかります。再びWebサイトにログインして、今度はデトークナイズされたPANが表示されていることを確認していただけます。
3つのシナリオによる
ROI戦略とビジネスインパクト
小原:先ほどお話しさせていただいたように、暗号化ソリューション導入時には、コストとROIの不透明さが課題として浮上することがあります。これをどう考えるかについては、3つのシナリオが想定できると考えています。
1つ目は、暗号化ソリューションの導入コストを、PCI DSS準拠を継続するためにかかるコストの一部ととらえる考え方です。PCI DSS準拠のためにはさまざまなコストがかかります。それに対してCipherTrustは、たとえばトークナイゼーションによる監査範囲の縮小や、マルチクラウドの利用によって繁雑化する鍵管理の運用の統合化、暗号化によるリスクヘッジなどによって、そのコスト削減に寄与します。こういった観点から、ソリューションの導入はROIの改善に効果を及ぼしていると考えられます。
2つ目は、マルチクラウド戦略における暗号化ソリューションの導入効果です。クラウドとオンプレミスを併用したり、複数のクラウドを利用したりしている企業は多いと思いますが、そのとき、異なった環境にあるデータそれぞれに個別に暗号化を行ったり、個別に鍵管理を行ったりすれば、人件費が増大します。暗号化に総合的に対応するソリューションを導入すれば、そのコストを抑えることができると同時に、ヒューマンエラーのリスクを低減させることができます。
3つ目は、ブランド価値の向上とリスク低減という観点からのROIの算出です。情報漏洩のインシデント1件あたりの必要コストは6億円ともいわれています。データが暗号化されていれば、このリスクを大きく低減することができます。タレスが提供する世界最高レベルの暗号技術を実装して、お客様のデータを安全に守ることで、ブランド価値の向上、信頼性の向上を図ることが可能になります。この導入コストは、その効果に十分見合うものだとは考えられないでしょうか。
皆様が保有している貴重なデータを守るために、暗号化、トークン化の技術の活用を、ぜひご検討いただきたいと思います。
われわれは、皆様の環境下でのCipherTrustの効果検証をお手伝いさせていただくことができます。ご興味のある方は、ぜひお気軽にお問合せください。
■お問い合わせ先
タレスDISジャパン株式会社
クラウドプロテクション&ライセンシング
データプロテクション事業本部
URL: https://cpl.thalesgroup.com/ja
Mail: cpl.jpsales@thalesgroup.com
