『MyDiamo』キャンペーン実施記念ブログ第一弾

MySQL管理の外部委託を安全にできるMyDiamoのカラム暗号機能

一般的にデータベース管理者(以下、DBA)の主要な役割は、

「データベース内の企業のデータをユーザに対して適切に利用可能な状態で、維持、管理すること」です。

しかしながらDBAの業務は多岐にわたるために、アプリケーションの開発者やインフラエンジニアが兼務しているケースも多く見受けられます。

そのために、ある程度サービスの規模が拡大してくると、本業に人的資源を集中させるために、DBAの業務を完全に外部に委託(アウトソーシング)するようになっていきます。

しかしそれは同時に、

「極めて重要な企業秘密であるデータベース内の顧客情報や販売情報などを、外部のDBAが簡単に見ることができてしまう」

という危険を伴うことにもなります。
もちろん、DBAをアウトソーシングする際には、委託会社との契約の中でセキュリティに関する取り決めを多く交わします。

しかしそれでも、情報漏洩のトラブルなどがあとをたたない事からもわかるとおり、万が一の大きなリスクを避けるためにも、セキュリティ運用にさらに大きなコストをかけることにもなります。

では、このような問題の根本的な解決の為には、一体何をどうすればよいのでしょうか?

ここで考えなくてはならないことは、

実は、DBAの通常の業務ではデータの中身を見る必要性は全く無い

ということです。

DBAの重要な仕事は、データベースを確実に利用可能な状態にすることです。
そのため、セキュリティの求められている個人情報そのものに、そもそもアクセスする権限を持たせる必要はないわけです。

では、

「機密データを見ることができない特別なDBA権限の仕組み」

を実現することは可能なのでしょうか?

この難題を解決してくれるものが、

「MyDiamoのカラム暗号機能」

です。

その仕組みを簡単に説明すると、

「データベース内の機密データのカラムだけを暗号化する」

そしてDBAにはその

「暗号化カラムの復号権限を与えないようにする」

ということです。

では、一般的な「透過的データ暗号化」とでは、どこが違うのでしょうか?

最近はどのデータベースにも標準で暗号化の機能がついているだけでなく、クラウドサービスにおいてもデータベースの暗号化が盛んに宣伝されるようになってきました。

しかしながら一般的にはこれらのものは、ファイル単位またはディスクイメージ単位での暗号化がなされているにすぎず、カラムの暗号までが実現されているわけではありません。
そのため、職務と権限に応じたセキュリティポリシーへの適応は難しいと考えられます。

MyDiamoは、本当に必要なデータだけを

カラム単位、または部分的に暗号化

ができ、さらに

ユーザー単位での暗号化・復号の権限設定及び監査を設定

することができるので、外部のデータベース管理者にも安心して業務委託ができるということです。

以上、MyDiamoの導入に興味のあるかたは、お気軽にお問合わせいただければと思います。

ただいま、『MyDiamo』を安価に導入できるキャンペーン実施中です。是非この機会にカラム暗号化をしてみませんか?

http://www.softagency.co.jp/products/mydiamo/

データ暗号化の無料相談受付中。当社『ソフトエイジェンシー』にお気軽にご相談ください。
http://encryption.database.jp/

MySQLの暗号化と鍵管理は『SERVER GENERAL』にお任せください。
http://www.softagency.co.jp/products/server-general/

『MySQL』の管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

暗号解読のすすめ

昨年、話題になったリニア中央新幹線の不正入札では大手ゼネコン4社の受注予定の工事について、4社のイニシャルなどを用いて暗号化した一覧表が作られていたとニュースになりました。

イニシャルって暗号なの?とツッコミたくなる方も多いでしょうが、大林組・鹿島建設・大成建設・清水建設を「O」、「K」、「T」、「S」と表記していたそうで、これをイニシャルといことに気づかなければ「意味のない記号」と考えることができ立派な暗号となります。

暗号解読というのは、このような「意味のない記号」から「意味のある言葉」を導きだすことであり、古来、何千年も前から時の権力者は国を治め、戦争を有利に進めるために、暗号の重要性を理解していました。

さて、この暗号が歴史的にどのように発展してきたかということを知るためのおすすめの書籍があります。サイモン・シン著「暗号解読」です。この本は暗号の技術に詳しくなくても読み物として非常に面白いので、興味のある方は、一度、読んでみてはいかがでしょうか?

よろしくお願いします。

データ暗号化の無料相談受付中。お気軽にご相談を。
http://encryption.database.jp/

MySQLの暗号化と鍵管理ははお任せください。
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

マイナンバーカードと暗号化

2016年からの「マイナンバー」制度の開始以来、年末調整や確定申告でマイナンバーを記載するように求められていて、それらの運用から単なる個人番号のイメージしか無い方は多いと思います。

このマイナンバーですが、単に番号が記載された「通知カード」と申請すれば取得できるICチップが埋め込まれた「マイナンバーカード」が発行されています。しかし、多くの一般の方は通知カードのみで、マイナンバーカードを申請はしていない方もいることでしょう。

しかし最近では徐々にマイナンバーカードを利用した公的個人認証サービスが増えてきており、マイナンバーカードを取得してみようかと考えるきっかけにもなっているようです。

このマイナンバーカードは公開鍵認証方式が採用されており、カードの中には2048ビットのRSA秘密鍵、公開鍵そして電子証明書が含まれています。つまり、意識せずとも国民全員が個人用の暗合鍵を使える機会が、既に提供されているということになります。

ということで理論上は暗号化が可能なのですが、現在はセキュリティの関係で技術仕様の公開が限定的になっており、電子署名と利用者証明が主な利用用途になっています。暗号化を目的とした利用に関しては今後のサービスに期待したいと思います。

総務省には国民の共通の暗号化基盤として、もっと広く一般で利用できるように技術を公開していただきたいものです。

よろしくお願いします。

データ暗号化の無料相談受付中。お気軽にご相談を。
http://encryption.database.jp/

MySQLの暗号化と鍵管理ははお任せください。
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

ウェブセミナー「MySQLの暗号化機能を活用するための鍵管理入門」を開催します。

ウェブセミナー「MySQLの暗号化機能を活用するための鍵管理入門」を11月28日(火)に開催することになりました。

このセミナーではシステム内のデータ暗号化における暗合鍵管理の重要性と基本的な管理方法の解説、そして実際にMySQLにおける暗合鍵の仕組みと動作を紹介しながら、実務での管理方法などを詳しく説明いたします。

前回、3月に行った暗合鍵管理のセミナーの内容をさらに充実させて、クラウド上での暗号化やHAやクラスタ構成での暗号化の考え方も解説する予定です。

興味のある方はぜひご参加ください。
事前登録制ですので、下記よりご登録をお願いします。

セミナー名:   MySQLの暗号化機能を活用するための鍵管理入門
日時:      2017年11月28日(火)16:00 – 17:00
参加費:     無料(事前登録制)
参加方法:    インターネットに接続可能なPCとヘッドセットをご用意ください。
         前日までに参加するためのログインURLをご連絡します。
主催:      株式会社ソフトエイジェンシー
         ( MySQL 5 Specialization認定パートナー )
協力:      日本オラクル株式会社
お申し込み方法: 下記URLよりお申し込みください。 
         http://www.softagency.co.jp/webinar/20171128
申し込み締切り: 2017年11月27日(月)16:00 まで
お問い合わせ:  電話: 050-5505-5509
         メール: sales@softagency.co.jp

よろしくお願いします。

データ暗号化の無料相談受付中。お気軽にご相談を。
http://encryption.database.jp/

MySQLの暗号化と鍵管理ははお任せください。
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

データ暗号化とセキュリティ意識の関係

なぜ、データ暗号化をすべきなのか?

「大事なデータを守るため」と普通は考えます。もちろんその通りです。しかし、実際は暗号化に踏み切れていない場合が多くあります。それは業務でどうしても必要とされなければ、余計なことはしないという意識が働くからです。

データ暗号化は、はっきり言って面倒です。多くの部分が自動化され扱いやすくなったものの、最低限の知識として、暗号鍵の管理や、暗号化方式の違いを理解していなければ、誤った使い方をしてしまいトラブルになってしまいます。

これらのリスクを乗り越えてデータ暗号化を実現したときに得られる利益は何なのでしょうか?
それは、単に「データを守る」ということを超えたセキュリティ意識の大幅な変化です。

会社の業務は多くのコンピュータシステムに支えられ稼働しています。その中で「データを暗号化をする」と決めて行動を起こした場合、初めて会社にとって本当に守るべき大事なデータは何なのかと、システムに関係するすべての人が本気で考えることになります。

このことは非常に大きな財産になります。システムのことは、よく分からなくても「データを暗号化できるか?」と問うてみてください。すると、さまざまなシステム側からの新しい提案が聞けることでしょう。この問いだけでも、セキュリティ意識は上がっていきます。

例え今できなくても将来の計画の中でデータ暗号化を盛り込むことで、理想的なセキュリティの高いシステムを検討するきっかけとなります。「データ暗号化」を考えることは、それだけで、セキュリティ意識の向上につながります。一度、お試しいただければと思います。

よろしくお願いします。

データ暗号化の無料相談受付中。お気軽にご相談を。
http://encryption.database.jp/

MySQLの暗号化と鍵管理ははお任せください。
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

IoTとクラウドの活用を真剣に考える。

ここ数年話題のIoT(Internet of Things:モノのインターネット)ですが、弊社でも、クラウドを活用したIoTサービスを提供しています。それに関連して来週は、幕張メッセ (国際展示場/国際会議場) で行なわれる、「CEATEC JAPAN 2017」に出展いたします。

http://www.ceatec.com/ja/

IoTの世界では欠かせないクラウドとの連携、そのセキュリティはどうするのか、何に活用するのか。IoTの未来を真剣に考えていきたいと思います。ご興味のある方は弊社ブースに、ぜひ、お立ち寄りください。

また、弊社の講演は下記の時間帯に行なわれます。かなり予約が埋まってまいりましたが、まだ少し空きはあるようですので、これを機会にIoTの世界の理解を深めていただければと思います。

●10月4日(水) 14:00~15:00
新技術・新製品セミナー会場(ROOM1) 「省電力LoRa + IoT汎用デバイスの活用」
https://regist.ceatec.com/?act=Conferences&func=Detailed&event_id=1&conference_id=173

●10月5日(木) 13:00~13:45
Hall3 イノベーショントークステージ
「省電力を実現したLoRa + IoT汎用デバイスを活用して、少子高齢化の未来に対して地域産業にどのような解決策を提案できるのか?」
http://www.ceatec.com/ja/exhibition/exhibition04_17.html#innovation5-G

よろしくお願いします。

MySQLの暗号化と鍵管理ははお任せください。
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

暗号化とリスク分析

「リスク分析」という言葉をご存知でしょうか?

情報セキュリティの分野に詳しい方にとっては馴染みのある言葉だと思うのですが、普段、そのような業務に携わっていない方には、言葉の意味は分かるけれど、具体的な方法はよくわからないという方もいらっしゃると思います。

情報セキュリティの国際規格ISO27001(ISMS)では、情報資産に対してリスク分析を求められます。それは内在する脅威(因子)と外部からの脅威(因子)を特定し、その脅威のレベルを算定することです。ある一定の基準を超えた場合、そのリスクに対応をする必要があります。

さて、暗号化というのは、リスク分析の結果に対して、一定の基準を超えて脅威があると判断された場合に対応する手段の一つになります。リスクの対応手段としては簡単にいうと4つあります。

1)リスクの軽減 対策を講じる。
2)リスクの保有 対策をせずに見守る。
3)リスクの回避 利用をやめるか、別の方法に変更する。
4)リスクの移転 他社への委託。

この中で暗号化は1)の「リスクの軽減」に相当します。

暗号化の実施をしていない方のほとんどは、2)の「リスクの保有」の「対策をしない」という判断を選択していることになります。
ここで「リスクの保有」を選択している理由としては以下のようなものがあります。

・情報に価値がない。
・脅威が低い。
・コストが見合わない。
・対応できる手段がない。

4つとも「本当に?」と疑いたくなるのですが、しかし、この「リスクの保有」の判断に至る前に、リスク分析が正しくできていないことが多いのです。

リスク分析において、「リスクの対応」を実施するかどうかの判断は、その組織の基準に委ねられます。つまり、判断の基準が低ければ、リスクも低いとみなされ、ほとんどの場合、「リスクの保有」となってしまうのです。

多くの企業で情報漏洩の事件が絶えないのは、リスクを見落としたり、このリスク分析の甘さにより、リスクがあると分かっていても、なんらかの理由で「リスクの保有」を選択してしまったからなのです。

皆様の組織では、適切なリスク分析はできていますか?

よろしくお願いします。

MySQLの暗号化と鍵管理ははお任せください。
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

MySQLの標準暗号化機能を活用するために

オープンソースのデータベースであるMySQLがバージョン5.7から透過的データ暗号化(TDE)を標準で利用できるようになりましたが、そろそろ、本格的に利用を検討されている方も多いのではないでしょうか?

ただ、ちょっと気をつけてください。

暗号化が利用できるようになったとはいえ、標準では暗合鍵がローカルディスクに保存されてしまい、安全性を確保しているとは言えません。暗号鍵の管理というととても面倒なことではあるのですが、それを簡単に実現するのが鍵管理サービスです。

「鍵管理サービスって何?」と思われている方は、銀行の貸し金庫みたいなサービスだと思っていいただければ良いのではないでしょうか?社内で置くべきでない貴重品を、外部の安心できる場所にあずけるのは、サーバでも同じことが言えます。

サーバ内に暗号鍵を保存せず外部にあずける。そのようなサービスが暗合鍵管理サービスです。

弊社の暗合鍵管理サービスに関しては、本日、BCNに掲載されました。ご興味のある方は参考にしていただければと思います。
https://www.weeklybcn.com/journal/news/detail/20170914_158160.html

よろしくお願いします。

MySQLの暗号化と鍵管理ははお任せください。
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

データーベースの管理をどこまで任せるのか?

先日、Microsoft AzureがMySQLとPosstgreSQLのPaaS型サービスを発表しました。PaaSとは「Platform as a Service」の略でソフトウエアの動作基盤をクラウドで提供し、構築や管理の手間を省けるサービスです。今回の場合はデータベースのMySQLとPostgreSQLがその対象になっています。このサービスを利用することで、データベースのバックアップやリストア、高可用性、スケールなどがほとんど手間をかけずにできるようになります。管理の一部を手伝ってくれるという意味でマネージドデータベースサービスということもあります。

このようなサービスはAmazon RDSが有名ですが、こちらも利用者が多く、データベースの管理が面倒であることが人気の理由なのでしょう。

これらの一番の利点は高可用性であると言えます。障害起きたとしても迅速な復旧が可能ですし、アクセスが増えたとしてもサービスの拡張が容易にできるようになっています。大規模になると、クラウドサービス間のレプリケーションなども必要になってくるかもしれませんが、小規模から中規模のサイトであれば十分でしょう。

ではデータの機密性に関してはどうでしょうか?
いずれのサービスもインスタンスの暗号化に対応していますが、厳密にはそれで十分といえるのかは、そのシステムで提供しようとしているサービスの重要度にもよります。本当に保存するデータの機密性を重要視するのであれば、クラウドサービスの暗号化だけに任せてしまうのは危険と言えるでしょう。この部分はクラウドサービスに依存せず、自らコントロールできるようなサービスやソフトウエアを選択することで、よりデータの安全性を確保することができると思います。

また、規模が大きくなると結局クラウドといえどもは料金がどんどん高くなっていきます。クラウドへの依存は、しらずしらずのうちに不必要なコストを支払っていることがありますので、しっかりとサービスを見極めていただければと思います。

MySQLの暗号化と鍵管理ははお任せください。
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

クラウドに期待される「セキュリティ強化」

IDC Japanが2017年3月に実施した「国内企業のクラウド導入意向」の調査結果によると、クラウドを導入する理由が「コスト削減」から「セキュリティ強化」に変わったそうです。

いままではクラウドにシステムを移動するのは危険という意識が強かったのですが、最近は自社内にシステムを置くよりは安心という認識に変わってきたのでしょう。

特にクラウドはシステムダウンに強いという認識はかなり強固になってきたと思います。仮想化技術によってシステムがハードウエアに依存しなくなり、クラウド側にシステム障害があってもほとんどの場合、システムをノンストップで復旧が可能になっています。

また、クラウド側のネットワークは外部からの攻撃の検知遮断などを自動で行うサービスもあり、ネットワークも仮想化されているので、構成の自由度も大きく非常に管理が楽になります。

このようにシステムを構築するためのクラウドインフラのセキュリティは強固なっていますが、そのクラウドの中に構築するシステムのセキュリティは以前と変わらず多くのセキュリティ対策が求められています。

ある意味、クラウドのインフラのセキュリティが安定することで、その上で構築するウェブアプリケーションなどのセキュリティに集中できるとも言えますが、安全なシステムのデザインには多くのクラウドインフラのセキュリティ知識が今後も必要になってくるでしょう。

Linux上のファイル暗号化でお困りではありませんか?
http://www.softagency.co.jp/products/server-general/
データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/
MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise
もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/