多層化するクラウドサービスの暗号化

今月、マイクロソフトの提供するクラウドサービスMicrosoft Azureは、新たな暗号化サービスを追加しました。それは
「Storage Service Encryption(SSE)」です。今までも「Azure Disk Encryption」というサービスがあったのですが、いったい何が違うのでしょうか?

前者は物理ストレージへの保存をすべて暗号化するもので、後者はOSの仮想ディスクを暗号化するものです。何が違うのかわかりにくいかもしれませんが、簡単にいうと物理層かOS層かどうかの違いです。

「Storage Service Encryption(SSE)」ではOSに依存することなく暗号化が可能です。管理ポータルか制御できるので利用者からすれば本当に暗号化されているのかは見た目ではよくわかりません。物理マシンで例えるならばハードドライブのフルディスク暗号を利用しているようなイメージになります。

「Azure Disk Encryption」はOS側制御するので、ディスクをマウントするときにOS上で暗号化のモジュールが必要になります。Windowsではbitlockerを利用し、LinuxではDM-Cryptが必要になります。

このようにSSLで通信の暗号化だけを考えていた時代から、クラウドでの物理層、OS層でも暗号化が標準で提供されるようになってきました。もちろんアプリケーション層でも暗号化は進んできています。

つまり、サーバ上の一カ所で暗号化すれば安心という時代では無くなってきたのです。各層の暗号化はそれぞれ用途も目的違います。誰から何を守ろうとしているのかを見極めて暗号化の手段を選択していく必要があります。

暗号化通信を利用したサイバー攻撃への対策

A10 Networksの最近の調査によると、セキュリティ担当者の41%がSSL通信を利用した攻撃を受けたと回答しています。また多くのマルウエアもSSLの通信を前提とした攻撃に変わりつつあります。

このSSL通信による攻撃は何が問題なのでしょうか?

これは通信経路の途中の段階で悪意ある通信を遮断することが難しくなるということです。多くのセキュリティ製品の中には通信内容を分析してサイバー攻撃を検知する機能があります。しかし、通信が暗号化されてしまうとその中身から悪意ある通信を判別することができません。つまり、暗号化を解除できる通信の末端であるサーバでの検知がさらに重要になるということです。

しかし、これではサーバに大きな負担がかかってしまいます。

攻撃検知を可能とするセキュリティ製品(IDS/IPS)を効果的に利用するためには、サーバにデータが到着する前に暗号化を解除することが有効です。例えば下記のようにSSLアクセラレータなどを利用することです。

[外部]—>[SSLアクセラレータ]—>[IDS/IPS]—>[サーバ]

このような構成の場合、暗号化の解除はすべてSSLアクセラレータで行なわれ、次にIDS/IPSで攻撃の検知を行います。そのあとで問題のないデータだけがサーバに届きますので、大きくサーバの負担を少なくすることができます。

一部のクラウドサービスでは既にこうのような構成を簡単に組むことができるようにメニュー化されているところもあります。今後、多くのクラウドサービスが対応していくことでしょうから、このようなセキュリティ対策を念頭において、クラウド利用をご検討いただければと思います。

暗号化とエネルギー効率

先日、東北大学とNECがAES暗号処理の消費エネルギーを半分にしたという研究成果を発表しました。暗号処理は基本的にはCPUの能力を必要とするので、小型の組込み機器に暗号機能を搭載するのは制約が多くあります。今回は、アルゴリズムと演算方式の見直しを行うことによって効率的な演算方式を考案したとのことで、これで消費エネルギーを少なくでき、小型機器への暗号処理も容易になるとしています。

現在、サーバ機器においても暗号処理を行うときはCPUのオーバーヘッドを考慮して、すこし高めのスペックで運用することが一般的ですので、小型機器に限らずこのような効率化は、大きな期待が寄せられます。また、一方ですべての物がインターネットにつながるIoT時代においては、暗号化通信は必須の技術であり、小型機器の暗号化通信のサポートが当たり前のものとなっていくことでしょう。

省電力のシステムはCO2削減の面からも、非常に重要ですので、ハードウエアとソフトウエアの両面から安全かつ効率的なシステムの開発がさらに進むことを期待したいと思います。

約半年ぶりのウェブセミナーを開催いたします。今回のセミナーでは「データを守る」とはどういうことなのか、真剣に考えてみたいと思います。データベースはウェブシステムのバックエンドとして重要なデータを取り扱いますが、どのようなセキュリティ対策をすべきなのかを、最近の新機能も含めてご紹介したいと思います。普段データベースを取り扱う方や、システム担当者の方、情報セキュリティの担当者の方にご参加いただければ幸いです。

■ウェブセミナー参加お申し込みページ
http://www.softagency.co.jp/webinar/20160908
開催日時 2016年9月8日(木) 16:00 – 17:00