デジタル社会化する日本、変化するセキュリティの考え方
ペンタセキュリティシステムズは、1997年に韓国の浦項工科大学校(POSTECH:Pohang University of Science and Technology)で暗号技術を専攻していた大学院生6人が立ち上げたセキュリティ企業。「Secure First, Then Connect(セキュリティからはじまる。そしてつなぐ。)」をビジョンとして124件の特許、61件の認証を保有している(講演時点)。
同社の事業領域は、Webセキュリティ、データ暗号化など企業向けの情報セキュリティ、コネクテッドカーなどのIoTセキュリティ、ブロックチェーンの3種で、各領域でR&D組織をもつ。また、全世界に6,000社以上の顧客を持ち、世界95ヵ国70万以上のWebサイトを保護するなど「DXのためのグローバル専門家グループ」と陳氏は紹介する。
講演の冒頭、日本社会におけるデジタル化の潮流について分析し、重要な動きとして「マイナンバー制度」「デジタル庁」「GIF公開」の3つが挙げられた。
マイナンバーについては、「2023年3月5日時点で、マイナンバーカードの有効申請受付数は人口の75.1%に到達しており、デジタル社会のベースができつつある」と陳氏。そうした動きをリードするデジタル庁についても、国や地方行政のIT導入やDXの推進という点において「継続性と持続性のある施策を推進できる組織」だと評価する。また、GIFとは、同庁が公開する『政府相互運用性フレームワーク(Government Interoperability Framework)』を指す。このGIFが公開されたインパクトについて、「データを使いこなすための基盤が整備された」と語った。
この重要な3つの動きに触れながら「デジタル社会では、『データ』が鍵となっている」と陳氏。社会が変われば、新たなセキュリティ対策が必要となる。これまでのセキュリティは、機密性を重視していた。情報共有が狭い範囲で行われていたために、ネットワークを閉じることで安全性を担保するような考え方である。一方、今の日本が置かれているデジタル社会は、インターネットを基盤としてビジネスが成立する「オープンソサエティ」だ。ビジネスの価値は、“相互接続性”と“相互価値共有”により生まれている。
では、デジタル社会のセキュリティをどのように考えるべきなのか。いち早くデジタル政府を推進し、コロナ禍でのITを活用した取り組みが注目を集めた韓国の事例から見てみよう。
なぜ韓国は「IT先進国」となったのか、セキュリティ意識も変容
デジタル社会におけるセキュリティのアプローチを考えるにあたって、陳氏は韓国におけるセキュリティ対策の歩みを紹介した。
韓国では、1962年に日本のマイナンバーに当たる住民登録番号制度がスタート。コロナ禍では、この番号制度を活用する電子政府の仕組みがあったことで、迅速な検査や疫学調査、ワクチン接種、全国民および自営業主などを対象とした支援金の給付を迅速に行うことができた。
[画像クリックで拡大]
このような“IT先進国”となった背景として、1997年に通貨危機に陥り、国際通貨基金(IMF)の救済を受けたことが挙げられる。通貨危機から立ち直るにあたって、国をあげての産業にITを据えるという「ITコリアビジョン」を掲げた。このビジョンが軌道に乗っていくと、2000年頃にはIMF危機を克服して、電子政府としての構造も整えている。一見順調に見えるが、IT分野が急成長した一方で「影の部分」が見え始めたという。
2002年に健康保険公団の病歴情報が漏洩する事件が起きると、2004年には携帯キャリアの情報漏洩事件が発生。なんと、92万人もの顧客の携帯電話番号と住民登録番号が流出する事態となった。
「ITが人々の生活に浸透する中で、サイバーセキュリティへの懸念が社会問題になった」と陳氏。韓国政府は、対応策として個人情報保護法など各種の規制を進めていく。2014年に住民登録番号の暗号化が義務付けられると、翌年には損害賠償制度も導入された。
[画像クリックで拡大]
こうした韓国の事例を説明する中で陳氏は、「攻撃者が狙うものはデータであり、韓国政府はデータを保護できるだけでなく、漏えい被害などを最小限に抑える方法を模索した。その結果として、『データ暗号化』を法律上で明記している」と説明する。
なぜ、「データの暗号化」がデジタル社会におけるセキュリティ対策として有効なのか。陳氏は、「データがどこに、どのように保存されているのか」「データは誰に流通され、保存されているのか」「利用済みデータはどこで、どのように処理するのか」という、3つのポイントを挙げる。特定のデータを暗号化して保存することで、権限付与とアクセス制御が可能になるだけでなく、ログ監査といった対策を講じることが可能だ。
[画像クリックで拡大]
「リスクマネジメントとは、リスクを認識した上でコントロールすること。デジタル社会でデータを守ることは、『データの暗号化』により被害を最小限にする方法を模索すること」だと陳氏は力強く述べる。
「D'Amo」の7つの特徴
前述したように、デジタル社会における「データの暗号化」は欠かせない。そうした認識を身をもって実感した韓国の政府機関などでも導入されているのが、ペンタセキュリティが提供するデータ暗号化製品「D'Amo」(Dはデータ、Amoは韓国語で暗号の意)だ。同製品は、OracleやMicrosoft SQL Serverを対象に、稼働中のシステムに対しても“後付け”で暗号化できるものだ。なお、MariaDBやMySQLといったオープンソース系のデータベース向けには「MyDiamo」という特化型の製品も用意している。
D'Amoは、管理コンソールとセキュリティエージェントというシンプルな構成。セキュリティエージェントをデータベースサーバーにインストールし、管理コンソールから暗号化や複号化、ポリシー設定を行えるという。
[画像クリックで拡大]
陳氏は、D'Amoにおける主な特徴として、以下の7つを挙げる。
- アプリケーションからの独立性:稼働中のシステムに対して暗号化モジュールをアドオンする仕組みであり、アプリケーション側のSQLクエリの変更は不要。透過的にアプリケーションを利用できる
- カラムを選択して暗号化:データベース全体の暗号化ではなく、マイナンバー番号やクレジットカード番号など機密性が必要とされるデータに対して、暗号化の対象をカラム単位で選択できる。これにより、暗号化前後のパフォーマンス劣化を最小限に抑えることが可能だ
- DBAとセキュリティ管理者の職務分掌:スーパーユーザーの権限を持つDBA(データベース管理者)とセキュリティ管理者の職務を分離でき、役割に応じた権限を実現できる。たとえば、DBAによる“不要なデータ参照”などを制限できるため、管理者権限を所有するアカウントによる不正対策を講じることも可能だという
- 暗号化カラムに対する暗号化・復号権限の制限:カラム単位での暗号化により、データベースのユーザー単位で暗号化・復号の権限を指定できる。これにより、データごとの権限管理も行える
- 多様なアクセス制御機能:OSアカウントやIPアドレス、MACアドレス、アプリケーション名、時間などを基準にしたデータベースシステムへのログイン制御、暗号化を施したカラムへのアクセス制御などが可能
- 暗号化カラムのアクセス履歴とポリシー監査:ログ監査機能を統合することで、暗号化カラムのアクセス履歴、セキュリティ管理者の操作履歴などの証跡を記録できる
- 統合セキュリティ管理ツール:直感的に操作できる管理コンソールを用意しており、複数のデータベースを統合的に運用できるため、管理者の負担軽減にもつながる
完全なるブロックよりも、リスクコントロールの視点を
前述した7つの特徴を踏まえた上で、デジタル社会におけるセキュリティ対策として「D'Amo」を選ぶメリットとは何か。陳氏は一番に、稼働中のシステムに導入できる点を挙げる。
「(データベース各種の)Standardエディション、Enterpriseエディションなどの違いを問わずに導入できる。さらには暗号化のための追加のコーディングも不要で、簡単に既存システムにアドオンできる」と説明。暗号化や権限設定、アクセス制御、ログ監査といったデータセキュリティの機能が一つにパッケージ化されているため、セキュリティの専門知識がないシステム担当者でも、今あるデータベースのセキュリティを拡張できるとした。
[画像クリックで拡大]
また、D'Amoではカラム単位で暗号化しており、データベース全体を暗号化しないために不必要な処理が発生せず、「高いパフォーマンスを維持できる」と陳氏。
[画像クリックで拡大]
Oracle DatabaseやSQL Databaseなどでは、TDE(Transparent Data Encryption:透過的データベース暗号化)による表領域に対して暗号化が行われる一方で、D'Amoではデータベースのテーブル上データ、メモリ上データ、データファイルの全領域を通して暗号化を行う。そのため、「セキュリティのカバレッジが広く、D'Amoだけで高度なコンプライアンスを遵守できる」と述べる。
[画像クリックで拡大]
最後に陳氏は、「デジタル社会は、データに価値を付与する時代」だとして、「サイバーセキュリティは、“サイレント・ウォー”とも言われており、各国の安全保障問題にまで発展している。デジタル社会化が進む日本でも、より安全なデジタル基盤を構築すべき」と警鐘を鳴らす。
価値の源泉となるデータを保護するためにも、「サイバーセキュリティ対策として完全にブロックできる製品を探すのではなく、『リスクをコントロールして、被害を最小限に抑える』というマインドセットが必要」だと述べた。
