医療業界のセキュリティと暗号化

トレンドマイクロの調査によると全世界で医療機関の10万件以上の機器がインターネット上に暗号化されずに脅威にさらされているとのことです。そのうち、カナダと米国の二カ国で88%を占めています。日本は3番目で1.83%で3番目となっています。

これは医療機関のIT化が、どの程度進んでいるかどうかにもよるのですが、北米が極端に深刻にみえるのは医療情報のインターネット経由での共有化が高度に進んでいるためとも言えます。日本の場合、病院施設内のIT化は進んでいますが、地域医療ネットワークと言われる医療情報の共有化は、一部に限られています。

日本の医療ITは施設内がネットワーク的に要塞化されているので外部の接続が基本的に許されていません。これは安全ではありますが、情報の共有化の制約にもなっています。

米国ではHIPPA「医療保険の携行と責任に関する法律」で医療セキュリティを定めており、重要な情報の暗号化を規定しています。日本では厚生労働省が「医療情報システムの安全管理に関するガイドライン」として暗号化を規定してます。

このガイドラインの今年発表された第5版では、オープンなネットワークの利用に関する規定や、BOYDやモバイル端末の使用時の規定も盛り込まれました。これにより、多くの医療情報がインターネットを経由してやりとりされることが予想されます。いままで要塞化していたものを、セキュリティを維持して共有化するのは簡単なことではありません。このような中でデータの暗号化技術はさらに重要な役割を果たすことになるでしょう。

Linux上のファイル暗号化でお困りではありませんか?
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

量子暗号通信の何が凄いの?

先日、中国が人工衛星を使った量子暗号通信に成功したというニュースが流れました。最近に何かと話題になっている、「量子暗号通信」ですがいったいなにがいままでの暗号通信と違うのかと疑問を抱くかたも多いのではないかと思います。

量子暗号では盗聴が不可能だと言われています。それは暗合鍵を送信するとき通信を盗聴されると「量子ゆらぎ」で検出できるからです。しかし、まだ、その通信の転送効率は悪く改善するための研究が行なわれています。

今の暗号技術は基本的に暗号鍵の解読が困難というだけで、膨大な計算量を厭わなければ解読が可能です。しかし、量子コンピュータという、さらに高速な計算能力をもつコンピュータも登場しつつあり、暗号の解読能力は飛躍的に向上すると予測されています。

このような中で量子暗号通信は理論上は完全に盗聴が不可能だということで軍事技術として大国が力をいれて開発を進めています。量子暗号通信は、高価なハードウエアで実現しているので、まだまだ一般には普及しそうにないのですが、通常のインターネットの暗号通信でも暗合鍵さえ盗聴や解読がされなければ安全なので、高速な量子コンピュータ対策として、ハードウエアに依存しないソフトウエア技術としての暗号アルゴリズムは、「ポスト量子暗号」と呼ばれ研究が盛んになっています。

このような最新の技術の中でも、暗号の基本は、暗号鍵をどのように取り扱うかであり、私たちは常に暗号化において暗号鍵の安全性を意識してシステムを構築していく必要があります。

Linux上のファイル暗号化でお困りではありませんか?
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

暗合鍵の管理サービスは管理者を救えるか?

先日、米国のServer General社がMySQL用の新しい暗合鍵管理サービスを発表しました。
「暗合鍵管理」って何? という方もいらっしゃると思いますので、まず簡単にご説明したいと思います。

コンピュータ上でデータを暗号化するためには必ず暗合鍵というものが作成されます。この暗合鍵を使ってデータが暗号化されます。
「暗合鍵ってパスワードのことですよね?」
と思う方も多いかもしれませんが、そうではありません。パスワードは通常は暗号鍵の利用者を確認する手段として使われているのです。

さて、今回発表された、「Server General KMS」というサービスですが、KMSとは「Key Management Service」のこと、つまり鍵管理サービスを表します。

MySQLはウェブシステムのデータベースとして有名ですが、最近のバージョンでは簡単に暗号化機能が使えるようになっています。この暗号化機能を利用するとローカルのディスク領域に暗合鍵が自動的に生成されて保存される仕組みになっています。

しかし、この状態では暗合鍵は非常に無防備で簡単にコピーできてしまいます。暗号化しても暗合鍵が丸見えの状態では、セキュリティ上大変問題があります。「Server General KMS」をインストールすると暗合鍵の保存フォルダ自体にセキュリティをかけてクラウド上で管理をする仕組みです。

これによって暗合鍵は完全にOSと分離されて状態で管理されるようになり、暗合鍵の盗難の心配が大きく軽減されます。
暗号化のシステム構築には常に暗合鍵の管理に悩まされますが、このような外部サービスを利用することによって、簡単にセキュリティを高められるのであれば、本来の業務システムの構築に専念できるのではないかと思います。

Linux上のファイル暗号化でお困りではありませんか?
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

何も起きていないからこそ積極的なセキュリティ対策を

今週、トレンドマイクロの発表で、韓国のWebホスティング企業「NAYANA」がランサムウエアに身代金を支払って解決したというニュースが流れました。

ランサムウエアとはデータを勝手に暗号化して解除に要求するコンピュータウイルスですが、今回の特徴は感染したコンピュータ153台がLinuxマシンだったことです。一般的にLinuxマシンは標的にされにくいのですが、一度にこれだけの数の感染というのは驚きです。

これらのLinuxマシンはApacheとPHPというLinuxのウェブアプリのインフラとしてよく使われているソフトウエアが利用されていましたが、そのバージョンが古く2006年ににリリースされたもので、その脆弱性が利用されたというのです。確認したところ、利用されていたApacheは「バージョン1.3.36」でこの1.3系は2010年にサポートが終了しています。またPHPは「バージョン5.1.4」で2006年にはサポートが当時すでに終了しています。

10年近くバージョンの古いバージョンを使い続けて、いままで問題が起きなかったのが不思議なくらいですが、このようにセキュリティ対策がなされずに放置されているコンピュータというのは、いつ爆発するかわからない爆弾を抱えているようなものです。

インターネットがまだ普及していない時代では。コンピュータの保守は「安定して動作しているものは触るな」と考える人がいましたが、今では、そんな考えは全く通用しません。積極的にコンピュータの状態を監視し、事前に対策を取ることが求められる時代となっています。

今一度、自社のシステムやサービスを見直し、優先度が下がってセキュリティ対策をせずに放置しているコンピュータがないかご確認いただければと思います。

Linux上のファイル暗号化でお困りではありませんか?
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

ランサムウェア「WannaCry」が教えるセキュリティ対策の基本

5月になってランサムウェア「WannaCry」が世界中で猛威を振るい日本のニュースでも多く取り上げられるようになりました。最近ではファイルを勝手に暗号化するランサムウエア自体は珍しいものではなくなってきましたが、3月に既に明らかになっていた脆弱性を利用するだけで、これだけの感染数を記録するのですから、世の中のセキュリティ意識というものは、まだまだ低いと言わざるを得ません。

最新のセキュリティパッチを常に適用にすることが、一番、重要なことではあるのですが、もし、万が一感染をした場合に、感染を拡大させないための対策を普段から考えておくことも重要になります。

今回のランサムウェア「WannaCry」も一度感染すると社内のネットワークを検索し、脆弱性のある他のコンピュータに感染しようとします。また社内LANやVPNといったプライベートなネットワーク環境は、信頼されたネットワークとみなされますので、厳しいチェックなしに他のリソースへのアクセスが可能になることが多いです。特に社内のファイル共有は大事なデータが保存されているにも関わらず、利便性を優先して、各PCから自動接続されるようになっていることもあり、攻撃者の対象になります。

これらはクラウド利用でも同様のことが起こります。クラウド環境でもプライベートネットワークの構築は簡単にできますので利用されている方も多いと思いますが、これらも一度、侵入されてしまうと他のコンピュータへの攻撃が容易になります。このようなことからも、プライベートネットワークにあるからOSの更新は後回しにするという考え方は危険です。基本的に毎日更新をチェックして適用するのが理想ですが、どうしてもセキュリティ更新が不定期になるコンピュータは簡単にアクセスできないように要塞化するか孤立化させなければなりません。

しかし、要するに基本は単にOS更新するだけなのですから、それが簡単に出来ないシステム構成は設計に問題ありと考えるべきでしょう。

Linux上の暗号化でお困りではありませんか?
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

暗号化するデータをどのように決めるのか?

データの暗号化をする場合には、どのデータを暗号化するのかを決めなくてはなりません。しかし、これはどのように決めればよいのでしょうか?

いわゆる企業内では秘密情報と呼ばれるものがそれに当たるのですが、いったい誰が、いつ決めているのか、そして、その判定基準はと言われると、すぐに答えられる人は少ないのではないかと思います。

ちなみに個人情報保護法の施行や、プライバシーマークなどの普及により、個人情報は秘密情報であるという認識は一般的に共通のものとなりつつありますが、それ以外の情報については、あまり気にかけない方も多いようです。

経済産業省は、平成28年2月に「秘密情報の保護ハンドブック ~企業価値向上に向けて~」という114ページもある冊子を発行しています。これはISMS(ISO27001)をベースにした記述になっていますが、非常にわかりやすくまとめてあるので一読されることをおすすめします。

この中で秘密情報を簡単に定義するのであれば、例として漏洩した場合に次のようなことが起こるものです。
・法令または契約違反となる
・取引先や他社に損失を与える恐れがある
・社会的な信用の毀損の恐れがある
・自社の競争力が低下する恐れがある

会社によって何が秘密情報になるのかは、上記のような基準を元に十分に話し合って決めていく必要があります。それを決めていないと何でも機密情報にしてしまったり、逆に知らずに機密情報を漏洩してしまったりするかもしれません。

このような基準が先に決まっていれば、簡単にシステム上でも何を暗号化するかを判断することが可能になります。

Linux上の暗号化でお困りではありませんか?
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

クラウドセキュリティに対する意識の変化と不安

安価なクラウドサービスが増えたこともあって、企業におけるクラウドシステムの利用の実態は大きく変わりつつあります。以前までは当然のように不安視していたセキュリティも、実際に利用してみて問題なく利用できることが分かれば、その後、多くのシステムをクラウド上に構築するようになり、新サービスのほとんどはクラウド上で構築されるようになってきました。

不思議なもので、多くの人や企業がクラウドを利用し始めると、急に安心感が出るのか、「クラウド」=「安全」という単純な考えを持つ人も現れ始めました。弊社が独自に行ったアンケートでは企業がクラウドを利用する理由として「セキュリティ面で安心できる」と答えた人が39%ともっとも多く、「システムの管理を任せられる」が35%と続きました。つまり、もはやクラウドのイメージは「不安」から「安心」に変わりつつあるのです。

これはクラウドサービスを提供している会社にとっては喜ばしいことだと思いますが、この単純なイメージの変化はセキュリティ意識の薄れととらえることもできます。どんなサービスでもある程度普及すると、よく中身を知らないまま利用する人が一定数現れてきてトラブルを引き起こします。

たしかに、クラウドサービスのセキュリティ機能は大きく向上していますが、それをどのように利用するのかは、利用者の判断になります。セキュリティ意識の低い人が何も分からず利用すると、正しい設定ができずに逆にリスクが大きくなります。

「クラウド」だから「安心」ではなく、どのようなセキュリティ対策をとっているのかしっかりと把握し利用していただければと思います。

Linux上の暗号化でお困りではありませんか?
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

「Vault 7」で明らかになった暗号化前の盗聴

今年の3月の初めにウィキリークスは「Vault 7」というCIAの機密文書を公開しました。
ここではCIAがどのようにして監視対象者のコンピュータを盗み見るのかという具体的な方法が記されており、多くの人がその内容に驚かされました。それはコンピュータのネットワークインターフェースのファームウエアを書き換えてEFIに感染して情報を送ったり、通信アプリで暗号化がされる前に盗聴されたりします。

ここで特徴的なのは以下の2点です。

「ファームウエアを書き換えてEFIに感染する」
EFIとはコンピュータの起動時にファームウエアやOSを管理するもので、昔で言うSystem BIOSから発展してきたものです。このファームウエアやEFIというのはコンピュータのOSとは関係なくハードウエアと密接に関係した部分で通称OSの起動前に実行されます。これではOS側でいくらセキュリティ対策をとっていたとしても効果がありません。一度EFIに感染すればハードディスクを交換しても感染が続くことになるというのが恐ろしいところです。

「暗号化する前に盗聴する」
これはアプリケーションの構造に詳しくないとできませんが、今回は「ワッツアップ」などのメッセージアプリの暗号化が対象となったようです。暗号化される前にデータを盗むというのは、OSがウイルス等に感染してしまえば、簡単に実現可能ですので、OSのセキュリティ対策を万全にしておく必要があります。

CIAの場合、監視対象者をFBIなどに別件で逮捕させて、抑留されているあいだに、本人の持ち物に監視ウイルスを忍ばせるというのが、具体的な手口として紹介されています。

日本でもつい先日警察が勝手に操作対象の人物とそのまわりの人たちの所有している車にGPS発信器をつけて監視した事件で、令状なしなしの捜査が違法と裁判所が判断しました。しかし、テロ等準備罪(共謀罪)が今年中にも国会で成立しそうですし、知らない間に自分が当局の監視対象になっているという事態が起こる可能性は高まっていくでしょう。

これからは以前にも増して自分のデータは自分で守るという意識をもって、セキュリティ対策をする必要があると思います。

Linux上の暗号化でお困りではありませんか?
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

Gmailの暗号化を可能にするE2Emailとは

前回のMLでメールの暗号化が全く普及しない理由に暗合鍵管理の複雑さがあるといいましたが、それを解消しよう試みるプロジェクトのテスト版が公開されました。それは「E2EMail」というプロジェクトです。このプロジェクトはgoogleも参加しているプロジェクトで、chromeの拡張機能として、PGP/MIMEでメールを暗号化する機能を提供するものです。

PGP/MIMEというのはPGPという公開鍵暗号の仕組みをメールで利用するものですが、公開鍵暗号でのメール送信について簡単に説明しますと、
「送る相手の公開鍵を入手する」
「相手の公開鍵で暗号化して送る」
と表すことができます。

メールを受け取る場合も同様で、事前に自分の公開鍵を送信者に渡しておかないと暗号化してもらえません。暗号化されたメールは対応する秘密鍵をもっている人しか復号化できませんから、受け取った相手しか開けないということになります。

しかし、ここで問題はどうやって公開鍵を入手するのか、また、その公開鍵を信用していいのかなど、さまざまな問題が発生するのですが、E2EMailでは鍵管理サーバを用意し、googleの認証機構を用いてユーザ確認をする仕組みなっているのが特徴です。

いままではPGP/MIMEを利用するには自分で送信先の公開鍵管理をしなければならず、とても不便だったのですが、それを解消しようとする試みですが、いかにユーザ側の簡便さとセキュリティを確保するかが重要になってくるのではないかと思います。

Linuxサーバデータ暗号化ソリューション「Server-GENERAL」
http://www.softagency.co.jp/products/server-general/

MySQLのカラム単位で暗号化を実現する「MyDiamo」
http://www.softagency.co.jp/products/mydiamo/

MySQL監査のための操作記録を残せる「MySQL Enterprise Edition」
http://www.softagency.co.jp/products/mysql/#Enterprise
もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

添付ファイルの自動暗号化がもたらした功罪

最近、情報漏えい対策ということでメールの添付ファイルを自動で暗号化するサービスを導入する企業が増えてきました。

仕組みとしては、メールをサーバに送ると添付ファイルを取り出して自動で暗号化してパスワードをつけて再添付して送りなおすものが多く、ほとんどの場合、その次のメールで自動で作成されたパスワードも送られていきます。最近では一定のサイズを越える大きな添付ファイルの場合は別サーバに保存してダウンロードURLを自動で生成して送ってくるものも出てきました。

確かに便利になったのかもしれません。しかし、誰が便利になったのかといえば、添付ファイルを送る側のみです。受け取る側は、機密情報がないものでも、毎回、添付ファイルが暗号化されて、解除にパスワードが必要になって迷惑、この上有りません。しかも、それによってファイルのコピーが増えていき、データの一貫性が損なわれていきます。このようなメールの受信側の受難は長らく続くことになりそうで、困ったものです。

なぜ、こんなことになってしまったのでしょうか?

メールには、そもそもS/MIMEやPGP/MIMEといった立派な標準暗号化規格があるのですが、まったく普及しませんでした。これは両方共に公開鍵管理方式を採用していて、非常に強固なしくみなのですが、暗号鍵の鍵管理をしなければならず、送信者、受信者ともにそれなりにセキュリティ知識を要するからです。

この添付ファイルの自動暗号化は、パスワードは次のメールで来る場合は、誤送信時や、盗聴されている場合は役に立たないと思いますが、それでも「暗号化している」という変な安心感だけで独り歩きしているのではないでしょうか。

※ここからセミナーのご案内

2週間後に、このMLでよく話題にする「暗号鍵管理」のウェブセミナーを開催することになりました。今回は、MySQL5.7から機能追加された透過的テーブルスペース暗号化を利用する場合の利点と欠点、そして、どのように鍵管理をすべきかについて具体的な方法をご紹介したいと思います。

インターネットをご利用可能な環境でしたら、簡単に参加可能ですので、お気軽にお申し込みいただければと思います。
http://www.softagency.co.jp/webinar/20170309/
【ウェブセミナー開催概要】
タイトル: MySQLの暗号化機能を活用するための鍵管理入門

MySQL5.7では無料のCommunity版を含むすべてのバージョンでInnoDBの透過的テーブルスペース暗号化機能が利用できるようになりました。しかし、暗号化というものは暗号鍵の管理がとても重要になります。この暗号鍵をどのように管理すればよいのか、実際の動作を確認しながら、Community版でも活用できるノウハウを含めて紹介します。

日時:      2017年3月9日(木)16:00 – 17:00
参加費:     無料(事前登録制)
参加方法:    インターネットに接続可能なPCとヘッドセットをご用意ください。
         前日までに参加するためログインURLをご連絡します。
主催:      株式会社ソフトエイジェンシー
         ( MySQL 5 Specialization認定パートナー )
協力:      日本オラクル株式会社
申し込み方法:  下記、お申込みフォームよりご登録をお願いします。
         http://www.softagency.co.jp/webinar/20170309/
申し込み締切:  2017年3月8日(水)まで
お問い合わせ:  電話: 050-5505-5509
メール:     sales@softagency.co.jp

以上、よろしくお願いします。

Linuxサーバデータ暗号化ソリューション「Server-GENERAL」
http://www.softagency.co.jp/products/server-general/

MySQLのカラム単位で暗号化を実現する「MyDiamo」
http://www.softagency.co.jp/products/mydiamo/

MySQL監査のための操作記録を残せる「MySQL Enterprise Edition」
http://www.softagency.co.jp/products/mysql/#Enterprise