【 ここから本文 】
- TOP
- > Topics : 標準化動向
- >
標準化動向
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
ディスクやテープに格納するデータの暗号化規格が早ければ来年にもIEEE標準に
(2005年12月19日)
ディスクやテープに保存されたデータの保護規格の草案がIEEEで支持を集めており、早ければ来年にも製品への採用が始まる見通しだ。同規格の標準化を推進する複数の関係者が明らかにした。
同規格はIEEE P1619(Standard Architecture for Encrypted Shared Storage Media)とIEEE P1619.1(Standard Architecture for Encrypted Variable Block Storage Media)で、ディスクやテープ上にデータを暗号化する方法を規定するもの。IEEEのSecurity in Storageワーキング・グループが来年中の承認を目指して改良を進めている。
「ディスクに対応したIEEE P1619のドラフト規格は3年にわたって作業を重ねてきた成果であり、すでに完成に近い段階まできている。テープに対応するIEEE P1619.1のドラフトはまだ準備段階にあるが、両方とも2006年に承認されることを期待している」(サンのフェローで同ワーキング・グループの代表を務めるジム・ヒューズ氏)
IPSecやSSL、SSHなどのプロトコルが伝送中のデータの暗号化に使われるのに対し、これらの新規格はディスクやテープ上のデータの暗号化に対応している。すでに一部のストレージ製品メーカーは暗号化を独自にサポートしているが、標準規格が確立して対応製品が登場すれば、顧客は異種混在ストレージ環境でデータを保護しやすくなるという。
これらの規格案は、3種類の暗号化アルゴリズムと、暗号鍵管理の方式を、異なるストレージ製品間の互換性と相互運用性を確保するために規定している。ディスク上の暗号化には新しい「Liskov, Rivest, Wagner-Advanced Encryption Standard(LRW-AES)」暗号アルゴリズムを使用し、テープ上の暗号化には、米国NIST(国立標準技術研究所)の「AES Galois/Counter Mode(AES-GCM)」規格および「AES Counter with CBC-MAC Mode(AES-CCM)」規格を使用することを提案している。
これらの暗号化モードはいずれも、カウンター・モード暗号化や暗号ブロック連鎖(Cipher Block Chaining:CBC)暗号化など従来使われている手法よりも不正アクセスや攻撃に強い。ヒューズ氏によると、例えば、CBC暗号化モードは、暗号文(暗号化機能の出力)のビットを操作することによって平文のビットを任意に変更する攻撃者を撃退できない。
CBC暗号化モードの問題点について、同氏は、「もし私がディスク上のどこに自分の給与情報があるかを知っていれば、アルゴリズムを破らなくても、暗号文に変更を加えて、給与を任意の額に増やすことができる」と説明する。
また、「テープ上のデータの暗号化のための規格を定義するのは、特に難しかった」と同氏は振り返る。ディスク上のデータの暗号化では一定サイズのデータ・ブロックを扱うが、テープではデータ・ブロックのサイズが一定でなく、しかもデータを長期間保存しなければならないため、暗号化アルゴリズムをより複雑にし、保持されたデータを解読するための暗号鍵を増やす必要があったという。
Security in Storageワーキング・グループには、米国シスコシステムズ、HP、IBM、マクデータ、米国陸軍などの代表者も加わっている。
ストレージ・セキュリティ・デバイス・メーカーのネオスケール・システムズ(米国カリフォルニア州ミルピタス)は、新規格がNISTから連邦情報処理規格(FIPS)として公開されるのを待って同規格の製品への実装を開始するとしている。同業のa href="http://www.decru.com/" target="_blank">デクルー(米国カリフォルニア州レッドウッド・シティ)も、DataFortアプライアンスをファームウェア更新でP1619に対応させるとしている。情報筋によると、Fibre Channelディレクタ・スイッチ・ベンダーも新規格をサポートする見通しという。
ネットワーク・セキュリティ市場全体のうちストレージ・セキュリティ市場の規模だけを特定するのは難しいが、エンタープライズ・ストラテジー・グループのシニア・アナリスト、ジョン・オルトシク氏は、2005年の同市場の規模は5,000万ドルにとどまると予測している。
新規格に準拠したストレージ・セキュリティ製品の登場が市場拡大を促すかどうかについてもまだ不透明だ。
ニューヨークにあるマイモニデス・メディカル・センターのテクニカル・サービス担当シニア・ディレクターでセキュリティ責任者のマーク・モローゼス氏は、ラップトップPCとPDA(携帯情報端末)上で使用しているデータの保護のために暗号化を採用しており、同医療機関のストレージ・エリア・ネットワークにも暗号化による保護を拡大したいと考えている。「暗号化されていないデータが漏洩した法人に罰金を科す法律がニューヨーク州で成立したため、同州で営業している企業は対処を迫られている」(同氏)
その一方で、モローゼス氏は、「規格は諸刃の剣だ」とも指摘する。標準標準化は相互運用性を促進するが、逆に悪意を持つクラッカーにとっては標的を絞りやすくなるというのだ。
「だれかが現在あるいは将来に何を考えたとしても、それが安全と見なされる耐用年数はごく短い。考案したのと同じ程度の時間で、だれかがそれを打ち破る方法を考え付くからだ。ハードルを高くして、そのデータを手に入れるのには手間が掛かりすぎると断念させるレベルにすることを目指すしかない」(同氏)
(Originally reported by Deni Connor, Network World 12/16/2005)
(Network World)
