セキュリティ課題を
解決するためのヒント

企業に求められる情報資産の保護対策

ーVormetric製品を使用した
暗号化システムによるデータ保護ー

不正アクセスや誤操作など、さまざまな原因による情報漏えいの頻発、改正個人情報保護法の施行や海外でのデータ保護に関する法令の厳格化など、企業に対する情報資産の保護への要求は、ますます高まっています。データ保護においては、情報漏えい自体を防ぐことがもっとも重要なのは言うまでもありませんが、一方で不幸にも情報漏えいが発生してしまった場合の対策を準備しておくことも必要です。

万が一、情報が流出してしまったとしても、そのデータが判読できない状態、つまり秘匿化されていれば問題ありません。そういった、データの秘匿化を実現する代表的なソリューションが「暗号化」です。

この記事では、暗号化の重要性について解説するとともに、キヤノンマーケティングジャパングループが提供する暗号化ソリューションである、Vormetric(ボーメトリック)製品を紹介します。

記事インデックス

  • 企業が守るべき情報資産
  • 企業に課せられるデータ保護施策
  • Vormetric製品によるデータの暗号化
  • Vormetric製品によるデータのトークナイゼーション
  • Vormetric製品によるトークナイゼーションシステムの導入事例
  • まとめ

企業が守るべき情報資産

情報資産とは

「情報資産」とは、情報セキュリティにおいて保護しなければならない価値あるもののことです。いかなる業種・規模の企業にも、守るべき情報資産があります。具体的な企業の情報資産は、以下の通りです。

企業を狙う不正アクセスの脅威

近年、こういった企業の情報資産は、さまざまなセキュリティ脅威、つまり情報漏えいの危険にさらされています。情報漏えいの原因はさまざまですが、企業がとりわけ警戒すべきは「不正アクセス」による漏えいでしょう。

不正アクセスによる情報漏えいは、後を絶たない状況にあり、極めて深刻なセキュリティ脅威のひとつです。たとえば、IPA(情報処理推進機構)が発表した、2017年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける脅威をランクづけした「情報セキュリティ10大脅威 2018」では、1位と2位にインターネットバンキングやクレジットカード情報などの不正利用、標的型攻撃やランサムウェアといった脅威がランクインしています。また、日本ネットワークセキュリティ協会(JNSA)が発表した「2017年情報セキュリティインシデントに関する調査報告」では、不正アクセスによる情報漏えいが、「誤操作」「紛失・置き忘れ」に次いで3位でした。さらにまた、KMIP対応デバイスとの鍵のやり取りも可能です。2018年も、さまざまな企業・公共機関において、不正アクセスによる情報漏えいが発生しています。

情報漏えいが企業価値の損失を招く

情報漏えいにおける最大の被害は、言うまでもなく「情報を盗まれてしまう」「情報が外部に知られてしまう」ことです。しかし、被害はそれだけに留まりません。

情報漏えいの発生によって、顧客離れや売上げの減少といった直接的な被害をはじめ、対応窓口の設置やマスコミ対応、謝罪広告といった経費増大による間接的な被害、そしてブランドイメージの低下や取引先からの信用の低下、株価の低迷、流出した情報の不正使用による詐欺事件の発生など、企業の経営基盤を揺るがすような、深刻な影響につながってしまうのです。

参考リンク

企業に課せられるデータ保護施策

個人情報とは

前述したように、企業にはさまざまな情報資産があります。そういった情報資産の中でも、とりわけ厳重に取り扱わなければならないのが「個人情報」です。

個人情報は、2017年5月30日に施行された「改正個人情報保護法」によって「生存する個人に関する情報であって、特定の個人を識別することができるもの」と定義されています。また、特定の個人を識別できる情報はすべて個人情報であり、マイナンバーや運転免許証番号、保険者番号、旅券番号、顔認証データ、指紋認証データといった、その情報単独または他の情報と照合することで個人の識別が可能な文字、番号、記号などを含む「個人識別符号」も個人情報です。

個人情報の取り扱いについては、先にも述べた改正個人情報保護法で定められています。企業が個人情報を取り扱う際には、この法律に従わなければなりません。

海外における個人情報保護に関する法令

改正個人情報保護法は、日本国内における個人情報の取り扱いについて定めた法律(個人データを海外の第三者へ提供する場合に関する規制も定められています)ですが、海外の企業と取引を行う場合は、海外における個人情報保護に関する法令に従う必要があります。海外の個人情報保護に関する法令の中でも、代表的なものが「EU一般データ保護規則」(GDPR:General Data Protection Regulation)で、2018年5月25日に施行されました。GDPRは、個人データの保有者の居場所の法律が適用される “データ主権の概念” に基づいた法規制で、日本国内の企業や団体も、EU域内の住民データを取り扱う場合は、GDPRが適用されます。

データ暗号化はセキュリティ対策の基本

個人情報を含む、企業のデータを保護するための、もっとも重要かつ基本的なセキュリティ対策が「データの暗号化」です。データ暗号化の重要さは、経済産業省が公開している「個人情報保護に関する法律についてのガイドライン」において暗号化を効果的な対策として紹介していることや、「サイバーセキュリティ経営ガイドライン」において“重要なデータは暗号化すべき”と述べられていること、GDPRにおいて“必要に応じて個人情報の仮名化と暗号化を実施せよ”と記載されていることからもうかがわれます。

参考リンク

Vormetric製品によるデータの暗号化

Vormetric製品の概要

企業におけるデータ暗号化ソリューションとして、キヤノンマーケティングジャパングループが提供しているのが、米Thales e-security, Inc.(タレス・イー・セキュリティ社)による保存データのセキュリティを効率的に実現するプラットフォーム「Vormetric Data Security Platform」です。

日本国内では、キヤノンITソリューションズが同社の一次販売代理店となっており、メーカー保守と連動して、各種サービスの一次窓口を提供しています。

参考リンク

透過暗号によるデータの保護

「Vormetric Data Security Platform」によるデータ保護の大きな特長のひとつが、「透過暗号」です。透過暗号は、サーバーに保存されたファイルやデータベースファイルなど、ファイルの種類を問わず透過的に暗号化および復号を実現します。透過暗号によって、ユーザーは暗号化を意識することなく、ハードディスクへのデータ書き込み時には暗号化、読み込み時には復号という処理を自動で実行できるほか、クライアントPCへ特別なソフトウェアのインストールが不要なので、導入期間の短縮および運用、コストを抑えることが可能です。

対応プラットフォームはWindowsサーバーやLinux系サーバーOS、データベースはDB2やMySQL、NoSQL、Oracle、SQL Server、Sybaseなどに対応しており、さらにHadoopをはじめとするビッグデータや、Dockerコンテナにも対応しています。

暗号化は、暗号アルゴリズムや暗号鍵とならんで、暗号鍵の管理が重要です。暗号鍵は、暗号化したデータとは別の、専用の鍵管理サーバーで保管することが推奨されています。

Vormetricの鍵管理サーバー(DSM:Vormetric Data Security Manager)はアプライアンスで提供されており、米国国立標準技術研究所(NIST:National Institute of Standards and Technology)が制定した暗号アルゴリズムを搭載していて、暗号鍵の生成/管理、ポリシーの生成/管理、HA機能によるDSMクラスタ内での鍵の同期、ログ管理、管理者による集中管理が可能です。

広範な暗号化を実現する「Vormetric Data Security Platform」

Vormetricのアプリケーション暗号は、広範な暗号化に対応しています。たとえば、RESTful APIや.NET、Java、C言語をサポートしており、API連携によって、企業が独自に開発・運用しているアプリケーションやデータベースの暗号化が可能です。

鍵管理サーバーは他ベンダーの暗号鍵も管理でき、Oracle TDEやSQL Server TDEなどとも連携できます。

また、KMIP対応デバイスとの鍵のやり取りも可能です。

VMwareでは、VMware vSphere 6.5 から仮想マシンの暗号化機能が実装されています。VMware環境で暗号化機能を使用する場合は、サードパーティーの鍵管理サーバー(KMS:Key Management Server)が必要です。

Vormetricの鍵管理サーバー(DSM)は、VMwareのKMSとして認定されています。

また最近は、コンテナ技術を使用している企業が増えています。

そのコンテナ環境に、Vormetricが提供するエージェントソフトウェアをインストールすると、コンテナ毎に暗号化が可能です。

Vormetric製品は単体でログを取得していますが、長期間ログを保存する場合、「Logstorage」など他社のログ管理システムとの連携を推奨しています。

syslog設定すると、ログ管理システムへ転送され、「いつ」「誰が」「何をしたか」などの詳細なログを記録、保存できます。

参考リンク

Vormetric製品によるデータのトークナイゼーション

トークナイゼーションとは

暗号化機能のひとつとして、「トークナイゼーション」が利用できます。一般的な暗号化の場合、暗号化すると文字数(桁数)やデータ形式が変わってしまいますが、トークナイゼーションでは暗号化前の文字列の文字数(桁数)やデータ形式を維持したまま、暗号化(難読化、無価値化)することが可能です。

文字数(桁数)やデータ形式が変わらないということは、既存のデータベースを修正することなくデータを暗号化できることを意味します。つまり、より手間や費用を抑えた導入が可能というわけです。

なお、トークナイゼーションによってデータを暗号化することを「トークナイズ」、復号すことを「デトークナイズ」と呼びます。

トークナイゼーションによる個人情報の匿名加工

近年は、消費者動向の把握などを目的に、企業や自治体などが持つ個人情報を含むビッグデータの利活用が盛んです。もちろん、個人情報をそのまま他の目的に利用するのは(事前に相手から承諾を得ていない限り)法令違反となるため、個人の特定が不可能になるような匿名加工が必要となります。個人情報を個人が特定できないように加工するとともに、元の情報への復元を不可能にすることで、本人への同意なしで第三者に提供できるようにしたものが「匿名加工情報」です。

トークナイゼーションを使用すれば、個人情報の匿名加工を比較的容易に行えます。

Vormetric製品によるトークナイゼーションの実現

トークナイゼーションシステムを構成しているのが、鍵管理サーバー(DSM:Data Security Manager)と、トークナイゼーションサーバー(VTS:Vormetric Tokenization Server)です。トークナイゼーションの実行にあたってトークンボルトは不要なため、非常にシンプルな構成を実現しており、短期間での導入が可能となっています。

トークナイゼーションには、一般的な暗号化と同様に「鍵」が必要です。トークナイズ時に使用する鍵を変更するとトークナイズ後の文字列(トークンデータ)が変わります。また、トークナイズに用いる鍵とデトークナイズに用いる鍵が異なると復元できません。

トークナイゼーションは、桁数やデータ形式を維持した状態で原本データを無価値化・秘匿化します。現バージョンは、マルチバイト文字(全角のひらがな、カタカナ、漢字、数字、記号)にも対応しているので、個人情報の保護対策としても活用できます。

トークナイゼーション機能はREST-APIでアプリケーションと連携しますので、開発工数を大幅に減らせます。

パフォーマンス面では、単体エンジンで毎秒20万トランザクション処理できるほか、クラスタ構成にも対応するなど、高いスケーラビリティを実現しています。

Vormetric製品によるトークナイゼーションシステムの導入事例

クレジットカードを取り扱う事業者に求められるトークナイゼーション

トークナイゼーションが役立つ業種として、まず挙げられるのが、クレジットカードを取り扱う事業者でしょう。オンラインショッピングをはじめとするネット取引の増加にともない、クレジットカードの利用が増加する一方で、カード情報の漏えいによるクレジットカードの不正使用も増えています。それを受けて、クレジットカード取扱業者などによって組織される「クレジット取引セキュリティ対策協議会」では、加盟店にカード情報を持たせない「非保持化」を進めているのが現状です。

そういった加盟店におけるカード情報非保持化の流れの中で、カード情報の無価値化が可能で、既存のシステムを大きく変更することなく、比較的容易に導入できるVormetricが、クレジットカードを取り扱うさまざまな事業者に導入されています。

SMBCファイナンスサービス社へのVormetric製品の導入事例

SMBCファイナンスサービス社は、Vormetric製品によるトークナイゼーションシステムを導入しているクレジットカード事業者のひとつです。クレジットカードの決済代行を行っている同社は、加盟店におけるクレジットカード情報の非保持化を目的として、自社システム(決済ステーション)へ「Vormetric Tokenization with Dynamic Data Masking」を導入して、トークン決済サービスを提供することで、加盟店のカード情報非保持化を実現しています。

参考リンク

まとめ

記事の冒頭でも述べたように、情報漏えいや、それに伴う企業価値の損失を防ぐためにも、企業にとってデータ保護は必須のセキュリティ対策であり、データ保護の基本となるのが暗号化です。また、トークナイゼーションは企業が抱える膨大なデータの、適正かつ有効な利用に役立つでしょう。

Vormetric製品は、シンプルな構成と容易な設定、短期間での導入、優れたパフォーマンス、そして安全な鍵管理によって、強力なデータ保護を実現します。詳しくは、Vormetric製品のWebページをご参照ください。Vormetric製品のWebページでは、前述のSMBCファイナンスサービス導入事例など資料のダウンロードや、製品評価版の申し込みが可能です。

参考リンク

太田 高明
キヤノンITソリューションズ株式会社
ITインフラセキュリティ事業部
※所属は2018年11月現在のものです

セキュリティに関する情報を動画で解説中

  • データ保護対策

    視聴時間:32分

    クレジットカード情報の保護対策 ~Vormetricトークナイゼーションによるカード情報の無価値化~

  • データ保護対策

    視聴時間:34分

    データ保護規則対策は十分ですか? ~高度な暗号化で企業や組織内に保管された個人情報及び秘密情報を守る~

本記事に関連する内容を動画でも解説しています。視聴をご希望の方は上記よりお申し込みください。

トップへ戻る

セキュリティに関するお問い合わせ

メールでお問い合わせ