クラウドセキュリティの3つの懸念

オランダのセキュリティ会社であるジェムアルトが全世界で実施した2016年グローバルクラウド データ セキュリティ調査によると、現在、36%の回答者が自社のITやデータ処理にクラウドを活用していると回答し、今後、2年間で45%まで増加すると予測しています。

この中でもクラウドセキュリティ対策は重要性が増すことが示されていますが、企業がコンプライアンス維持にために必要なセキュリティ対策は、従来のままでは対応できないと懸念が示されています。実際、クラウド利用に対するセキュリティ対策は積極的に取り組んでいるが対応が追いついていないという担当者が多くいます。

このレポートで示されている懸念は大きく3つあります。

1)シャドーIT
シャドーITとは企業のセキュリティ管理の届かないところで従業員がクラウドサービスを利用してしまうことです。社内のコンピュータがウェブを閲覧できるのであれば、簡単にさまざまな無料のクラウドサービスを利用することができます。また、スマートフォンでも多くのアプリを無料で利用可能であり、これらをすべて制限することはかなり困難なことです。

2)暗号化
クラウドサービスを暗号化して利用していると答えた回答者はわずか34%でした。約3分の2近いユーザはデータ機密の重要性を理解しつつも暗号化を考慮せずにクラウドサービスを利用しています。レポートでは今後暗号化の重要性はさらに増していくとしています。

3)多要素認証
依然として多くのサービスはIDとパスワードだけの認証を採用しています。そして3分の2以上の回答者がクラウド利用でユーザIDの管理がさらに困難になると回答しています。特に第三者や関係者に対して自社クラウドへのデータアクセスを許可するのであれば、ワンタイムパスワードや生体認証などの多要素認証を用いたユーザ管理を強化すべきだとしています。

今後、企業活動においてクラウドサービスを利用する機会はさらに増えていくことでしょう。このとき企業データを保護するという目的を達成するために、これらのことを念頭に進めていただければと思います。

クラウドのデータベース常時暗号化サービスとベンダー依存問題

今週、マイクロソフトは自社のクラウドサービス「Microsoft Azure」内のデータベースサービスである「Azure SQL Database」の常時暗号化を実現する「Always Encrypted」を発表しました。

データベースの暗号化はAmazon AWSなどでも利用可能ですが、機能的にはよく似ています。つまり、専用の鍵管理システムがあり、そこから暗号鍵を取り出してデータを暗号化します。Azureの場合は「Azure Key Vault」、AWSでは「AWS Key Management Service」です。

このように各社独自の暗号鍵管理システムが存在するのですが、相互運用が出来るという話は聞きません。業界標準としてKIMP(Key Management Interoperability Protocol)という暗号鍵管理の標準もあるのですが、独自仕様のものも多く、暗号鍵管理システムはクラウド事業者の囲い込みの戦略として利用されているように見えます。

各クラウドサービスベンダー社がデータベースの暗号化を進めているのは非常に喜ばしいことではありますが、ベンダー間の鍵管理システムの相互運用は、しばらく出来そうにありません。ベンダー依存からの脱却が必要な場合は独自に暗号鍵管理システムを運用するしかなさそうです。

暗号鍵管理のハードウエア化が始まる

先日、Androidのフルディスク暗号化機能が破られる恐れがあるというニュースが流れました。Androidでは5.0から暗号化機能が利用できるようになっていて、暗号鍵の管理はKeyMasterというモジュールが利用されます。このKeyMasterの脆弱性を利用して暗号化領域へのアクセスを可能にできるということです。

暗号鍵は厳重に管理するために、同一マシン上に置かないという管理が、高度なセキュリティ運用には求められますが、スマートフォンや家電製品など、IoTなどで大量に利用される端末でそれを実現するのはコストや管理の制約があります。このため端末単体で動作するセキュリティIPコアの開発が活発になっています。

IPコアとは、簡単に言うとLSIを構成するために機能単位まとめた回路のことです。つまり、セキュリティ用の暗号化IPコアでは、ハードウエアの組込み回路して暗号鍵を扱うことで、コピーや改ざんを不可能にすることができます。

Androidの端末での暗号化では今後このようなIPコアが採用が不可欠だと研究者は言っていますし、最近では日本のルネサスエレクトロニクスが新商品として暗号化IPコアの発表をしています。今後、スマートホンに暗号化IPコアが搭載される日も近いかもしれませんね。

ログの監査でセキュリティレベルを向上させる

ログというと「記録」ということですが、ウェブシステムなどのホームページなどのアクセスログなどを一般的にはイメージされるかもしれませんが、このようなログ以外にもコンピュータ上にはさまざまログを残すことができます。ログの役割としては、サーバの負荷、ユーザの行動、プログラムの不具合などの分析のほかに、不正なアクセスがないかを確認するという重要な役割があります。

しかし、ログを確認するという作業は、ほとんどの場合トラブルが起きたときだけに確認するというところが多く、ログを効果的なセキュリティ対策の向上に利用できていません。ログという記録を残すことで、トラブルの際に原因を突き止めるためのヒントにするというのは、かなり浸透しているとは思うのですが、原因を未然に防ぐための監査はまだまだできているところは少ないようです。

さて、このログの監査ですが、重要なのは「変化に気づく」ということです。トラブルが起きてからログを分析するのではなく、定期的にログをチェックしていつもと違った動きがないかを確認します。また、システムの保守などのログインなども、事前の申請を行いあとで作業内容とログを照合するなどをすることによって、内部犯行の恐れも未然に防ぐ効果があります。

大事なデータが保存されている場所、特にデータベースや暗号化領域へのアクセスでは特にこのログの監査が重要になります。このとき管理者などの特権ユーザが操作した記録を残っていないと、ログの監査自体ができないので、そのような仕組みを普段から考えてシステムを設計することが重要になってくるでしょう。

次世代ファイルシステムでは暗号化が標準仕様となるか

WWDCというイベントをご存知の方も多いと多いと思いますが、毎年、米アップル社が開催する開発者向けのイベントがです。ここでは開発者向けという事もあり、多くの新技術が紹介されます。今年は6月の13日から17日までサンフランシスコで開催されました。

新機種や新OSの紹介がメインの中で地味に紹介されたのがアップルの次世代ファイルシステムAPFS(Apple File System)です。このファイルシステムは最近の主流の半導体ディスクであるSSDやフラッシュストレージなどを前提とした64ビットファイルシステムなのですが、注目すべきは主要な機能として暗号化が搭載されていることです。

このAPFSの暗号化の特徴は、単純なディスク全体の暗号化だけでなく、個別の暗号鍵でのファイルの暗号化にも標準で対応していることです。さらにクローンやスナップショットの機能も改善されています。これらが来年以降にMacOSやiOSに搭載されていくということですから、まさにクラウドやIoTを想定した次世代のファイルシステムと言えます。

数々の暗号化ソフトウエアがある中で、現在はどれが最善かと見極めるのは大変なことですが、OSに付属しているファイルシステムが高度な暗号化を標準で実装するようになると、一般の利用者への暗号化の理解も一気に広まるのではないかと思います。

セキュリティ対策はユーザ認証対策から始まる

様々なソフトウエアやサービスを利用するのにユーザ認証は使われますが、基本的にはIDとパスワードの入力を求めるもので、ここ何十年と変わることなく使われています。インターネットにつながっていなければ、簡単なパスワードでも被害はあまり起きませんでしたが、今の時代では簡単なパスワードはすぐに解析されてしまいます。

特に一般ユーザが利用するサービスでは、アカウントの乗っ取りやなりすましなどの事件が相次いでおり、パスワードを複雑にしたり、定期的な変更を求めるものが増えています。しかし、利用するサービスが増えるたびに、登録アカウントが増えてしまう現状では、複雑なセキュリティ対策はさらにサービスを使いにくくしています。

登録アカウントの増加を避けるためにインターネット上のサービスではFacebookやGoogleのアカウントを利用したログイン方式も登場しています。他のサービスとの共用は管理は軽減されても乗っ取りによる危険は増加することになってしまいます。またICカード、ワンタイムパスワード、生体認証など、さまざまなソリューションが提案されていますが、一般のインターネット上のサービスでの利用はまだまだ少ないようです。

暗号化においてもユーザ認証は非常に重要な役割を果たします。特に誰が暗号化サービスをスタートし、誰が暗号化されたデータを読むことができるのを暗号化ポリシーとして正しく定義して運用することが重要になります。暗号化ポリシーが適切でないと簡単に暗号化を解除できてしまうこともありますので、しっかりと設計をしていただければと思います。

IoTで加速する端末データのセキュリティ対策と暗号化処理

あるコンビニの監視カメラの映像がインターネットを経由して世界中に公開されていたことが話題になったのは記憶に新しいところですが、監視カメラに限らず多くの家電製品や電子機器がインターネットに接続するようになっています。このようにあらゆる物(Things)がインターネットを経由して情報交換をすることをIoT(Internet of Things)と呼ばれています。

そのような環境の中、総務省はIoTセキュリティガイドライン(案)に関する意見募集を5/31より開始しました。この中ではIoTにおけるセキュリティ対策が一般のコンピュータとは違うということがいくつか示されています。

1)影響範囲が大きい
2)ライフサイクルが長い
3)ネットワーク環境の不十分な理解
4)性能が限られている
5)想定外の接続の可能性

などです。特に4)では性能が不十分なために適切な暗号等のセキュリティ対策がとれない場合があるとされています。IoTで使用される電子機器は省電力でCPUやメモリに制約があるものが多く十分なセキュリティ対策ができないことがあるのです。このようなことからもIoT端末でのデータ暗号化対応というものは今後の検討課題として残っているようです。

一般的に暗号化はCPU性能を必要とするものが多いので、この分野での暗号化は高性能な省電力CPUというのが必須になるのかもしれません。

仮想マシン全体の暗号化の利点と欠点

最近、仮想マシン全体を暗号化するという製品が増えてきました。パブリッククラウドやプライベートクラウドなどクラウド環境の利用が進むなかで、仮想マシン全体の暗号化というのは、情報セキュリティ上の一つの選択肢です。

この仮想マシン全体の暗号化というのは、物理マシンで例えるとディスク暗号化と考え方は、ほぼ同じです。この場合、マシンの起動時に暗号化の解除のパスワードを求められ、それが正しくないとマシンが起動しません。しかし、一般的な物理ディスクの暗号化と異なる点もあります。それは暗号鍵管理がきちんと分離されているので、暗号鍵管理に関しては強固なセキュリティを実現しています

この実際の利点としては仮想マシンのディスクイメージが盗まれたとしても簡単に起動できないということが挙げられます。しかし、一度、暗号化を解除して起動してしまえば、起動したOSのセキュリティ対策に依存することになります。つまり、このような暗号化では、起動中はOSの特権ユーザからのアクセスは自由にできてしまうことが問題となります。

これは以前こちらでも説明したことのあるディスク暗号化の欠点そのものです。これに対してフォルダ暗号化に対応した商品はフォルダ単位で暗号化できるので、そのフォルダに対して特権ユーザのアクセス制限ができるようになっています。しかし、フォルダ暗号化では通常はOSの起動後に暗号化の解除操作をするので、ディスクイメージのコピーからデータは見れなくともOSは起動されてしまいます。

このように一長一短ありますが、システムの運用基準に応じて適切な暗号化方法の選択をしていただければと思います。

ソフトウエアの固有の暗号化の限界を理解する

先日、秋葉原でOracle MySQL Innovation Day Tokyoが開催され、オープンソースデータベースMySQLの最新動向が一般向け紹介がされました。その中で前回こちらでも紹介したMySQLのデータ暗号化機能の商用版である、MySQL Enterprise TDEの機能が紹介されました。

多くの追加機能が紹介された中で、この暗号化機能に質問が集中していましたので、データベースの暗号化は多くの人にとって興味深いものであったのだと思います。また、商用版MySQLでは暗号鍵の管理を分離できる仕組みもありますので、今後、利用が増えていくことでしょう。

しかしながら、質問内容は鋭いものが多く、中でも「バイナリログ(トランザクションログ)は暗号化されるのか」という問いに対しては、「まだ対応していない」とのやりとりがあり、単にデータを暗号化しただけではセキュリティ的に不十分ということをきちんと理解している方もいて、よい質問だなと思いました。

さて、今後このように、セキュリティ対策としてアプリケーション自体がデータの暗号化に対応していくことが増えていくことでしょう。しかし、それが十分なのかどうか常に見極める必要がります。上記の質問者のようにアプリケーションの中身を深く理解している場合は問題ないのですが、そうでない場合は十分に専門家の意見を聞くようにしたほうがよいでしょう。

また、アプリケーションの暗号化が不十分な場合は、汎用的な暗号化ソリューションと組み合わせるという選択もあります。まだまだ、高度なセキュリティ基準を満たすものは、高価格なものが多いので、十分に吟味していただければと思います。

MySQLの商用版がOracle Key Vaultなどの暗号鍵管理に対応

少し前にここでMySQLがTDE(Transparent Data Encryption)透過的暗号化に対応したという話題を取りあげました。そのときは鍵管理が同一サーバに保存されるので問題があるとお伝えしました。高度なセキュリティを実現するためには暗号鍵をデータを保存するサーバとは別の場所に保存するように求められます。

オラクル社は、今回暗号鍵の外部保存に対応するためにMySQL Enterprise TDEを発表しました。これは無料のMySQLコミュニティ版と違って暗号鍵を外部に保存することができます。この鍵管理は大手ベンダーが推奨するKMIP(Key Management Interoperability Protocol)という鍵管理相互運用プロトコルを利用しています。オラクル社はではKMIP対応製品としてOracle Key Vaultを販売しています。

これでMySQLでの透過的暗号機能の環境は整ったといえるでしょう。それでは価格面ではどうでしょうか?
これらの機能を利用するためには、MySQL Enterprise EditionとOracle Key Vaultの両方を購入する必要があります。例えばMySQLサーバを1台暗号化するとすると合わせて年間300万円近くかかります。残念ながらこちらはまだまだ高価格です。

ちなみにServer-GENERALだと同等の構成だと3分の1以下の価格になります。さらに鍵管理サーバをメーカのクラウドに任せる場合は20分の1の価格の年間15万円弱で実現できます。これなら年間の予算としてもお求めやすい価格帯ではないかと思います。

暗号化関連のセキュリティ商品というのは、同等の機能でも大きな価格差がありますので、じっくりと検討していただければと思います。