クラウド上のシステムの脆弱性対応を考える

今週、LUKSと呼ばれるLinuxの暗号化の仕組みに脆弱性が発見されました。今回の問題は暗号化そのものに脆弱性があったわけではなく起動時のスクリプトに管理者権限を取得できる脆弱性があったようです。

このような脆弱性の報告はシステムの専門外の方とって、自社のシステムでの影響度をどのように判断すればよいのかは大変難しいことだと思います。しかし、システムが脆弱性にさらされているのであれば、一刻も速く対応をしなければなりません。

最近のOSにはほとんどシステムの自動更新機能がありますので、可能な限り活用したいところなのですが、自動更新は危険も伴います。更新のあとにいままでと違う動きをしてしまう場合があるからです。昔に比べるとそのような危険は少なくなりましたし、クラウドシステムの場合、定期的なスナップショットを取ることで更新前の状態に戻すことも簡単になりましたので、自動更新をする場合はそのような機能と組み合わせる必要もあるでしょう。

また、安定性を求められるシステムのほとんどは複数台サーバでシステムが構成されます。これはセキュリティ的な観点からすると一つのサーバに多くの機能を詰め込むより、多くのサーバに機能を分散させたほうが、一つのサーバの機能も少なくでき、サービス停止のリスクも少なくできます。

脆弱性の対応も一台しかないと再起動が必要なときにサービスを止めなくてはなりませんが、複数台で冗長構成が取られていればサービスを止めることなく脆弱性の対応が可能になります。また、自動更新もサーバ単位で隔日などで設定できるので、何か遭った時の対応が可能になります。

クラウドによってバックアップやスナップショットそして複数台構成も安価に簡単にできるようになりました。これらを上手に活用して脆弱性対策をしていただければと思います。

グーグルPixelはハードウエア暗号が標準に

今月、グーグルから発表された新製品のPixelは、iPhoneをかなり意識して作られたグーグルブランドのスマートフォンです。この製品では、ハードウエア暗号が標準で搭載されており、システムの性能を落とすことなく暗号化機能が利用できるようになっています。

iPhoneではハードウエア暗号はかなり前からサポートしていましたが、Androidの場合、コストやパフォーマンスの問題もあってなかなか搭載が進みませんでした。グーグルはAndroid6.0から端末の暗号化を義務化していますが、暗号化をソフトウエアで行うとCPUに負担がかかり、パフォーマンスに影響を与えます。最近になってCPUの性能が良くなって、ようやくAndroid6.0の端末が標準になりつつあります。

しかし、CPUの性能に依存した暗号化は、OSやアプリケーションのパフォーマンスに影響を与えますので、今回のPixelのようなハードウエア暗号機能を搭載した端末が増えてくれば、そのうような問題も解消していくことになります。

さらに、Android端末のハードウエア暗号が普及すれば、製造コストも安くなり、他の情報家電や、IoT端末等に一気に暗号化が普及するきっかけになっていくことでしょう。

テレワークの鍵を握るクラウドセキュリティ

数年前から、政府の「働き方改革」により、テレワークの推進が盛んになってます。テレワークとは情報通信技術を利用して、時間と空間に束縛されずに仕事ができるようにすることです。昔から在宅勤務という言葉はありましたが、それはテレワークの中では一部分を表しているにすぎません。在宅に限らず、いつでも、どこでも自分の職場にすることができるのがテレワークの特徴です。

これは多くのクラウドサービスが充実してきたことにより、IT関係に限って言えば、ほとんどオフィスにいなくても仕事ができるようになってきたということがあると思います。最近では、多くの大手企業のテレワーク導入がニュースになり、つい先日も高市総務大臣がテレワーク推進企業としてヤフージャパンを視察したことも報道されています。

このようにテレワークを重要課題として推進する政府ですが、総務省からテレワークのセキュリティガイドラインを出していて、職場外での社内資料の閲覧や情報漏えい対策は、「インターネットの高速化や、暗号化等の情報セキュリティ技術の活用」により、解決できるとなっていて、女性の活躍できる社会、子育て世代の支援、労働人口の減少などの対策を急ぐ政府の切り札としての積極性が良く分かります。

テレワークを実現するために重要なのは社内でのルール作りとセキュリティ教育、そして、技術的な課題としては、重要情報の暗号化と安全な通信経路の確保がポイントとなります。

テレワークに限らず、社外でスマートフォン、タブレット、または、ノートPCなどでクラウドサービスを利用する機会は増えていると思いますので、もういちど情報セキュリティ対策を見直していただければと思います。

クラウドの暗号化で何から守るのか?

最近、クラウド事業者がさまざまな暗号化サービスの提供を始めていますが、暗号化という言葉の響きは、その分野に詳しくない人からすると、きっと暗号化するとデータが守られて安全なのだろうなと考えてしまいます。しかし、暗号化したからといってすべての攻撃からデータを守ることができるわけではありません。セキュリティ担当者は暗号化することによってどのような攻撃からデータを守ろうとしているのかを常に意識していなければなりません。そうでないと、想定した攻撃から正しくデータを守ることができなくなってしまいます。

通信の暗号化は、最近は当たり前になっています。この場合、通信データの盗聴という攻撃から守ることになります。しかし、今は暗号化通信を前提としたなりすましなどの攻撃が多いので、通信データを暗号化しただけでは安心できません。

多くのクラウドサービスではサーバのデータディスク全体の暗号化ができるようになってきました。これはどのような攻撃からデータを守ろうとしているのでしょうか?

いわゆるディスク暗号はOSからみると暗号化しているようには見えません。このような暗号化ではOSにログインできればすべてのデータが見えることになります。ということはOSが攻撃を受ければ、すべてのデータが盗まれる可能性があるのです。

つまり、この暗号化では、その上位層であるクラウドサービス全体の攻撃からの情報漏えいを防ぐことを前提としています。例えば仮想マシン全体やデータディスク自体をコピーされて盗まれてしまうとか、他には、利用しているクラウド事業者が間違って利用者のデータを見ることができないようにするという意味もあります。

このように現在クラウド事業者が提供しているデータディスクの暗号化サービスは本質的にOSの攻撃に対しては無防備です。ですからそれだけで安心することなくOSやアプリケーションレベルでの攻撃にも耐えられる暗号化サービスも検討する必要があります。

IoTと暗号化ポリシー

IoTというと「物のインターネット」と言われるようにすべての物がインターネットにつながる世界を想定しています。いままではPCやスマートフォンといった人間が直接操作するものがほとんどでしたが、IoTではすべての電子機器がつながることを前提にしています。

総務省も今年7月にIoTセキュリティガイドラインを発表しました。ここではすべてのものがインターネットにつながる世界では。いままでの情報セキュリティ対策だけでは対応できなくなるといいます。つまり、人が介在しない自律型のシステムが増えるので、個々の端末をより安全にコントロールすることが求められ、データ暗号化の推奨がされています。

前に通信の暗号化の次はデータの暗号化に向かうと言いましたが、今、IoTの世界ではまさにそのようなセキュリティの話題が中心になっています。IoTでは膨大な数の自立したシステムがインターネットに接続してきます。このような中で、データを守るための暗号化の技術は重要度を増しているのです。

なぜ、暗号化するのかといえば、それは攻撃者からデータを守るためです。しかし、単にデータを暗号化すれば、安全というわけではありません。最近では無料であったり、とても安価な暗号化のサービスが提供されていることもありますが、それが本当に攻撃者からデータを守れるのか見極める必要があります。

つまり、暗号化は手法によってそれぞれ目的が違うということです。適切な暗号化手法を選ばないと実際に想定していた攻撃から守れないことになり、これを分かっていないと間違った暗号化をしてしまうことになります。

では、適切な暗号化とは何なのでしょうか?

一言でいえば暗号化ポリシーが作成できるかということなのですが、つまり、誰が暗号化し、誰が復号化できるか細かく設定できるのかということです。この暗号化ポリシーが細かく設定できない暗号化は攻撃者から見れば、ほとんど無意味です。

そして無料や安価な暗号化サービスはほとんどの場合この細かな暗号化ポリシーの設定ができないのです。このあたりの詳しい内容はまた別の機会にご説明させていただければと思います。

多層化するクラウドサービスの暗号化

今月、マイクロソフトの提供するクラウドサービスMicrosoft Azureは、新たな暗号化サービスを追加しました。それは
「Storage Service Encryption(SSE)」です。今までも「Azure Disk Encryption」というサービスがあったのですが、いったい何が違うのでしょうか?

前者は物理ストレージへの保存をすべて暗号化するもので、後者はOSの仮想ディスクを暗号化するものです。何が違うのかわかりにくいかもしれませんが、簡単にいうと物理層かOS層かどうかの違いです。

「Storage Service Encryption(SSE)」ではOSに依存することなく暗号化が可能です。管理ポータルか制御できるので利用者からすれば本当に暗号化されているのかは見た目ではよくわかりません。物理マシンで例えるならばハードドライブのフルディスク暗号を利用しているようなイメージになります。

「Azure Disk Encryption」はOS側制御するので、ディスクをマウントするときにOS上で暗号化のモジュールが必要になります。Windowsではbitlockerを利用し、LinuxではDM-Cryptが必要になります。

このようにSSLで通信の暗号化だけを考えていた時代から、クラウドでの物理層、OS層でも暗号化が標準で提供されるようになってきました。もちろんアプリケーション層でも暗号化は進んできています。

つまり、サーバ上の一カ所で暗号化すれば安心という時代では無くなってきたのです。各層の暗号化はそれぞれ用途も目的違います。誰から何を守ろうとしているのかを見極めて暗号化の手段を選択していく必要があります。

暗号化通信を利用したサイバー攻撃への対策

A10 Networksの最近の調査によると、セキュリティ担当者の41%がSSL通信を利用した攻撃を受けたと回答しています。また多くのマルウエアもSSLの通信を前提とした攻撃に変わりつつあります。

このSSL通信による攻撃は何が問題なのでしょうか?

これは通信経路の途中の段階で悪意ある通信を遮断することが難しくなるということです。多くのセキュリティ製品の中には通信内容を分析してサイバー攻撃を検知する機能があります。しかし、通信が暗号化されてしまうとその中身から悪意ある通信を判別することができません。つまり、暗号化を解除できる通信の末端であるサーバでの検知がさらに重要になるということです。

しかし、これではサーバに大きな負担がかかってしまいます。

攻撃検知を可能とするセキュリティ製品(IDS/IPS)を効果的に利用するためには、サーバにデータが到着する前に暗号化を解除することが有効です。例えば下記のようにSSLアクセラレータなどを利用することです。

[外部]—>[SSLアクセラレータ]—>[IDS/IPS]—>[サーバ]

このような構成の場合、暗号化の解除はすべてSSLアクセラレータで行なわれ、次にIDS/IPSで攻撃の検知を行います。そのあとで問題のないデータだけがサーバに届きますので、大きくサーバの負担を少なくすることができます。

一部のクラウドサービスでは既にこうのような構成を簡単に組むことができるようにメニュー化されているところもあります。今後、多くのクラウドサービスが対応していくことでしょうから、このようなセキュリティ対策を念頭において、クラウド利用をご検討いただければと思います。

暗号化とエネルギー効率

先日、東北大学とNECがAES暗号処理の消費エネルギーを半分にしたという研究成果を発表しました。暗号処理は基本的にはCPUの能力を必要とするので、小型の組込み機器に暗号機能を搭載するのは制約が多くあります。今回は、アルゴリズムと演算方式の見直しを行うことによって効率的な演算方式を考案したとのことで、これで消費エネルギーを少なくでき、小型機器への暗号処理も容易になるとしています。

現在、サーバ機器においても暗号処理を行うときはCPUのオーバーヘッドを考慮して、すこし高めのスペックで運用することが一般的ですので、小型機器に限らずこのような効率化は、大きな期待が寄せられます。また、一方ですべての物がインターネットにつながるIoT時代においては、暗号化通信は必須の技術であり、小型機器の暗号化通信のサポートが当たり前のものとなっていくことでしょう。

省電力のシステムはCO2削減の面からも、非常に重要ですので、ハードウエアとソフトウエアの両面から安全かつ効率的なシステムの開発がさらに進むことを期待したいと思います。

約半年ぶりのウェブセミナーを開催いたします。今回のセミナーでは「データを守る」とはどういうことなのか、真剣に考えてみたいと思います。データベースはウェブシステムのバックエンドとして重要なデータを取り扱いますが、どのようなセキュリティ対策をすべきなのかを、最近の新機能も含めてご紹介したいと思います。普段データベースを取り扱う方や、システム担当者の方、情報セキュリティの担当者の方にご参加いただければ幸いです。

■ウェブセミナー参加お申し込みページ
http://www.softagency.co.jp/webinar/20160908
開催日時 2016年9月8日(木) 16:00 – 17:00

【ウェブセミナー開催】今、MySQL Enterprise Editionを利用すべき10の理由。

約半年ぶりのウェブセミナーを開催いたします。今回のセミナーでは「データを守る」とはどういうことなのか、真剣に考えてみたいと思います。データベースはウェブシステムのバックエンドとして重要なデータを取り扱いますが、どのようなセキュリティ対策をすべきなのかを、最近の新機能も含めてご紹介したいと思います。普段データベースを取り扱う方や、システム担当者の方、情報セキュリティの担当者の方にご参加いただければ幸いです。

■ウェブセミナー参加お申し込みページ
http://www.softagency.co.jp/webinar/20160908
開催日時 2016年9月8日(木) 16:00 – 17:00

MySQLは無料で使われている方が多いと思いますが、商用版の「MySQL Enterprise Edition」には、すぐに役立つ魅力的なセキュリティ機能が満載です。

例えば、

・パフォーマンス向上
・SQLインジェクション対策
・透過暗号化
・最適化
・リアルタイム監視
・バックアップの高速化
・監査証跡の取得
・認証機構の多様化
・高可用性(HA)
・サポート

など、このような問題が「MySQL Enterprise Edition」を利用するだけで解決できます。

クラウド上のシステムのセキュリティ対策を考えるとき、フロントエンドからバックエンドまで、多くのことを考慮しなければなりません。フロントエンド、はファイヤウォールや侵入検知(IDS)など多くのソリューションで守られています。しかし、バックエンドのデータベースをどのように守っていくのかというのは、フロントエンドの対策に比べると軽視されているところがあります。

MySQLはクラウドシステムでも多く用いられており、最近はクラウド事業者が提供するRDS(リレーショナルデータベースサービス)を利用する方も増えてきました。RDSを利用する利用する理由として管理が楽だからというのと、セキュリティもクラウド事業者任せにしたいという思いもあるでしょうが、それでデータが完全に守られるわけではありません。

情報セキュリティの観点から言えば、RDSには機能的な制約があり、十分なセキュリティ機能を望めない場合があります。大事なデータを守るという観点からするとデータベースのセキュリティというのは決して人任せにはできない問題なのです。

セミナーで多くの有用なセキュリティ対策についてご説明したいとおもいますのでぜひご参加ください。

■ウェブセミナー参加お申し込みページ
http://www.softagency.co.jp/webinar/20160908
開催日時 2016年9月8日(木) 16:00 – 17:00

常時SSL化の鍵を握る無料SSL証明書の普及

4月初旬にYahoo JAPANの全サイトの常時SSL化を話題にしました。そのとき検索サイトのランキングも常時SSL化で順位が変わるようになるとお伝えしました。それを見てSSLの証明書は安くはなったけれどお金がかかるのは困ると思われた方もいると思います。

そのような中で「Let’s Encrypt」という無料で利用できるSSL認証局が注目されています。この団体は2014年に米サンフランシスコで設立され、その目標はすべてのウェブ接続の暗号化を達成することです。去年の12月ベータリリースから話題になり、今年の4月に正式リリースを果たしました。

スポンサーもシスコ、アカマイ、フェイスブックなど30社以上が名を連ねており、現在、4半期が経ち、「HTTPS、100%へ向けた進展」と題されたレポートでは、既に発行した無料のSSL証明書は500万件を超えて、右肩上がりで増え続けています。

さたに特記すべきことはその導入と更新の簡単さです。Linux上で広く利用されているウェブサーバ「Apache」の場合、プラグインが用意されており、インストールはすべて自動で数分で終わります。また、証明書の有効期限が来た時もコマンド一つで更新することができます。その他のウェブサーバの場合でも、証明書の発行までは自動ですので、後は自分でウェブサーバの設定を変更するだけです。

無料SSL証明書の普及により、通信の安全性は向上すると思います。そして次はサーバ内に保存するデータの常時暗号化へと進むでしょう。また、なりすましやフィッシングサイトなどの危険性などがさらに増していくのではないかと思います。