2017年6月15日8:00
■ジェムアルト株式会社
鍵管理と暗号化の統合管理のソリューション「Key secure」
鍵運用を容易にするGUI搭載
Key secure はHSMとProtect FileやTokenization(トークナイゼーション)などの弊社ソフトウェア(コネクタ)が連動して動作するソリューションです。Key secure は、これら多様なコネクタも1台で統合管理でき、さらにはお客様が暗号化された鍵もカスタマイズして管理できるものになっています。
Keysecureの特徴のひとつとしてPCI DSSで定義された鍵運用を容易にするGUIが搭載されていることがあげられます。このGUIにしたがって運用すれば、基本的にPCIDSSに準拠した鍵管理の運用を行うことができます。また、Key secure の中でも暗号化処理を実行することができ、データベースの暗号処理の負荷を軽減させるためにKey secure内で暗号化処理をしてデータを返すこともできます。またシステム全体の可用性を高めるためにKey secureを並列に構成し冗長化し、スケールアップしていくことも可能です。弊社製品は米国や欧州のセキュリティ製品のスタンダードに準拠しており、グローバルな第三者機関の承認を得ていることになりますので、政府、自治体の調達要件にも対応できます。
コネクタについては、実際、何をどこに入れればいいのかという質問がありますが、基本的に暗号化をどこで行うかで製品が分かれています。大きくはデータベースの中にあるのか、ファイル、フォルダの中に入っているのかで分かれ、データベースの中のデータを暗号化する際にも、処理が重くなることを避け、特定のカラムだけを暗号化する場合と、データベース全体を暗号化する場合に分かれます。また、特定のカラムを暗号化する場合にも、データベースのカラムレベルで行うのか、アプリケーションをサーバに組み込んでその中で暗号化して、社内のLANには生データを絶対に流さないのか、といった設計が可能となります。
ファイル、フォルダですが、これはイントラ環境にあるのかクラウドであるのかで分かれます。イントラであればファイルサーバの中のフォルダ単位やディレクトリ単位で暗号化していくコネクタなどがあります。各アプリケーション、ソフトウェアは各場所にインストールしていただき、その鍵をKey secureで保護・管理することで提供しています。
ProtectApp はいわゆるSDKです。プログラムに組み込んで暗号化を行う製品で、その中でもトークナイゼーションは数字に置き換えるのですが、全桁を対象にしたり、特定の桁だけを対象としたりするなど、さまざまな設定ができるようになっています。
また、ProtectDBは、カラム単位で暗号化を行うもので、たとえば、クレジットカード番号に対応させ、権限ユーザ以外には非表示にするといった対応ができます。
ProtectVは、クラウド上の仮想環境上で作動するソフトウェアとなり、インスタンスなどのレベルで暗号化を行います。
トークン化システムの事例
PCI DSS対応としても導入が進む
国内のHSMの活用事例として、大手クレジットカード会社様を始め、PCI DSSの監査対応が非常に煩雑になってきたため、顧客データベースを更新する際にトークン化して保存するケースがあります。弊社では先ほどのKey secureというHSMとトークン化のソフトウェアをアプリケーションサーバに実装する形で実現しております。新規データは入力の際にトークン化するのですが、既存のデータについてもバッチ処理で一括してトークン化できるようになっています。
弊社はこれまで金融業界に長い実績があり、手厚いサポートで、お客様の計画段階から保守まで、一貫したサービスを提供可能です。
続いて海外の事例ですが、海外ではHSMによる管理がある意味当たり前になっており、日本よりも3年~5年ほど進んでいる状況にあります。その中で、社内のさまざまな場所にHSMが導入されており、それぞれが鍵管理をしていると煩雑になってくるという課題があります。その課題に対して弊社では、Key secureを置くだけですべてのシステムの鍵を管理する目的として、導入させていただきました。この会社は非常にデータ数が多く、1億1,000万以上あり、高いパフォーマンスが必要という課題もありました。また、鍵の数が非常に多いため、Key secureを並列に置いて、スケールアップしてパフォーマンスをキープできました。将来的は、GCMやFPEといった新たなアルゴリズムにも対応できるメリットもあるため、採用いただいております。
導入サポート体制と実際の対応
特約店・提携パートナーに加え、直接導入も可能
導入後のサポート体制としては、24時間365日、駆けつけ4時間以内の対応が可能です。これは弊社単独ではなく、パートナーとの協業によって提供が可能になっています。コスト重視のお客様には、弊社グローバルサポートの窓口(英語)をご利用いただくことで、24時間お問い合わせいただけます。導入は、短いもので3日、長いものでは1年のサイクルになりますが、最初の計画の段階で、弊社からヒヤリング、コンサルティングをさせていただきます。その後、実機をお貸し出しし検証を行っていただくのですが、その期間中、弊社日本オフィスのSEが無償で対応させていただきます。
ご発注にあたっては基本的にはパートナーからの提供になります。構築作業は基本的にお客様に行っていただきますが弊社技術パートナーによる構築も可能でございます。さらに製品のカスタマイズについても対応可能ですし、グローバル展開時のサポートも万全です。
具体的な体制ですが、先ほどのKey secureでは、基本的に販売代理店様経由で、お客様、SIer様と共に導入作業を進める形となります。また、HSMのノウハウの豊富な構築支援パートナー様にお任せいただき、SIerには全体のプロジェクト管理を担っていただくことも可能です。さらに、導入にあたって、一体どのシステムから手をつけていいかわからない、というお客様へは提携コンサルティング会社様をご紹介し、システム全体のフィジビリティスタディ、具体的な導入計画の策定のお手伝いをさせていただくことも可能です。
※本記事は2017年3月22日に開催された「ペイメントカード・セキュリティフォーラム2017」のジェムアルト株式会社 IDP事業本部 曽和知己氏の講演をベースに加筆を加え、紹介しています。
■お問い合わせ先
ジェムアルト(Gemalto)
〒108-0075
東京都港区港南一丁目6番31号 品川東急ビル5階
代表:03-6744-0220
アイデンティティ&データプロテクション事業本部:03-6744-0221
ソフトウェアマネタイゼーション事業本部:03-6744-0222
http://www.safenet-inc.jp/
