暗号化ボリュームのマウント後のアクセスを制限に関して

 今回は「Amazon EBS 暗号化」の二つ目の問題である「一度、マウントしてしまえばデータのコピーは簡単」ということについて考えてみたいと思います。

これはまず、透過型暗号化と呼ばれる仕組みを理解する必要があります。透過型暗号化では暗号化されたボリュームをファイルシステムとしてマウントして利用します。マウント後は自動的にファイルの書き込み時に暗号化し、読み込み時に複合化を行います。このため利用者は暗号化を意識することなく暗号化機能を利用できます。

簡単に言えば、暗号化ボリュームをマウントしてしまえばOSからは普通のファイルシステムとして扱えるということです。これは透過型暗号化方式の致命的な弱点でもあります。

では、これは何が問題なのでしょうか?

まず、「マウント後は暗号化を意識せず利用できる」という利便性は逆にデータ漏えいの危険性を増すことになります。マウントしていなければ当然、暗号鍵が分からない限りファイルを参照することはできません。しかし、透過型暗号化では一度マウントしてしまえば通常は再起動時以外は再マウントをすることはありませんので、常にファイルを参照することができます。つまり、透過型暗号化はシステムの稼働中にセキュリティの一番のリスクがあります。なぜなら、稼働中は通常の読み込み権限さえあれば簡単にデータを参照することができるからです。

アクセス権限の設定は管理者(root)に対しては意味がない。

ファイルのアクセス権限の設定は管理者(root)以外のユーザでは非常に効果的にセキュリティを確保することができます。各ファイルシステムを適切なアクセス権限で運用するのは通常の対策としては問題ありません。しかし、OSの管理者はすべてのファイルの閲覧をができます。たとえ厳しいアクセス権限をファイルに与えていても、そのアクセス権限を変更できますし、権限のあるユーザになりすますこともできます。善良な管理者の立場から言えば、OSやネットワークのシステムの管理に暗号化されたような重要なファイルを参照する必要性はほとんどありません。にもかかわらず情報漏えい時に最も疑われやすい立場であり、そのリスクを負わなければならない極めて危険な状態にあります。

では、このリスクを軽減する方法はあるのでしょうか?

ー般的に管理者権限は、限られたメンバーしか利用出来なくなっています。そして、利用手続きを複雑にしたり、すべての利用記録を残したりすることで。このリスクを軽減しようと試みています。しかし、この方法では結局は特に管理者のアクセス権限は従来通りなので、悪意のある管理者のなりすましなどには全く効果がありません。

rootからのアクセスを拒否し、なりすましを検知する「Server-GENERAL」

弊社のLinux暗号化ソリューション「Server-GENERAL」は暗号化領域への管理者(root)ユーザからのアクセスを拒否し、また、rootからのなりすましも検知してアクセス拒否できます。つまり、信頼されたアプリケーションからのみアクセスを許可することで、透過型暗号化に高度なセキュリティを確保することを実現しています。