HSM認定のデータベース暗号化アプライアンスで、セキュアな環境を実現する
日本セーフネット「DataSecure」&「ProtectDB」機密情報や個人情報の漏洩は、多大な経営損失だけでなく企業イメージも大きく損なう。セキュリティ対策の基本となるのは、データベースの暗号化だ。しかし最近の状況を考えると、それだけでは不十分だ。最も重要なことは、暗号鍵まで含めた安全性を担保することである。セーフネットはHSMに対応したアプライアンスとソフトウェアモジュールで、セキュアかつ透過的なデータベースの暗号化を実現する。
暗号化に使った“鍵”まで
セキュアに管理できているか?
データベースは基幹業務システムをはじめ、さまざまなエンタープライズ・アプリケーションの根幹を担っている最も重要なコンポーネントだ。当然、そこに格納されたデータには、企業機密や顧客情報、個人情報なども多く含まれており、コンプライアンスの観点からも厳重なセキュリティ保護が要求される。
セキュリティ対策として一般的なのは、データベース製品が備えている暗号化機能を利用することである。しかし、これも万全とは言えないのが現実だ。日本セーフネット エンタープライズ事業部のシニアセキュリティエンジニアである高岡隆佳氏は次のように注意を促す。
「データを暗号化さえしておけば安心という考えは危険です。一番大事なのは、暗号化に使った“鍵”が、本当にセキュアな状態で管理/運用されているかどうかです。第三者に不正利用されたり、勝手にコピーされたりする危険がないことを担保しておかないかぎり、暗号化したデータも保証されません」
そうした中で注目されるのが、暗号鍵を不正利用されないセキュアなエリアに管理(保管)することで、アプリケーションやトランザクション、情報資産を保護する「ハードウェア・セキュリティ・モジュール(HSM)」である。
欧米のセキュリティ先進国に比べると、HSMに対するこれまでの日本国内の認知度は、まだまだ低いレベルにととどまっていた。だが、JCB、アメリカンエキスプレス、Discover、マスターカード、VISAの国際ペイメントブランド5社が共同で策定したグローバルセキュリティ基準「PCI-DSS(Payment Card Industry Data Security Standard)」の導入などがきっかけとなり、金融・クレジット業界やECサイトを中心に、HSMに対する認知度は高まっているという。
アプリケーションに手を加えず
HSMの導入をサポートする
もっとも、HSMをデータベースのセキュリティ対策ソリューションに組み込むためには、大きなハードルがある。暗号化機能のオフロードやユーザー認証など、さまざまなプログラムの作り込みをしなければならない。こうした開発工数の発生や、稼働中のデータベースに手を加えることのリスクが、日本企業にHSMの導入をためらわせる一因となっているのだ。
こうした課題を解決するのが、セーフネットのデータベース暗号化アプライアンス「DataSecure」シリーズと、データベース暗号化コンポーネントソフトウェア「ProtectDB」シリーズである。高岡氏はこれらの優位性を次のように説明する。
「DataSecureはHSMとしてハードウェア認定を受けたアプライアンスであり、PCI-DSSや個人情報保護法などで要求される機密データの暗号化やアクセス制御、監査をサポートします。暗号鍵をHSM内で保管することで改ざんや盗難を防ぎ、ライフサイクルを通じて暗号化データの安全性を保証します。また、このアプライアンスにインテグレーションするProtectDBモジュールにより、アプリケーションに手を加えることなく、主要データベース製品に対する透過的な暗号化が実現できるのです」
なお、セーフネットでは現在、自動的にトークナイゼーション(※1)を実行するソフトウェアコンポーネントの開発にも着手しており、今後はDataSecureシリーズのさらなるエンハンスを進めていく計画だという。
※1トークナイゼーション…機密データを別の文字列に置き換えて匿名化する機能。
機密データの散在を防いで限られたシステム範囲内での集中保護を可能とし、根本的な企業のセキュリティ能力を強化する。
例えば、PCI DSSに準拠したクレジットカード番号や個人識別情報(PII)を置き換えるなど、多方面から期待されている。
~DataSecure ProtectDBシリーズ~
~トークナイゼーションによるDB暗号化の新しい形~
~PCI-DSSコンプライアンスの達成~
