IoTとクラウドの活用を真剣に考える。

ここ数年話題のIoT(Internet of Things:モノのインターネット)ですが、弊社でも、クラウドを活用したIoTサービスを提供しています。それに関連して来週は、幕張メッセ (国際展示場/国際会議場) で行なわれる、「CEATEC JAPAN 2017」に出展いたします。

http://www.ceatec.com/ja/

IoTの世界では欠かせないクラウドとの連携、そのセキュリティはどうするのか、何に活用するのか。IoTの未来を真剣に考えていきたいと思います。ご興味のある方は弊社ブースに、ぜひ、お立ち寄りください。

また、弊社の講演は下記の時間帯に行なわれます。かなり予約が埋まってまいりましたが、まだ少し空きはあるようですので、これを機会にIoTの世界の理解を深めていただければと思います。

●10月4日(水) 14:00~15:00
新技術・新製品セミナー会場(ROOM1) 「省電力LoRa + IoT汎用デバイスの活用」
https://regist.ceatec.com/?act=Conferences&func=Detailed&event_id=1&conference_id=173

●10月5日(木) 13:00~13:45
Hall3 イノベーショントークステージ
「省電力を実現したLoRa + IoT汎用デバイスを活用して、少子高齢化の未来に対して地域産業にどのような解決策を提案できるのか?」
http://www.ceatec.com/ja/exhibition/exhibition04_17.html#innovation5-G

よろしくお願いします。

MySQLの暗号化と鍵管理ははお任せください。
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

暗号化とリスク分析

「リスク分析」という言葉をご存知でしょうか?

情報セキュリティの分野に詳しい方にとっては馴染みのある言葉だと思うのですが、普段、そのような業務に携わっていない方には、言葉の意味は分かるけれど、具体的な方法はよくわからないという方もいらっしゃると思います。

情報セキュリティの国際規格ISO27001(ISMS)では、情報資産に対してリスク分析を求められます。それは内在する脅威(因子)と外部からの脅威(因子)を特定し、その脅威のレベルを算定することです。ある一定の基準を超えた場合、そのリスクに対応をする必要があります。

さて、暗号化というのは、リスク分析の結果に対して、一定の基準を超えて脅威があると判断された場合に対応する手段の一つになります。リスクの対応手段としては簡単にいうと4つあります。

1)リスクの軽減 対策を講じる。
2)リスクの保有 対策をせずに見守る。
3)リスクの回避 利用をやめるか、別の方法に変更する。
4)リスクの移転 他社への委託。

この中で暗号化は1)の「リスクの軽減」に相当します。

暗号化の実施をしていない方のほとんどは、2)の「リスクの保有」の「対策をしない」という判断を選択していることになります。
ここで「リスクの保有」を選択している理由としては以下のようなものがあります。

・情報に価値がない。
・脅威が低い。
・コストが見合わない。
・対応できる手段がない。

4つとも「本当に?」と疑いたくなるのですが、しかし、この「リスクの保有」の判断に至る前に、リスク分析が正しくできていないことが多いのです。

リスク分析において、「リスクの対応」を実施するかどうかの判断は、その組織の基準に委ねられます。つまり、判断の基準が低ければ、リスクも低いとみなされ、ほとんどの場合、「リスクの保有」となってしまうのです。

多くの企業で情報漏洩の事件が絶えないのは、リスクを見落としたり、このリスク分析の甘さにより、リスクがあると分かっていても、なんらかの理由で「リスクの保有」を選択してしまったからなのです。

皆様の組織では、適切なリスク分析はできていますか?

よろしくお願いします。

MySQLの暗号化と鍵管理ははお任せください。
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

MySQLの標準暗号化機能を活用するために

オープンソースのデータベースであるMySQLがバージョン5.7から透過的データ暗号化(TDE)を標準で利用できるようになりましたが、そろそろ、本格的に利用を検討されている方も多いのではないでしょうか?

ただ、ちょっと気をつけてください。

暗号化が利用できるようになったとはいえ、標準では暗合鍵がローカルディスクに保存されてしまい、安全性を確保しているとは言えません。暗号鍵の管理というととても面倒なことではあるのですが、それを簡単に実現するのが鍵管理サービスです。

「鍵管理サービスって何?」と思われている方は、銀行の貸し金庫みたいなサービスだと思っていいただければ良いのではないでしょうか?社内で置くべきでない貴重品を、外部の安心できる場所にあずけるのは、サーバでも同じことが言えます。

サーバ内に暗号鍵を保存せず外部にあずける。そのようなサービスが暗合鍵管理サービスです。

弊社の暗合鍵管理サービスに関しては、本日、BCNに掲載されました。ご興味のある方は参考にしていただければと思います。
https://www.weeklybcn.com/journal/news/detail/20170914_158160.html

よろしくお願いします。

MySQLの暗号化と鍵管理ははお任せください。
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

データーベースの管理をどこまで任せるのか?

先日、Microsoft AzureがMySQLとPosstgreSQLのPaaS型サービスを発表しました。PaaSとは「Platform as a Service」の略でソフトウエアの動作基盤をクラウドで提供し、構築や管理の手間を省けるサービスです。今回の場合はデータベースのMySQLとPostgreSQLがその対象になっています。このサービスを利用することで、データベースのバックアップやリストア、高可用性、スケールなどがほとんど手間をかけずにできるようになります。管理の一部を手伝ってくれるという意味でマネージドデータベースサービスということもあります。

このようなサービスはAmazon RDSが有名ですが、こちらも利用者が多く、データベースの管理が面倒であることが人気の理由なのでしょう。

これらの一番の利点は高可用性であると言えます。障害起きたとしても迅速な復旧が可能ですし、アクセスが増えたとしてもサービスの拡張が容易にできるようになっています。大規模になると、クラウドサービス間のレプリケーションなども必要になってくるかもしれませんが、小規模から中規模のサイトであれば十分でしょう。

ではデータの機密性に関してはどうでしょうか?
いずれのサービスもインスタンスの暗号化に対応していますが、厳密にはそれで十分といえるのかは、そのシステムで提供しようとしているサービスの重要度にもよります。本当に保存するデータの機密性を重要視するのであれば、クラウドサービスの暗号化だけに任せてしまうのは危険と言えるでしょう。この部分はクラウドサービスに依存せず、自らコントロールできるようなサービスやソフトウエアを選択することで、よりデータの安全性を確保することができると思います。

また、規模が大きくなると結局クラウドといえどもは料金がどんどん高くなっていきます。クラウドへの依存は、しらずしらずのうちに不必要なコストを支払っていることがありますので、しっかりとサービスを見極めていただければと思います。

MySQLの暗号化と鍵管理ははお任せください。
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

クラウドに期待される「セキュリティ強化」

IDC Japanが2017年3月に実施した「国内企業のクラウド導入意向」の調査結果によると、クラウドを導入する理由が「コスト削減」から「セキュリティ強化」に変わったそうです。

いままではクラウドにシステムを移動するのは危険という意識が強かったのですが、最近は自社内にシステムを置くよりは安心という認識に変わってきたのでしょう。

特にクラウドはシステムダウンに強いという認識はかなり強固になってきたと思います。仮想化技術によってシステムがハードウエアに依存しなくなり、クラウド側にシステム障害があってもほとんどの場合、システムをノンストップで復旧が可能になっています。

また、クラウド側のネットワークは外部からの攻撃の検知遮断などを自動で行うサービスもあり、ネットワークも仮想化されているので、構成の自由度も大きく非常に管理が楽になります。

このようにシステムを構築するためのクラウドインフラのセキュリティは強固なっていますが、そのクラウドの中に構築するシステムのセキュリティは以前と変わらず多くのセキュリティ対策が求められています。

ある意味、クラウドのインフラのセキュリティが安定することで、その上で構築するウェブアプリケーションなどのセキュリティに集中できるとも言えますが、安全なシステムのデザインには多くのクラウドインフラのセキュリティ知識が今後も必要になってくるでしょう。

Linux上のファイル暗号化でお困りではありませんか?
http://www.softagency.co.jp/products/server-general/
データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/
MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise
もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

医療業界のセキュリティと暗号化

トレンドマイクロの調査によると全世界で医療機関の10万件以上の機器がインターネット上に暗号化されずに脅威にさらされているとのことです。そのうち、カナダと米国の二カ国で88%を占めています。日本は3番目で1.83%で3番目となっています。

これは医療機関のIT化が、どの程度進んでいるかどうかにもよるのですが、北米が極端に深刻にみえるのは医療情報のインターネット経由での共有化が高度に進んでいるためとも言えます。日本の場合、病院施設内のIT化は進んでいますが、地域医療ネットワークと言われる医療情報の共有化は、一部に限られています。

日本の医療ITは施設内がネットワーク的に要塞化されているので外部の接続が基本的に許されていません。これは安全ではありますが、情報の共有化の制約にもなっています。

米国ではHIPPA「医療保険の携行と責任に関する法律」で医療セキュリティを定めており、重要な情報の暗号化を規定しています。日本では厚生労働省が「医療情報システムの安全管理に関するガイドライン」として暗号化を規定してます。

このガイドラインの今年発表された第5版では、オープンなネットワークの利用に関する規定や、BOYDやモバイル端末の使用時の規定も盛り込まれました。これにより、多くの医療情報がインターネットを経由してやりとりされることが予想されます。いままで要塞化していたものを、セキュリティを維持して共有化するのは簡単なことではありません。このような中でデータの暗号化技術はさらに重要な役割を果たすことになるでしょう。

Linux上のファイル暗号化でお困りではありませんか?
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

量子暗号通信の何が凄いの?

先日、中国が人工衛星を使った量子暗号通信に成功したというニュースが流れました。最近に何かと話題になっている、「量子暗号通信」ですがいったいなにがいままでの暗号通信と違うのかと疑問を抱くかたも多いのではないかと思います。

量子暗号では盗聴が不可能だと言われています。それは暗合鍵を送信するとき通信を盗聴されると「量子ゆらぎ」で検出できるからです。しかし、まだ、その通信の転送効率は悪く改善するための研究が行なわれています。

今の暗号技術は基本的に暗号鍵の解読が困難というだけで、膨大な計算量を厭わなければ解読が可能です。しかし、量子コンピュータという、さらに高速な計算能力をもつコンピュータも登場しつつあり、暗号の解読能力は飛躍的に向上すると予測されています。

このような中で量子暗号通信は理論上は完全に盗聴が不可能だということで軍事技術として大国が力をいれて開発を進めています。量子暗号通信は、高価なハードウエアで実現しているので、まだまだ一般には普及しそうにないのですが、通常のインターネットの暗号通信でも暗合鍵さえ盗聴や解読がされなければ安全なので、高速な量子コンピュータ対策として、ハードウエアに依存しないソフトウエア技術としての暗号アルゴリズムは、「ポスト量子暗号」と呼ばれ研究が盛んになっています。

このような最新の技術の中でも、暗号の基本は、暗号鍵をどのように取り扱うかであり、私たちは常に暗号化において暗号鍵の安全性を意識してシステムを構築していく必要があります。

Linux上のファイル暗号化でお困りではありませんか?
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

暗合鍵の管理サービスは管理者を救えるか?

先日、米国のServer General社がMySQL用の新しい暗合鍵管理サービスを発表しました。
「暗合鍵管理」って何? という方もいらっしゃると思いますので、まず簡単にご説明したいと思います。

コンピュータ上でデータを暗号化するためには必ず暗合鍵というものが作成されます。この暗合鍵を使ってデータが暗号化されます。
「暗合鍵ってパスワードのことですよね?」
と思う方も多いかもしれませんが、そうではありません。パスワードは通常は暗号鍵の利用者を確認する手段として使われているのです。

さて、今回発表された、「Server General KMS」というサービスですが、KMSとは「Key Management Service」のこと、つまり鍵管理サービスを表します。

MySQLはウェブシステムのデータベースとして有名ですが、最近のバージョンでは簡単に暗号化機能が使えるようになっています。この暗号化機能を利用するとローカルのディスク領域に暗合鍵が自動的に生成されて保存される仕組みになっています。

しかし、この状態では暗合鍵は非常に無防備で簡単にコピーできてしまいます。暗号化しても暗合鍵が丸見えの状態では、セキュリティ上大変問題があります。「Server General KMS」をインストールすると暗合鍵の保存フォルダ自体にセキュリティをかけてクラウド上で管理をする仕組みです。

これによって暗合鍵は完全にOSと分離されて状態で管理されるようになり、暗合鍵の盗難の心配が大きく軽減されます。
暗号化のシステム構築には常に暗合鍵の管理に悩まされますが、このような外部サービスを利用することによって、簡単にセキュリティを高められるのであれば、本来の業務システムの構築に専念できるのではないかと思います。

Linux上のファイル暗号化でお困りではありませんか?
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

何も起きていないからこそ積極的なセキュリティ対策を

今週、トレンドマイクロの発表で、韓国のWebホスティング企業「NAYANA」がランサムウエアに身代金を支払って解決したというニュースが流れました。

ランサムウエアとはデータを勝手に暗号化して解除に要求するコンピュータウイルスですが、今回の特徴は感染したコンピュータ153台がLinuxマシンだったことです。一般的にLinuxマシンは標的にされにくいのですが、一度にこれだけの数の感染というのは驚きです。

これらのLinuxマシンはApacheとPHPというLinuxのウェブアプリのインフラとしてよく使われているソフトウエアが利用されていましたが、そのバージョンが古く2006年ににリリースされたもので、その脆弱性が利用されたというのです。確認したところ、利用されていたApacheは「バージョン1.3.36」でこの1.3系は2010年にサポートが終了しています。またPHPは「バージョン5.1.4」で2006年にはサポートが当時すでに終了しています。

10年近くバージョンの古いバージョンを使い続けて、いままで問題が起きなかったのが不思議なくらいですが、このようにセキュリティ対策がなされずに放置されているコンピュータというのは、いつ爆発するかわからない爆弾を抱えているようなものです。

インターネットがまだ普及していない時代では。コンピュータの保守は「安定して動作しているものは触るな」と考える人がいましたが、今では、そんな考えは全く通用しません。積極的にコンピュータの状態を監視し、事前に対策を取ることが求められる時代となっています。

今一度、自社のシステムやサービスを見直し、優先度が下がってセキュリティ対策をせずに放置しているコンピュータがないかご確認いただければと思います。

Linux上のファイル暗号化でお困りではありませんか?
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

ランサムウェア「WannaCry」が教えるセキュリティ対策の基本

5月になってランサムウェア「WannaCry」が世界中で猛威を振るい日本のニュースでも多く取り上げられるようになりました。最近ではファイルを勝手に暗号化するランサムウエア自体は珍しいものではなくなってきましたが、3月に既に明らかになっていた脆弱性を利用するだけで、これだけの感染数を記録するのですから、世の中のセキュリティ意識というものは、まだまだ低いと言わざるを得ません。

最新のセキュリティパッチを常に適用にすることが、一番、重要なことではあるのですが、もし、万が一感染をした場合に、感染を拡大させないための対策を普段から考えておくことも重要になります。

今回のランサムウェア「WannaCry」も一度感染すると社内のネットワークを検索し、脆弱性のある他のコンピュータに感染しようとします。また社内LANやVPNといったプライベートなネットワーク環境は、信頼されたネットワークとみなされますので、厳しいチェックなしに他のリソースへのアクセスが可能になることが多いです。特に社内のファイル共有は大事なデータが保存されているにも関わらず、利便性を優先して、各PCから自動接続されるようになっていることもあり、攻撃者の対象になります。

これらはクラウド利用でも同様のことが起こります。クラウド環境でもプライベートネットワークの構築は簡単にできますので利用されている方も多いと思いますが、これらも一度、侵入されてしまうと他のコンピュータへの攻撃が容易になります。このようなことからも、プライベートネットワークにあるからOSの更新は後回しにするという考え方は危険です。基本的に毎日更新をチェックして適用するのが理想ですが、どうしてもセキュリティ更新が不定期になるコンピュータは簡単にアクセスできないように要塞化するか孤立化させなければなりません。

しかし、要するに基本は単にOS更新するだけなのですから、それが簡単に出来ないシステム構成は設計に問題ありと考えるべきでしょう。

Linux上の暗号化でお困りではありませんか?
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/