ペンタセキュリティシステムズ 日本法人代表取締役社長 陳貞喜氏

ネットワークを対象としたセキュリティ対策に加え、昨今ではデータそのものの保護、つまり暗号化への注目が高まっている。その方法も、ドライブそのものを丸ごと暗号化するタイプから、ファイル単位で暗号化するタイプへと進化を遂げてきている。小さな範囲で暗号化できれば扱いやすく、復号して活用する際にも小回りが効く。ファイル単位での暗号化の次に注目を集めそうなのが、データ単位という、より小さな範囲での暗号化ソリューションだ。

セキュリティ・ソリューションの開発で世界有数の企業、ペンタセキュリティシステムズ 日本法人 代表取締役社長 陳 貞喜(ジン・ジョンヒ)氏も、この数ヶ月で「びっくりするほど、暗号化についての相談が増えた」と、日本市場の変化を語る。特にOSS-DBをカラム単位で暗号化できるソリューション「MyDiamo(マイディアモ)」への問い合わせが多くなっているという。

2013年にリリースされた「MyDiamo」は、世界3,200社以上に導入された商用データベース暗号化ソリューションの「D'Amo」を開発したペンタセキュリティによって、OSS-DB専用に開発された暗号化ソリューション。アメリカ、ヨーロッパ、そしてアフリカ等、世界150社以上の導入実績を誇る。これほどの実績を築き上げられた理由は、その性能の高さに加え、ユーザーや開発者に「やさしい設計」がなされていることにもあるようだ。

今、日本でも関心が高まりつつある「MyDiamo」の特長や設計コンセプトについて、陳氏に聞いた。

カラム単位の暗号化で、パフォーマンスもセキュリティ意識も向上

「MyDiamo」の特長の一つは、カラム単位での暗号化ができることである。5年ほど前の日本企業は「ドライブを丸ごと暗号化する方が安全」という意識が強く、データをカラムという細かい単位で暗号化することには、全く関心を示してもらえないことが多かったという。しかしカラム単位での暗号化は、DB単位、ファイル単位より、高度なセキュリティが実現できると陳氏は言う。

「データおよび鍵の暗号化、 それらへのアクセス制御、 アクセスログの監査。この3つの機能がすべて揃っていて、はじめてセキュアな暗号化と言えます。暗号化するデータをカラムという小さな単位に絞ることで、アクセス制御や監査まで、きめ細かくコントロールできるのです」

誰がどのデータにアクセスしたかを明確に特定できるため、不正行為の抑止手段ともなる上、暗号化・復号に必要なパワーも最小限ですみ、システム全体のパフォーマンス劣化も防ぐことができる。またDBの「どの部分(カラム)」を機密にすべきなのか(何が大切なのか)を、情報管理者が考慮した上で暗号化するという手順を踏むため、管理者のセキュリティ意識を高める効果もあるという。

「何を暗号化するのかを、ユーザーが意識せずに利用するソリューションも出てきていますが、当社は逆に、”ユーザーが認識できる最小限の単位であるデータを暗号化すること”をコンセプトに開発しています。Context-aware Security(情報利用の”文脈”を認識した上でのセキュリティ)を実現するには、大切なものが何なのかを、常に意識していただく必要があるからです」(陳氏)

導入時の作業負担をなくす、暗号化エンジン設計

「MyDiamo」のもう一つの特長は、「DBエンジンレベルでの暗号化」だ。

「企業ITシステムのなかでアプリケーション・レイヤーには、データはもちろん、開発者によるコードなどが載っています。これらに大きな修正を加えずに暗号化を実現するためには、暗号化する位置をそれよりも下のレイヤーに置く必要がありました」(陳氏)

同社が商用DB向けにリリースしている「D'Amo(ディアモ)」では、DBに暗号化モジュールをアドオンする形式をとることで、アプリケーション・レイヤーへの余計な干渉を回避しているが、「MyDiamo」では独自のストレージエンジンを開発し、既存のストレージエンジンの上に配置し、既存のシステムを用いながら暗号化機能が使える形となっている。MySQLを例に取れば、DBエンジンとストレージエンジンの間に「MyDiamo」のエンジンが入るという構造になっている。これは、DBエンジンレベルまで開発の手を入れられるOSSならではの設計だ。これによりデータが載っているアプリケーション・レイヤーより下のシステム・レイヤーで暗号化を実行できるため、暗号化ソリューション導入時に開発者や管理者を悩ませるアプリケーションの手直しも必要ない。

「エンジニアにも負担がかからない、やさしいソリューションです」と、陳氏は付け加えた。

下層に暗号化エンジンを置くことで、アプリの修正はほぼ必要が生じない

ファイル単位での暗号化は、細心の注意が必要

日本では最近、ファイル単位の暗号化が主流になっており、導入企業が増えてきているというが、「ファイルを丸ごと暗号化するから簡単」という理由で採用しているケースも多いようだ。「簡単」というのは確かに大きなメリットではあるが、それがファイル暗号化を選んだ唯一の理由だとしたら、「セキュリティという目的からはズレてしまっています」と陳氏は言う。

ファイル単位での暗号化は、利用の仕方によっては大きな危険を生んでしまうこともある。複数のファイルをまとめて暗号化した場合、機密レベルの低いファイルを復号するためには、同じファイルに含まれている、より機密性の高いファイルも同時に復号することになり、余計なリスクが発生する。

また復号したデータは、利用が済んだ時点ですぐに再暗号化すべきだが、日常業務では「またすぐに使うから」と、そのままにしてしまうことも起こりがちだ。長時間、復号されたデータを開きっぱなしにしていれば、それだけで漏洩のリスクは高まるし、未解放のメモリーに平文状態の機密情報が残ってしまうケースも考えられるという。

貴社のOSS-DBは……?

冒頭で「MyDiamo」への関心が高まっていることに触れたが、これは企業でも積極的に活用されるようになったOSS-DBの需要に呼応したものなのだろうか。

「とある大手SI企業から聞いた話では、以前OSS-DB構築を手がけたエンドユーザーから、最近になって暗号化についての要望が何件もあったとのことです。そのSI企業だけで、これまでに数万件のOSS-DBを構築しているそうですから、DBの需要に合わせて『MyDiamo』が注目されるようになったのではなく、セキュリティの必要性が、エンドユーザーにも強く意識されるようになってきたということでしょう」(陳氏)

つまり、暗号化が導入されていないOSS-DBは、国内にまだまだ存在するということだ。貴社のDBは大丈夫だろうか。本稿を読んだ方々には、これを機に確認をいただきたい。

(マイナビニュース広告企画 : 提供 ペンタセキュリティシステムズ)

[PR]提供: