セキュリティ対策を検討する際に各業界のセキュリティガイドラインを参考にすることは多い。近年、各ガイドラインにおいて暗号化によるデータ保護に関する記述が増えてきている。キヤノンITソリューションズ ITサービス営業本部 ITサービス事業企画部 吉川大亮氏は、9月12日-15日に開催されたオンラインセミナー「TECH+ EXPO for セキュリティ 2023」にて、暗号化によるデータ保護のポイントとファイルサーバーやデータベース内のデータを暗号化し保護するサービス「Cipher Security Service(サイファー セキュリティ サービス)」について紹介した。
暗号化によるデータ保護を考えるうえで押さえておきたい2つのポイント
吉川氏によると、セキュリティ製品の導入を決断するきっかけは、脆弱性情報や脅威情報の入手、他社のセキュリティインシデントの報道や報告といった「セキュリティ強化」の意識、法令やガイドラインの施行・改定、顧客やグループ企業からの要請といった「外的要因」、補助金や助成金制度といった「好機」の3つに分けられるとする。特に吉川氏が日々セキュリティ製品を顧客に提案するなかでは、外的要因が大きいことを実感しているという。
外的要因のひとつであるガイドラインという観点で注目すべきなのは、暗号化によるデータ保護だ。吉川氏はこれに関して2つのポイントをあげる。
1つめは、暗号化における「鍵管理」。暗号化すれば、情報が漏洩したとしても第三者はデータを読み取ることができないので実質的な被害はないといえる。ただし、暗号化したデータと鍵が同じ場所に保管されていては暗号を解かれてしまう可能性がある。したがって、鍵と暗号化データは分離して保管することが推奨される。
「暗号化データと暗号鍵の分離は個人情報保護法にも明記されている。適切に鍵を管理する暗号化方式は、高度な暗号化ともいわれている。高度な暗号化で個人情報を保護していれば、インシデントが発生しても個人と個人情報保護委員会への通知が免除されるといったメリットがある」(吉川氏)
2つめは、暗号化を利用したデータ消去の方法である「暗号化消去」。データを暗号化して保存し、暗号化に使用する鍵を別の場所に安全に保管していれば、データを消去するときは暗号鍵を抹消すればよいという考え方だ。暗号鍵の抹消によりデータ復元は不可能になるため、実質的にはデータが消去されている状態となる。
各業界のガイドラインでも言及される鍵管理と暗号化消去
各業界におけるセキュリティガイドラインは下記のとおり(括弧内は最新更新年月)。NISCのものをベースに各省庁がガイドラインを改定しているため、NISCで更新された部分が今後各ガイドラインに盛り込まれていくと考えられる。
・政府機関:内閣サイバーセキュリティセンター(NISC)「政府機関等のサイバーセキュリティ対策のための統一基準群」(2023年7月)
・自治体:総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」(2022年3月)
・教育機関:文部科学省「教育情報セキュリティポリシーに関するガイドライン」(2022年3月)
・医療機関:厚生労働省「医療情報システムの安全管理に関するガイドライン」(2023年5月)
1つめのポイントである暗号化における鍵管理については、NISCのガイドライン「7.1.5 暗号・電子署名」に「暗号化された情報の復号又は電子署名の付与に用いる鍵について、管理手順を定めること」という記載がある。暗号鍵は、生成・利用・最終的な廃棄までのライフサイクル管理をすべきということだ。また、HSM(Hardware Security Module)等の保護された環境で保管することが望ましいともされている。 自治体および教育機関のガイドラインにおいては、「CISOが定めた方法で暗号のための鍵を管理しなければならない」とある。また、医療機関のガイドラインではQ&Aで、火災や事故等で暗号鍵が利用不可能になった場合を考えて、鍵の外部保存を委託する方針についても記載されている。
自治体および教育機関のガイドラインにおいては、「CISOが定めた方法で暗号のための鍵を管理しなければならない」とある。また、医療機関のガイドラインではQ&Aで、火災や事故等で暗号鍵が利用不可能になった場合を考えて、鍵の外部保存を委託する方針についても記載されている。
2つめの暗号化消去については、NISCのガイドライン「3.1.1 情報の取り扱い」にて「暗号化消去は(中略)情報の抹消が高速に行えることや部分的な抹消が行えること等のメリットがあるため、機密性の高さによらず、抹消するための方法として優先的に検討するとよい」と説明されている。この記載は最新版で追記されたもので、暗号化消去をデフォルトとする方針がより明確になったともいえる。
吉川氏は暗号化消去のメリットについて、「コマンドでディスク消去しようとすると、ストレージの容量によっては時間が掛かるケースもある。一方、暗号化消去は鍵を捨てるだけなので高速に行える。また、ディスクをすべて消去しなければならないディスク消去に対し、暗号化消去では使う鍵を分けておけば部分消去も可能となるなど柔軟に利用できるところがメリット。SDGsやサステナビリティが重要視されるなか、筐体の再利用が可能であるという点も注目されている理由のひとつ」と説明する。
また、NISCのガイドライン「4.2.2 クラウドサービスの利用(要機密情報を取り扱う場合)」においては、クラウドサービスを使う場合にも暗号化消去が有効であるとされている。データを消去する際、外部のクラウドベンダーに物理筐体を破壊してもらうことは不可能だが、暗号化消去の場合は鍵を自社で管理できるため、クラウドベンダーに依存せずにデータの消去を行えるためだ。「ガイドラインには『暗号化消去が行えない場合の基盤となる物理機器の廃棄』とあるが、それは難しい。実質的にクラウド利用でも暗号化消去がデフォルトになる」(吉川氏)
暗号化消去にも対応した暗号鍵管理ツール「Cipher Security Service」
暗号化および鍵の管理ができるサービスとしてキヤノンITソリューションズが提供するのが「Cipher Security Service」だ。このサービスは同社のITインフラサービスブランド「SOLTAGE(ソルテージ)」にもラインアップされている。
Cipher Security Serviceは、自社サーバーに暗号化エージェントをインストールすることによってデータを暗号化し、暗号鍵はキヤノンITソリューションズの環境で構築している鍵管理サーバー保管するという形になっている。データ暗号化や鍵管理のほか、暗号化消去にも対応している。
特徴は、透過的である点。自動で暗号化および復号できる機能が搭載されており、参照元は暗号化を意識せず暗号化したり復号したりできる。このため、PCなどのエンドポイントにソフトウェアをインストールするなどの対応が不要となる。
また、運用代行も可能だ。暗号化したデータに対し、誰がどのようなアプリでアクセスすればよいか、どのように暗号化を解くのかといった設定は、キヤノンITソリューションズ側がユーザーの環境を調査して最適なポリシー、設定を提案する。
Cipher Security Serviceは、月額料金で提供され、サーバー1台あたり月額18万円、2台目以降は月額12万となっている。データ容量やユーザー数に依らないため、大容量のデータを扱っている企業でも手軽に導入できる。
暗号化消去について言及しているNISCのガイドラインをベースに、今後は各業界のガイドラインでも暗号化消去が求められていくことが考えられる。吉川氏は「製造業や金融機関でも同様に、暗号化データと暗号鍵の分離などについて言及されている。システム改修やリプレイスのタイミングで、暗号化鍵に対応しているか確認していただきたい」と呼びかけていた。
https://canon-its.co.jp/files/user/products/cipher_security/lp/
SOLTAGEブランドサイト
https://www.canon-its.co.jp/files/user/solution/soltage/lp/
[PR]提供:キヤノンITソリューションズ
