「安い」「簡単」は本当? OSS-DBの暗号化ソリューション導入のポイントとは

度重なる情報漏洩事件。その被害状況を目の当たりにして、自社のセキュリティ強化に取り組もうとしている企業も多いことだろう。しかしよく言われるように、ハッカーによる攻撃手法とセキュリティ対策はいたちごっこだ。ネットワークに最新で強固な「壁」をつくっても、いずれはそれを上回る攻撃手法が編み出されてしまう。そのような状況で注目を集めているのが暗号化だ。仮にデータが漏洩したとしても、暗号化されていればそれはただの文字列にすぎない。またハッカーが解読に取り組んだとしても、暗号が複雑であればあるほど、十分な対応をとるための時間を稼ぐことができる。

とはいえ「暗号化」と名がつけばどれも同じというわけではない、とペンタセキュリティシステムズ日本法人の代表取締役社長陳貞喜(ジン・ジョンヒ)氏は言う。ではその差は一体どこにあるのだろうか。最近、様々なシーンで利用されるようになったオープンソース・データベース(OSS-DB)の暗号化ソリューションを例に、その安全性について解説してもらった。

ペンタセキュリティシステムズ日本法人代表取締役社長陳貞喜氏

OSS-DBの暗号化機能とセキュリティ強度

OSS-DBの暗号化を行うひとつの手段としては、DBのオプション機能を使う方法、ペンタセキュリティシステムズのようなサードパーティのソリューションを使う方法の、大きく分けて二つがある。OSS-DBに限らず、DB付属の暗号化機能として現在メジャーなのが、TDE(Transparent Data Encryption 透過型暗号化)だ。テーブルスペース(表領域)暗号化とも呼ばれる通り、DBのテーブルやテーブル領域を基準として内部的に暗号化や復号を行いストレージに保存する方式であり、旧来のDB-APIを利用したデータ単位の暗号化に比べると、簡単に取扱うことができる。データベースのユーザーにとっては、暗号化や復号を意識することなく、透過的かつスムースにデータを利用できるのが特長となっている。こう聞くと「いいことずくめ」に思えるが……陳氏は、過信は禁物だと語る。

「TDEで暗号化されたテーブルを呼び出して利用する際、復号されたテーブルはメモリー上に展開されます。つまり、侵入者はメモリダンプファイルやDBアカウントを不正に入手することさえできれば、平文のデータを手に入れられるということです」

TDEについては有償で導入や運用のサポートを行う企業も出てきている。活用を検討している企業は、そういった事業者にセキュリティ強度を高められるような対策を相談した方がいいだろう。

セキュリティの強度を測る3つのポイント

暗号化ソリューションの強度をチェックするポイントとして、陳氏は、(1)鍵の機密性 (2)対応するアルゴリズム (3)「暗号データ」に対するアクセス制御と証跡管理……の3つを挙げる。

(1)「鍵」の機密性
復号に使う「鍵」は、DB管理者といえどもその内容に無関係の人員が知るべきものではない。DB暗号化にあたってはDB管理者とは別にセキュリティ管理者を配置し、職責に応じた権限の分離を行うことが理想であり、セキュリティの強度を高めることにつながる。

「TDEはそもそもDB管理者が運用・管理することを前提につくられているのでこの権限分離ができておらず、運用には十分注意する必要があります」(陳氏)

(2)対応するアルゴリズム
推奨されるアルゴリズムは時間とともに変わっていくものだが、その時点の国や政府機関が推奨するアルゴリズムには対応している必要がある。また暗号化のアルゴリズムには、双方向性のものと一方向性のものがある。一方向性のものとは、例えば(復号の必要のない)パスワードの暗号化など、認証目的によく利用されるもの。双方向性アルゴリズムしか持たないソリューションでは、鍵管理の不徹底により暗号化文からパスワードを割り出されてしまう危険性がある。TDEはデータを復号して使用するのが前提となりこのような用途には不向きなため、暗号化システムの導入にあたっては一方向性のアルゴリズムであるSHA-2に対応することも選択肢の一つとなるだろう。

(3)「暗号化データ」に対するアクセス制御と証跡管理
「鍵」の機密性とも関連するが、適切なユーザーのみに復号権限を付与し誰がいつ「暗号化データ」を利用した(復号が実行された、又は拒否された)のかを記録監査する仕組みを整えることで、組織内の不正や犯罪を抑止することができる。このような包括的なセキュリティ機能は、データの暗号化とアクセス権限の概念を併せ持つソリューションでのみ実現可能となる。

「簡単で安価だからと導入したソリューションだったのに、後々発覚した脆弱性に対応するために専門のエンジニアを雇わなければならなくなったり、暗号化で確実に守られていると思った情報が漏洩して巨額の賠償金を支払うことになったりするのであれば、価格や利便性だけでなくセキュリティの強度に重点を置いてソリューション選定をすべきでしょう」(陳氏)

現在OSS-DBの暗号化を検討されているなら、本稿を参考に、強度とコストのバランスが取れたソリューションを選定していただければ幸いだ。

なお今回解説をお願いした陳氏が籍を置くペンタセキュリティシステムズでは、MySQL、MariaDB、PerconaDBといったOSS-DBに対応した暗号化ソリューション「MyDiamo(マイディアモ)」を提供している。本稿で取り上げたようなTDEの問題点はクリアされ、また運用時にシステムのパフォーマンスに与える影響も7％未満(同社の測定)に抑えられるという。詳細は下記サイトで確認できるので、こちらもぜひ参考にされたい。