クラウドセキュリティの3つの懸念

オランダのセキュリティ会社であるジェムアルトが全世界で実施した2016年グローバルクラウド データ セキュリティ調査によると、現在、36%の回答者が自社のITやデータ処理にクラウドを活用していると回答し、今後、2年間で45%まで増加すると予測しています。

この中でもクラウドセキュリティ対策は重要性が増すことが示されていますが、企業がコンプライアンス維持にために必要なセキュリティ対策は、従来のままでは対応できないと懸念が示されています。実際、クラウド利用に対するセキュリティ対策は積極的に取り組んでいるが対応が追いついていないという担当者が多くいます。

このレポートで示されている懸念は大きく3つあります。

1)シャドーIT
シャドーITとは企業のセキュリティ管理の届かないところで従業員がクラウドサービスを利用してしまうことです。社内のコンピュータがウェブを閲覧できるのであれば、簡単にさまざまな無料のクラウドサービスを利用することができます。また、スマートフォンでも多くのアプリを無料で利用可能であり、これらをすべて制限することはかなり困難なことです。

2)暗号化
クラウドサービスを暗号化して利用していると答えた回答者はわずか34%でした。約3分の2近いユーザはデータ機密の重要性を理解しつつも暗号化を考慮せずにクラウドサービスを利用しています。レポートでは今後暗号化の重要性はさらに増していくとしています。

3)多要素認証
依然として多くのサービスはIDとパスワードだけの認証を採用しています。そして3分の2以上の回答者がクラウド利用でユーザIDの管理がさらに困難になると回答しています。特に第三者や関係者に対して自社クラウドへのデータアクセスを許可するのであれば、ワンタイムパスワードや生体認証などの多要素認証を用いたユーザ管理を強化すべきだとしています。

今後、企業活動においてクラウドサービスを利用する機会はさらに増えていくことでしょう。このとき企業データを保護するという目的を達成するために、これらのことを念頭に進めていただければと思います。

クラウドのデータベース常時暗号化サービスとベンダー依存問題

今週、マイクロソフトは自社のクラウドサービス「Microsoft Azure」内のデータベースサービスである「Azure SQL Database」の常時暗号化を実現する「Always Encrypted」を発表しました。

データベースの暗号化はAmazon AWSなどでも利用可能ですが、機能的にはよく似ています。つまり、専用の鍵管理システムがあり、そこから暗号鍵を取り出してデータを暗号化します。Azureの場合は「Azure Key Vault」、AWSでは「AWS Key Management Service」です。

このように各社独自の暗号鍵管理システムが存在するのですが、相互運用が出来るという話は聞きません。業界標準としてKIMP(Key Management Interoperability Protocol)という暗号鍵管理の標準もあるのですが、独自仕様のものも多く、暗号鍵管理システムはクラウド事業者の囲い込みの戦略として利用されているように見えます。

各クラウドサービスベンダー社がデータベースの暗号化を進めているのは非常に喜ばしいことではありますが、ベンダー間の鍵管理システムの相互運用は、しばらく出来そうにありません。ベンダー依存からの脱却が必要な場合は独自に暗号鍵管理システムを運用するしかなさそうです。

暗号鍵管理のハードウエア化が始まる

先日、Androidのフルディスク暗号化機能が破られる恐れがあるというニュースが流れました。Androidでは5.0から暗号化機能が利用できるようになっていて、暗号鍵の管理はKeyMasterというモジュールが利用されます。このKeyMasterの脆弱性を利用して暗号化領域へのアクセスを可能にできるということです。

暗号鍵は厳重に管理するために、同一マシン上に置かないという管理が、高度なセキュリティ運用には求められますが、スマートフォンや家電製品など、IoTなどで大量に利用される端末でそれを実現するのはコストや管理の制約があります。このため端末単体で動作するセキュリティIPコアの開発が活発になっています。

IPコアとは、簡単に言うとLSIを構成するために機能単位まとめた回路のことです。つまり、セキュリティ用の暗号化IPコアでは、ハードウエアの組込み回路して暗号鍵を扱うことで、コピーや改ざんを不可能にすることができます。

Androidの端末での暗号化では今後このようなIPコアが採用が不可欠だと研究者は言っていますし、最近では日本のルネサスエレクトロニクスが新商品として暗号化IPコアの発表をしています。今後、スマートホンに暗号化IPコアが搭載される日も近いかもしれませんね。