Security Online Day 2023 春の陣レポート（AD）

“IT先進国”韓国の「サイレント・ウォー」から紐解く、データが価値となる時代のセキュリティ対策とは

ペンタセキュリティシステムズが語る、デジタル社会で求められるマインドセット

末岡洋子[著] / 関口達朗[写] / EnterpriseZine編集部[編]

2023/04/04 10:00

通知

なぜ韓国は「IT先進国」となったのか、セキュリティ意識も変容

　デジタル社会におけるセキュリティのアプローチを考えるにあたって、陳氏は韓国におけるセキュリティ対策の歩みを紹介した。

　韓国では、1962年に日本のマイナンバーに当たる住民登録番号制度がスタート。コロナ禍では、この番号制度を活用する電子政府の仕組みがあったことで、迅速な検査や疫学調査、ワクチン接種、全国民および自営業主などを対象とした支援金の給付を迅速に行うことができた。

　このような“IT先進国”となった背景として、1997年に通貨危機に陥り、国際通貨基金（IMF）の救済を受けたことが挙げられる。通貨危機から立ち直るにあたって、国をあげての産業にITを据えるという「ITコリアビジョン」を掲げた。このビジョンが軌道に乗っていくと、2000年頃にはIMF危機を克服して、電子政府としての構造も整えている。一見順調に見えるが、IT分野が急成長した一方で「影の部分」が見え始めたという。

　2002年に健康保険公団の病歴情報が漏洩する事件が起きると、2004年には携帯キャリアの情報漏洩事件が発生。なんと、92万人もの顧客の携帯電話番号と住民登録番号が流出する事態となった。

　「ITが人々の生活に浸透する中で、サイバーセキュリティへの懸念が社会問題になった」と陳氏。韓国政府は、対応策として個人情報保護法など各種の規制を進めていく。2014年に住民登録番号の暗号化が義務付けられると、翌年には損害賠償制度も導入された。

　こうした韓国の事例を説明する中で陳氏は、「攻撃者が狙うものはデータであり、韓国政府はデータを保護できるだけでなく、漏えい被害などを最小限に抑える方法を模索した。その結果として、『データ暗号化』を法律上で明記している」と説明する。

　なぜ、「データの暗号化」がデジタル社会におけるセキュリティ対策として有効なのか。陳氏は、「データがどこに、どのように保存されているのか」「データは誰に流通され、保存されているのか」「利用済みデータはどこで、どのように処理するのか」という、3つのポイントを挙げる。特定のデータを暗号化して保存することで、権限付与とアクセス制御が可能になるだけでなく、ログ監査といった対策を講じることが可能だ。

　「リスクマネジメントとは、リスクを認識した上でコントロールすること。デジタル社会でデータを守ることは、『データの暗号化』により被害を最小限にする方法を模索すること」だと陳氏は力強く述べる。

「D'Amo」の7つの特徴

　前述したように、デジタル社会における「データの暗号化」は欠かせない。そうした認識を身をもって実感した韓国の政府機関などでも導入されているのが、ペンタセキュリティが提供するデータ暗号化製品「D'Amo」（Dはデータ、Amoは韓国語で暗号の意）だ。同製品は、OracleやMicrosoft SQL Serverを対象に、稼働中のシステムに対しても“後付け”で暗号化できるものだ。なお、MariaDBやMySQLといったオープンソース系のデータベース向けには「MyDiamo」という特化型の製品も用意している。

　D'Amoは、管理コンソールとセキュリティエージェントというシンプルな構成。セキュリティエージェントをデータベースサーバーにインストールし、管理コンソールから暗号化や複号化、ポリシー設定を行えるという。

　陳氏は、D'Amoにおける主な特徴として、以下の7つを挙げる。

アプリケーションからの独立性：稼働中のシステムに対して暗号化モジュールをアドオンする仕組みであり、アプリケーション側のSQLクエリの変更は不要。透過的にアプリケーションを利用できる
カラムを選択して暗号化：データベース全体の暗号化ではなく、マイナンバー番号やクレジットカード番号など機密性が必要とされるデータに対して、暗号化の対象をカラム単位で選択できる。これにより、暗号化前後のパフォーマンス劣化を最小限に抑えることが可能だ
DBAとセキュリティ管理者の職務分掌：スーパーユーザーの権限を持つDBA（データベース管理者）とセキュリティ管理者の職務を分離でき、役割に応じた権限を実現できる。たとえば、DBAによる“不要なデータ参照”などを制限できるため、管理者権限を所有するアカウントによる不正対策を講じることも可能だという
暗号化カラムに対する暗号化・復号権限の制限：カラム単位での暗号化により、データベースのユーザー単位で暗号化・復号の権限を指定できる。これにより、データごとの権限管理も行える
多様なアクセス制御機能：OSアカウントやIPアドレス、MACアドレス、アプリケーション名、時間などを基準にしたデータベースシステムへのログイン制御、暗号化を施したカラムへのアクセス制御などが可能
暗号化カラムのアクセス履歴とポリシー監査：ログ監査機能を統合することで、暗号化カラムのアクセス履歴、セキュリティ管理者の操作履歴などの証跡を記録できる
統合セキュリティ管理ツール：直感的に操作できる管理コンソールを用意しており、複数のデータベースを統合的に運用できるため、管理者の負担軽減にもつながる