日本で導入進まない「データベース暗号化」
日本企業による大規模な情報漏えい事故が後を絶たない中、その対策としてデータ暗号化ソリューションを導入する企業が増えている。機密情報や個人情報が含まれるデータを暗号化しておけば、万が一その流出を許してしまったとしても第三者が内容を読み取ることはできないため、情報漏えいを防ぐことができる。実際にファイルを暗号化したりPCのディスクを暗号化したりするようなセキュリティ製品の導入数は年々増えている。
ただし「データベースの暗号化」にまで踏み込む日本企業は、まだ少数派のようだ。データ暗号化ソリューション「D'Amo(ディアモ)」の開発元として知られるペンタセキュリティシステムズの美濃部崇氏によれば、海外と比べてサーバーやデータベースに係るセキュリティ対策が後回しにされる傾向があるという。
「欧米や弊社の本国である韓国でも、企業のITセキュリティというとまずサーバー管理の在り方が問われますが、多くの日本企業はPCなどエンドポイント端末に対するセキュリティ対策は積極的に進める一方、一般社員の目に見えないところで動いているサーバーやデータベースへの対策は疎かになる傾向があります。特にデータベースに関しては、システム管理の現場においても暗号化の導入を積極的に検討されている例は少ないのではないでしょうか」(美濃部氏)
データベース管理者が最も優先すべきミッションは、データベースの“安定稼働とパフォーマンスの確保”だ。そのため、データベースの暗号化製品を導入することで、この両方に対してネガティブな影響を及ぼす可能性が少しでもあると、どうしても消極的になりがちだ。
もちろん、セキュリティに対して無頓着というわけではない。事実、多くの企業がデータベースのログ監査やアクセス制御といった対策は講じている。しかし、もう一歩先、漏洩が発生した場合の被害を防ぐ“データ保護対策”にまで踏み込んでいる例は少ない。こうした状況に対して、美濃部氏は次のように警鐘を鳴らす。
「トップダウンで物事を進める欧米企業とは異なり、現場力を重視する日本企業は、これまで事業部門ごとに最適なシステムを導入する傾向があります。結果的にデータが社内のあらゆる場所に散在する状況が生まれ、どこに・どのような個人情報や機微なデータが存在するのか、IT部門やセキュリティ担当者でさえ把握することが困難となり、企業のセキュリティ対策の大きな弊害となっています」(美濃部氏)
そのため、本来はこうした事業部門とITシステムを俯瞰できるような立場にある意思決定層こそが、リスク管理の観点で組織のデータを集約化し、保護すべきデータとは何か識別する必要があると、美濃部氏は強調した。
データベース暗号化の方式ごとのメリット・デメリット
サイバー犯罪者が窃取を狙う機密情報は、PCなどのエンドポイント上ではなく、サーバーやデータベース上で管理されている。つまり、機密情報の保護を検討するにあたり、データベースに格納されているデータ自体を暗号化しておくことは優先度の高い有効な対策であり、万が一盗まれたとしても情報の中身が読み取れない。まさに社員や顧客、事業を守るための“最後の砦”ともいえるだろう。
しかしながら、実際にデータベース暗号化の導入を検討してみると、一筋縄ではいかないことがわかる。たとえば、対策に踏み切ろうと考えるとき、暗号化の仕組みを独自実装する方法を真っ先に検討する企業も少なくない。“暗号化機能を提供するライブラリやAPIをプログラムから呼び出せば、手っ取り早く暗号化機能を実装できるのではないか?”と多くの開発者が考えるが、実際には相当な時間やコストを要してしまい、費用対効果やセキュリティの担保の観点から断念するケースが多い。
また、時間やコストを覚悟の上で断行し、独自実装に踏み切った結果、被害が出たケースも報告されている。2023年1月、韓国の大手通信キャリアにおいてサイバー攻撃による大規模な情報流失事案が発生した。何がまずかったのか。実は、被害にあった企業では法律に基づいて暗号化機能を内製して実装していたものの、現実には破られてしまって情報流失につながったという。
そこで内製以外の手段として考えられるのが、データベースソフトウェアが備える暗号化機能を利用する方法だ。たとえばOracle Databaseには「TDE(Transparent Data Encryption)」と呼ばれる暗号化機能があり、これを使えば比較的容易にデータベースの暗号化を実装することはできる。しかし、TDEを利用するためには特定のエディション等の利用条件が障壁となる例も多く、また機密性の意味ではサーバー基盤のデータファイルの保護に留まる。
そこで多くの企業がたどり着くのが、データベースの暗号化機能に特化したサードパーティー製品を利用する方法だ。既存のデータベースにアドオンする形で導入することを前提とし、システムの変更やアプリケーション開発にかかる手間や追加コストを最小限に抑えられる。一見すると都合の良い要件に見えるが、実際には現在日本で入手できるデータベース暗号化製品は極めて数が少ない上、現場レベルの導入方法や技術サポート情報が少ないサードパーティー製品の導入は、データベース管理者にとって様々な不安が付きまとう。
「データベースシステムの暗号化とは、ファイルシステムやDBインスタンス、アプリケーションに実装する場合等、一連のシステムのどこで暗号化・復号するか等の選択肢があり、それぞれデータ保護範囲の差異もあります」と美濃部氏は語る。
そのため、どのような選択をしてもメリット・デメリットはあるため、それらをよく理解した上で、導入コストとセキュリティの観点からシステム用途に応じた実現性のある選択をすることが重要だという。
「多くのデータベース管理者が特に懸念するのが、パフォーマンスの低下です。データベースに詳しい人ほど、データの暗号化・復号処理による負荷増加で、既存データベースの性能が大きく低下してしまうのではないかと考えるでしょう」(美濃部氏)
大手企業で導入相次ぐ「D'Amo」とは?
こうした課題を抱える企業の間で最近注目を集めているのが、前出の「D'Amo」だ。開発元のペンタセキュリティシステムズは、韓国に本社を構えるセキュリティベンダーであり、同国で2000年代に多発した大規模な情報流出事故に際して、政府と協力して対応してきた現場仕込みの実力派と言える。欧米の有名企業でも導入されており、既に韓国ではトップベンダーとして国家機関や大手企業にソリューションを提供するなど実績も折り紙付きだ。
そして、D'Amoは暗号化をはじめデータベースを保護するための様々な機能をワンパッケージでまとめて導入できる製品であり、その特徴について次のように美濃部氏は説明する。
「D'Amoのデータベース暗号化機能は、データベース導入時やアプリケーション開発時に組み込むことも可能ですが、既存のデータベース環境にアドオンする形で付加することも可能です。こうした特徴から、これまでのデータベース環境のデータ保護を目的としたソリューションとして数多くの企業に採用されています」(美濃部氏)
また、多くのデータベース管理者が危惧するパフォーマンス問題についても、これを回避するための様々な工夫が凝らされている。たとえば、データベース内の暗号化・復号処理に関しては、過去幾多のバージョンアップを経て、処理効率を最大限追求した実装方法が採用されているという。さらに、データベースの検索処理に関しても「暗号化インデックス」オブジェクトを用いて応答性能の劣化を抑えるための特許技術を実装している。
加えて、暗号化だけでなくアクセス制御やポリシー監査といったデータベースセキュリティで必要とされる機能を網羅しているため、既存のデータベース環境にD'Amoを導入するだけで、データ・セキュリティを強化できる点も特長だ。そのため、必要に応じてオプション機能やポイントソリューションを個別導入する場合と比べ、導入コストを低く抑えることができるという。
データベース管理者が主体的にデータ保護ソリューションを実装する
現在、日本市場でD'Amoというと、主にOracle DatabaseやMicrosoft SQL Serverにアドオンできる暗号化ソリューションとして知られている。ただし、単にアドオンできるだけでなく、前述したようにデータベース管理者が抱きがちな暗号化に対する不安を和らげる数々の機能や特徴を備えている点が注目ポイントだ。
「既存のデータベース環境において、後付けで“暗号化”を導入できることがD'Amo( Plug-in型)の特徴のひとつですが、アプリケーション開発を前提としない『透過的暗号化』を実現できる点も高く評価されています。多くのデータベース管理者はアプリケーションに影響が及ぶシステム変更を嫌いますが、D'Amoならアプリケーションクエリーを維持した状態で暗号化を導入できます」(美濃部氏)
また、導入・運用にあたっては、独自のスキルが必要とされることもほとんどない。基本的には、Oracle DatabaseやSQL Serverの標準基盤の上に実装されているため、データベース管理者が有している一般的なスキルさえあれば容易に理解できるという。
「現場のデータベース管理者の方々は、D'Amoのようなサードパーティー製品や新たなセキュリティを導入することに抵抗を示す方もいらっしゃいます。しかし実際にお客様の環境で製品の検証を行ってみると、従来のデータベース管理の延長線上でデータが保護できることを理解していただけるため、ほぼ例外なく本格導入に至っています」(美濃部氏)
なお、D'Amo自体は元々Oracle DatabaseやSQL Serverに特化した製品ではないため、様々なデータベースシステム環境に対応できるだけのソリューション・ラインナップを有しており、そのモジュール数は30種類以上に及ぶという。また、既に法的に特定データの暗号化が義務付けられている韓国国内を中心に数多くの採用事例を持つため、様々な用途や環境ごとのベストプラクティスを多数取り揃えている点は、導入担当者にとっても心強い。
最後に、こうした豊富な実績や知見を基に、今後日本の企業・組織に対してその価値をさらに広く訴求していきたいと美濃部氏は抱負を述べる。
「今後日本企業のDXや社会全体のデジタル化が進むにつれ、個人情報やプライバシーに関してのデータ保護に対する要求がさらに高まるはずです。そうした社会的要請に応えるためにも、データベース暗号化はもちろんのこと、アプリケーションの暗号化開発やOS・カーネルレベルでの暗号化、暗号化鍵の統合管理など、弊社が持つその他のポートフォリオも日本市場に展開する計画があります。その上で、データベース担当者の方はもちろん、社会的なニーズと課題に応えていきたいと考えています」(美濃部氏)