12月3、4日にWebセミナー「マイナビニュースフォーラム 2020 Winter for データ活用~ニューノーマルに備えるデータ戦略~」が開催され、データ活用をテーマにした様々なセッションが展開された。
そのうち4日のキヤノンマーケティングジャパンのセッションでは「デジタル時代を支えるデータ保護対策とは~保存データの暗号化~」と題して、キヤノンマーケティングジャパン株式会社 セキュリティソリューション企画本部 サイバーセキュリティ技術開発センター、太田 高明氏が登壇した。太田氏のセッションでは、クラウド利用におけるデータ保護対策の重要性を解説するとともに、様々な環境で利用可能なデータ暗号化と鍵管理のソリューションについて解説がなされた。
クラウドを利用する国内企業が増加傾向に
デジタル・トランスフォーメーション(DX)やリモートワークに各企業が注力しているように、デジタル化を推進する取り組みの重要性が広く認知されるようになった。国内においても、既にプライベートクラウドやパブリッククラウドを利用した様々な取り組みが行われ始めており、企業を取り巻く環境は大きく変わりつつある。
総務省が公表している「令和2年版 情報通信白書」によると、クラウドサービスを利用している企業の割合は6割以上にものぼっている。また、金融庁の調査によると、地域銀行 104行 のうちクラウドサービスを利用しているのは、約87%と非常に高い割合を示していて、金融機関に於いても積極的に利用していることがわかる。
キヤノンマーケティングジャパン株式会社
セキュリティソリューション企画本部
サイバーセキュリティ技術開発センター
太田 高明 氏
「2020年は、多くの企業がテレワークへと移行したことで、クラウドシフトが加速したと思われます」と、太田氏はコメントした。
クラウドサービスを利用する理由としては「資産・保守体制を社内に持つ必要がないから」(45.9%)が最も多く、次いで「場所・機器を選ばずに利用できるから」(43.3%)、「安定運用・可用性が高くなるから」(36.8%)と続いている。
「企業の間では、データ活用基盤としてクラウド利用が進んでいる。いまやDXを進めるうえで、データ活用は重要な要素のひとつであり、データは競争力の価値源泉と言っても過言ではありません。集められた膨大なデータをAIで分析し、価値ある新たなデータへと生まれ変わらせ、そのデータを基に顧客により良いサービスを提供する、といったビジネスモデルが形成されています。データから新たな価値が創出され、さらに新たなサービス化へとつながっているのです」(太田氏)
狙われるクラウド上のデータ、侵入を前提とした対策がポイントに
多くの企業がデジタル技術を活用して新たなビジネスモデル創出へと動くなかにあって、忘れてはならないのが情報セキュリティである。
「いまや情報セキュリティは重要な経営課題のひとつであり、会社を守るための経営者の責任といえます。情報セキュリティ対策への取り組みを社外にアピールすることで、企業価値を高めることができ、株主や取引先、顧客といったステークホルダーからの信頼を得ることができるのです」と、太田氏は強調した。
情報セキュリティ対策を検討する上で基本となるのがCIA、「機密性」 「完全性」 「可用性」 の 3つの要素です。
「これら3つの要素のバランスを確保したシステムの導入・運用を基本とし、また、リスクを定期的にモニタリングし、インシデント発生を未然に防ぐことや、万が一事件・事故が発生した場合に迅速に対処できるよう、事前に対応策などを決めておくことも重要だ」(太田氏)
そしてクラウドサービスの利用が進むと、障害や情報漏えいが発生した際、事業運営に大きな影響を及ぼすことになり、これまで以上のリスクを抱えることにもなる。クラウド障害の中には、サイバー攻撃を原因とする情報漏えいの事件・事故も少なくなく、発生すると長期間影響を受け大きな損害となる可能性がある。また、米国企業を中心とした「メガクラウド」の利用が増えると、データが海外に流出するといった懸念もある。
「このためクラウドサービス利用の際は、ぜひリスク評価を実施していただきたいです。リスク評価において重要なのは、事故が発生することを前提とし、その際の損失をどのように低減し事業を継続できるかにあります。これはエンドユーザーだけの問題ではなく、クラウドを利用してサービス提供する事業者やアプリケーション開発する事業者も同様です」と、太田氏は語った。
少し前までは、企業がクラウドに保存するデータはリスクの低いものが中心であったが、最近では個人情報・プライバシー情報といった機微情報や、機密性の高いデータがクラウドに保存されるようになってきている。しかしながら、データ保護対策を実施している企業の割合は低く、クラウドサービスの利用を終了した後、データがクラウドサービス提供事業者側に残存するリスクがある。
「重要データがクラウドへと移行しているなか、情報資産の分類とリスク評価を行い、どういった情報をどのように守るのか、機密性の確保が課題となっています。クラウドへ移行するにつれユーザーによるコントロールは減少しますが、データ保護そのものについてはユーザーの責任となります。そのため企業には、情報を守る体制を整えていただきたいです。実際、今年に入って国内大手企業へのサイバー攻撃が急増しており、深刻な情報漏えいが発生し、被害が生じているのです」(太田氏)
データは「21世紀の石油」とも言われる時代において、2018年5月に施行されたEU一般データ保護規則(GDPR)をはじめとして世界各国で個人情報を保護する動きが続いている。一方、多くの企業ではセキュリティ対策に取り組んでいるものの、サイバー攻撃の脅威が日々多様化・高度化するなか、情報流出を完全に防ぐことは困難なのが現実だ。
「そのため、万が一、サイバー攻撃によって『ファイル』が漏れたとしても、『情報』は漏れないような対策が重要となってくる。そして情報漏えい対策に極めて効果的なのが『暗号化』だと、太田氏は力説した。
マルチクラウドにも対応する暗号化プラットフォーム
こうした課題を受けて、セッションの後半で太田氏は、保存データ(Data at Rest)を保護する暗号化プラットフォーム「Vormetric Data Security Platform(以下、Vormetric)」による解決策を示した。
Vormetricの最大の特徴は、暗号データと暗号鍵を分離して管理できる点にある。鍵管理サーバーは2台以上のHA構成を基本とし、サーバー内で鍵を保管する。また鍵管理サーバーには、物理アプライアンスと仮想アプライアンスの2タイプが用意されていて、この鍵管理サーバーと周辺の機能コンポーネントを組み合わせる構成である。
「透過暗号は、鍵管理サーバーと対象サーバーにインストールするエージェントソフトウェアの構成。機能・特徴としては、システム構成が非常にシンプルでありクライアントPCに特別なソフトウェアが不要な点や、既存のファイルシステムやデータベース、アプリケーションの変更は不要であること、ユーザーやシステムに対して自動的に暗号化/復号が行え、ユーザーはパスワード管理など暗号化を意識する必要がないことなど、多々挙げられます。また透過暗号によるアクセスログを監査証跡としても利用可能です」(太田氏)
Vormetricは、暗号化技術のひとつであるトークナイゼーションを提供している。トークナイゼーションを用いることで、データベースには無価値化・秘匿化されたトークンデータのみが保存されるため、万一盗まれても全く価値が無く、それ単体では絶対に戻すことができないので、不正使用されることはない。
「そのパフォーマンスは一般的な暗号化の100倍以上にもなります」(太田氏)
他には、AWSやAzure、Salesforceなどが提供している暗号化サービスの鍵を統合管理する機能も提供している。本製品はマルチクラウドに対応しており、複数のクラウドサービスの鍵を統合管理できるようになっている。そしてクラウド暗号化サービス鍵管理の最大の特徴として、BYOK(Bring Your Own Key=独自の鍵使用)により、クラウド事業者はじめ第三者にデータを見られることはない点が挙げられる。
「Vormetricの導入にあたっては、購入の前にPoCを実施することをおすすめしている。そのための評価版を無償で提供しているので、まずはご自身で動作を検証していただき、必要であれば当社の支援サービスも活用いただきたい」と太田氏は語った。
そしてセッションの最後、守るべきデータの検出、保護、アクセス制御を実現する次世代データセキュリティソリューションにも触れて「これにより意思決定の迅速化やグローバルの規制への対応強化も図ることができます」と話した太田氏は、改めて今回のセッションを振り返ると「Vormetricにより、ハイブリッドおよびマルチクラウド利用時の課題を解決していただきたいです」と訴えてセッションを締めくくった。
そのほかの関連情報
セキュリティ最前線
サイバー攻撃の最新動向とセキュリティ対策についてまとめたカテゴリです。
[PR]提供:キヤノンマーケティングジャパン
国内株式取引システムをAWSクラウドへ移行したSBI証券、狙いと効果を説明