MySQLの暗号化機能を活用するための鍵管理入門

2週間後に、このMLでよく話題にする「暗号鍵管理」のウェブセミナーを開催することになりました。今回は、MySQL5.7から機能追加された透過的テーブルスペース暗号化を利用する場合の利点と欠点、そして、どのように鍵管理をすべきかについて具体的な方法をご紹介したいと思います。

インターネットをご利用可能な環境でしたら、簡単に参加可能ですので、お気軽にお申し込みいただければと思います。
http://www.softagency.co.jp/webinar/20170309/

【ウェブセミナー開催概要】
タイトル: MySQLの暗号化機能を活用するための鍵管理入門

MySQL5.7では無料のCommunity版を含むすべてのバージョンでInnoDBの透過的テーブルスペース暗号化機能が利用できるようになりました。しかし、暗号化というものは暗号鍵の管理がとても重要になります。この暗号鍵をどのように管理すればよいのか、実際の動作を確認しながら、Community版でも活用できるノウハウを含めて紹介します。

日時:      2017年3月9日(木)16:00 – 17:00
参加費:     無料(事前登録制)
参加方法:    インターネットに接続可能なPCとヘッドセットをご用意ください。
         前日までに参加するためログインURLをご連絡します。
主催:      株式会社ソフトエイジェンシー
         ( MySQL 5 Specialization認定パートナー )
協力:      日本オラクル株式会社
申し込み方法:  下記、お申込みフォームよりご登録をお願いします。
         http://www.softagency.co.jp/webinar/20170309/
申し込み締切:  2017年3月8日(水)まで
お問い合わせ:  電話: 050-5505-5509
メール:     sales@softagency.co.jp

以上、よろしくお願いします。

Linuxサーバデータ暗号化ソリューション「Server-GENERAL」
http://www.softagency.co.jp/products/server-general/
MySQLのカラム単位で暗号化を実現する「MyDiamo」
http://www.softagency.co.jp/products/mydiamo/
MySQL監査のための操作記録を残せる「MySQL Enterprise Edition」
http://www.softagency.co.jp/products/mysql/#Enterprise

クラウド内の暗号鍵マネジメントは主流になるか

先月、米グーグルはクラウドベースの暗号鍵マネジメントサービス(CLOUD KMS)を発表しました。

暗号鍵マネジメントとは、データを暗号化するときに必要な暗号鍵の「生成」「利用」「ローテーション」「破棄」の暗号鍵のライフサイクルを管理することです。いままでもグーグルは自社のクラウドプラットフォームで暗号鍵の管理ができましたが、ほとんど自動化されていて暗号鍵を意識する必要があまりありませんでした。

しかし、今回のサービスでは、ユーザ側で管理できる項目が増え、暗号鍵の管理に加えて、暗号化と復号化のためのREST APIも提供されています。また鍵のローテーションも自動と任意を選べるようになっています。

そもそも、本気でセキュリティを考える人の中では、鍵管理をグーグルのサービスに依存させることを嫌う人も多いでしょうが、このようなサービスが普及していくことで、暗号化における鍵管理の重要性が話題になり、セキュリティ対策を考えるきっかけになればよいのではないかと思います。

Linuxサーバデータ暗号化ソリューション「Server-GENERAL」
http://www.softagency.co.jp/products/server-general/
MySQLのカラム単位で暗号化を実現する「MyDiamo」
http://www.softagency.co.jp/products/mydiamo/
MySQL監査のための操作記録を残せる「MySQL Enterprise Edition」
http://www.softagency.co.jp/products/mysql/#Enterprise

無料VPNアプリの恐怖

前回、VPNによって通信の暗号化ができるというお話をさせていただきましたが、最近ではスマートフォンでも多くのVPNアプリケーションが提供されています。しかし、スマートフォンでVPNを利用するにはかなり注意が必要なようです。

昨年の8月にオーストラリアのCSIRO(Commonwealth Scientific and Industrial Research Organisation)が発表した論文によると、AndroidのGoogle Playで提供されている283個のVPNアプリのうち18%が実際には暗号化をしておらず、さらに、38%にマルウエアが含まれていました。また、82%が個人情報データへのアクセス権限を要求しているとのことです。中には悪意をもって個人情報を収集していたアプリも存在したということですので、本当に恐ろしいことです。

このように氾濫しているアプリの中から、信頼のおけるVPNアプリを探すのは容易ではないかもしれませんが、少なくとも開発元のホームページなどを確認して、個人なのか法人なのか、オープンソースなのか、他にどんなサービスを提供しているのか、など自分なりの判断基準をもって選択することが必要でしょう。

VPNアプリの場合は、ルータやスイッチなどのネットワーク機器メーカが提供しているアプリは素性がはっきりしているので比較的安心して使えると思います。しかしながら、特定の機種やサービスにしか繋がらないような機能の制約があったりするので注意が必要です。次にオープンソースソフトウエアも選択肢としては良いと思います。人気のあるものは脆弱性の対応も素早いですので、十分実用に耐えることができます。

暗号化の重要度が増すにつれて、詐欺まがいのツールも増えてくると思いますので、そういったものに注意しながらVPNアプリの選択をしていただければと思います。

Linuxサーバデータ暗号化ソリューション「Server-GENERAL」
http://www.softagency.co.jp/products/server-general/

MySQLのカラム単位で暗号化を実現する「MyDiamo」
http://www.softagency.co.jp/products/mydiamo/

MySQL監査のための操作記録を残せる「MySQL Enterprise Edition」
http://www.softagency.co.jp/products/mysql/#Enterprise

VPNと通信の秘密

中国ではグレートファイアウォールというインターネットの検閲システムがあるのは有名ですが、その監視を逃れるためにVPNを使うユーザが多くいました。しかし、最近、中国政府はそれを取り締まるために、無許可のVPNを禁止すると発表しました。どういう場合にVPNが許可されるのかは詳しくは分かりませんが、おそらく政府が必要い応じて検閲できない通信は不許可になるのでしょう。

ちなみに、日本国憲法では、第21条 第2項において
「検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。」
とありますので、VPNに制限はないと考えるのが一般的ですが、実際には犯罪捜査などの名目で警察などによる通信の盗聴等は許可されており、米国のスノーデン事件にも見られるようにインターネット上においても諜報機関が盗聴をしていることが明らかになっており、現状では通信の秘密はかなり侵されています。

VPNとは、そもそもバーチャルプライベートネットワークの略で、通信を暗号化して情報の漏えいを防ぐ技術です。インターネットで利用する場合はインターネットVPNとも呼ばれ、企業間の通信のために専用線を使わずに安価なインターネットを利用することでコストを削減し、安全な通信を実現しています。

では、なぜ暗号化しているのに盗聴が可能になるのでしょうか?
盗聴が簡単なのは、サーバを経由する通信です。通常はサーバ内では必ずデータは復元されていますので、盗聴はとても簡単になります。捜査機関がサービス事業者に協力を依頼するのはそのためです。SNSなどのサービスは必ず事業者のサーバを経由しますのでこれはとても簡単になります。

しかし、サーバを経由しないピアツーピアと呼ばれる1対1のVPN通信では、かなり盗聴は難しくなります。それを盗聴するには通信の暗号鍵が入手できないと不可能ですので、そのような暗号鍵を入手できるバックドアがないと中国ではVPNを利用できなくなるのかもしれません。