先進デジタル社会を実現した韓国 行政手続きが24時間365日可能
約30年前、Windows 95発売を契機に、世界中でインターネットの普及が拡大した。その少し後の1997年7月、アジア各国は自国通貨の大幅な下落が伝播するIMF危機に直面。韓国もこの波に飲み込まれ、一時的に経済が危機的な状況に陥った。
当時のキム・デジュン(金大中)大統領は、ビル・ゲイツ氏や孫正義氏らと会談を重ね、「国家産業を製造業からITに転換する」ことを決断。韓国はIT立国を目指すことを宣言した。ペンタセキュリティが起業したのも、ちょうどこの頃だった。当時、韓国で暗号技術を専攻していた大学院生ら6人が、将来のセキュリティ需要を見越して同社を立ち上げたのだ。
IT立国宣言以降、同国では電子政府法が制定され、IT産業育成に向けて政府が積極的に各種施策を進めていった。IT人材育成、ITスタートアップ支援、海外事業展開、製品・技術開発、産学連携など……。そうして2010年には、国連が選ぶ電子政府ランキングで1位になるまで躍進した。
デジタル化が進んでいる韓国。その例として挙げられるのが、「住民登録番号」だ。日本でいうところのマイナンバーに相当する。国民は皆、生まれると番号が付与され、17歳になると指紋登録と同時に、住民カードが交付される。この住民登録番号が個人のIDとなり、携帯番号、クレジットカード、出入国履歴など、あらゆる情報に紐付けられる。
住民はどの病院でも、住民登録番号IDから過去の診察や処方の履歴が参照できるため、健康保険証や診察券は不要だ。また、「現金領収書発行制度」という制度があり、現金決済した場合には、店舗が消費者に代わり国税庁に通知することで、消費者の年末調整に自動で計上される仕組みになっている。加えて、行政のあらゆる手続きが24時間365日オンラインで可能だ。
「『ここまでやるのか』という疑問もあるかもしれませんが、現状ではメリットのほうが上回っているため、利用者側の理解を得られています。ここでいうメリットには、デジタル化による効率アップはもちろんのこと、税金の公平性や、過去の履歴が参照できるなどの透明性も挙げられます」(美濃部氏)
情報漏えいが社会問題化、個人情報保護法で暗号化が義務に
多くの国民がデジタル化の恩恵を受けるなか、課題として浮上したのが「サイバー攻撃による個人情報の漏えい」だ。2002年には病歴情報が漏えい、2004年には携帯キャリア情報が漏えい。そして2014年には、複数のカード会社の顧客情報が漏えいし、その被害規模が延べ1億人に及んだことで同国史上最大規模の漏えい事件となったことをはじめ、個人情報漏えい事象が日常的に発生するようになった。
こうした日常的に発生するインシデントが急増すると、サイバー攻撃の脅威が国民の中で広く認識されるようになった。そして、組織の個人情報やプライバシーの管理体制に対して、厳しい目が向けられるようになってきた。それは個人情報保護法の変遷を見ても明らかだ。2003年から立法に向けた議論が始まり、2011年に施行。その後も、何度も改正を繰り返しながら管理義務と罰則が強化されていき、ついには個人を特定する情報に関して、“暗号化”という技術的措置の義務化に至っている。
とはいえ、実際に暗号化を進めていくとなると、ITの現場はいくつかの課題に直面する。
暗号化の課題①:保護対象データの識別
現場が最初に直面するのは、「個人情報はどこにあるのか?」という疑問だ。システムの棚卸しを行い、個人情報のありかを把握しなければならない。人事パッケージや各種業務システム、業務用の個人パソコン、共有フォルダのストレージ、外部に委託しているシステムなどを探っていくことになる。その際、システムや部門の垣根を越えた精査が必要となる。当然、IT部門だけで完結できる仕事ではないため、CIOやCSOなどといった役職者の指揮の下で精査していくことになるだろう。
暗号化の課題②:暗号化の実装方法の選択
暗号化するといっても、それを実装する範囲と方法は様々だ。データを扱うアプリケーションにて暗号化を実装するのか、データベース内のテーブルデータを暗号化するのか。データファイルを暗号化するのか、あるいはデバイスのデータを暗号化するのか。実装スキルやシステム基盤の差異、作業工数やセキュリティに関しても、それぞれメリットとデメリットがあるため、目的や状況に応じて取捨選択していくことになる。
暗号化の課題③:暗号化と性能
データの暗号化処理が、システムに負荷や悪影響を与えてしまうのではないかとの懸念がある。他にも、データベース内のデータを暗号化することが、内部的に過度な復号処理を発生させる、あるいはデータ順序の喪失に伴うインデックス検索の問題を招くなどの、許容できる検索性能を維持できないといった懸念が持たれている。
大手電機メーカーで行われた「全社データベース暗号化」プロジェクト
では、前述の課題を踏まえ、どう暗号化を実践していけばよいか。ペンタセキュリティの暗号化ソリューション「D'Amo(ディアモ)」を活用した事例を通じて、その流れを見ていこう。D'Amoは2004年にリリースされ、今では主に3種類のソリューションをそろえている。
D'Amo BA(アプリケーション開発型)
業務アプリケーションの暗号化を実現する。アプリケーション開発者に向けて、暗号化ライブラリのパッケージを提供している。
D'Amo DP(商用データベース・プラグイン型)
データベースの暗号化を実現する。データベース基盤に、データ暗号化機能をプラグインとして提供する。「順序維持インデックス」と呼ばれる特許技術により、データベースのカラムを暗号化しても検索効率が低下しないのが特徴だ。
D'Amo KE(Windows OSカーネル型)
OSのファイル暗号化を実現する。実際は、WindowsサーバーOS内部のカーネル領域で暗号化するため、ユーザーアクセスに直接影響せず、「透過的暗号化」ともいえる。
D'Amoの大規模な事例として挙げられるのが、韓国の大手電機メーカーにおける“全社データベース暗号化”の取り組みだ。2010年から約2年半かけて行われ、一次プロジェクトから三次プロジェクトまでに分けて実施された。
暗号化の対象となるデータは、顧客および従業員の個人情報で、具体的には住民登録番号、運転免許番号、パスポート番号、電話番号を指す。国内全社だけでなく、海外の現地法人も対象となった。なお、この事例はEUのGDPR(一般データ保護規則)に対応する先進事例ともなった。
一次プロジェクトでは、国内の主要業務を担う個人情報統合データベース基盤と連携する、すべてのサーバーを対象とした。連携する業務アプリケーションの数は非常に多いため、すべてのアプリケーションの改修作業を行うことは現実的ではない。それゆえ、一元的にデータベース内の個人情報を暗号化するD'Amo DPのプラグイン方式を選択した。この方式を選択するメリットは、データカラムの暗号化後も既存のアプリケーションクエリーを維持できる作業工数の削減と、暗号化カラムの検索性を担保する順序維持インデックス機能などを活用することで、データベースの暗号化に伴う一般的な課題への対策を予め備えていることにある。
続く二次プロジェクトでは、部門レベルで完結する業務サーバーや外部のサードパーティ製のパッケージ製品が対象となる。これらの区分された業務システムでは、ダウンタイムの時間も比較的自由度があり、単独のアプリケーション開発となるため、D’Amo BAのAPI方式で業務アプリケーションに暗号化処理を実装する改修作業を実施した。この方式の最大のメリットは、データベースシステムに追加的な負荷や変更が要求されず、暗号化区間も長い点にある。処理効率を最適化するためには理想的だといえる。
ただし、他社が開発している外部のパッケージ製品に関しては、このようなアプリケーションの改修やデータベースの変更などが自由にできるわけではない。そこで採用したのが、D'Amo KEのOSカーネル方式による暗号化だ。ファイルシステムのデータファイルに限定された暗号化だが、同時にプロセス制御を付加することで、DBMSの内部プロセスに特化したアクセスに限定できる。これにより、ランサムウェアなどの悪性プログラムのアクセスをすべて排除することを可能にした。
最後の三次プロジェクトでは、海外の現地法人にあるシステムを暗号化した。海外法人の担当者にヒアリングを行い、個人情報があるサーバーを選別したうえで、現地法人の技術的な人的リソース問題と作業工数を最小化できる最善策として、アプリケーションの追加修正が不要なD'Amo DPデータベースのプラグイン方式を採用。本国の技術チームと共同でデータベースの暗号化を完了した。
すべての暗号化プロジェクトを終え、改めて暗号化前後の応答性能を評価したところ、プラグイン方式とAPI方式では、パフォーマンス差は3~5%台に収まっていたと美濃部氏。また、カーネル方式では、最大でもパフォーマンス差は0.04%にとどまっており、これらのシステムは現在に至るまで安定的に運用されているとのことだ。
当然だが、いずれの方式にもメリットとデメリットがあるため、自社にとって現実的に可能な暗号化方式を選択したうえで、最大限のセキュリティ強化策を図っていくことが重要だという。
データ保護が必須の今、暗号化は当たり前の選択肢に
そもそも、暗号化に対するニーズはどのような変遷をたどってきたのか。美濃部氏によれば、2008年頃までは、データベース暗号化は主に公共機関で取り組まれており、企業ではアクセス制御やログ監査が一般的だったという。
暗号化の需要が一気に高まった背景には、2011年に社会問題化した情報漏えいインシデントがある。はじめは、公共、証券、保険の業界において暗号化の潮流が加速した。個人情報保護法が施行された頃からは、「保護すべき対象」が明確化されてきた。また、組織は個人情報を保護するにあたり、組織内の情報を棚卸しする必要に迫られ、対象システムの選別や集約が進んでいった。
現在は、個人情報を統合するためのデータベース基盤を構築することが一般化してきた。そのほうが効率的だという認識が広がったためだろう。
2016年には、韓国で国内最大規模の情報漏えいインシデントが発生し、改正個人情報保護法で暗号化が(選択ではなく)義務化された。すると、暗号化の実装を通じて、安全性と性能の両立が課題となり、暗号化を考慮した設計思想や、暗号鍵管理の必然性にも目が向くようになった。
今では、次世代システムを開発する際には個人情報保護が前提条件となるため、暗号化のAPIを利用することも一般的になってきた。自社のセキュリティ担保に最適な“暗号化の手段”にも意識が向けられてきている。2018年には、韓国国内にある企業のデータベースはほぼ暗号化が完了し、現在はそれ以外の非定型ファイルなどで暗号化のニーズが高まってきているという。
「約10年かけて暗号化プロジェクトが一巡した韓国では、『セキュリティ・バイ・デザイン』のシステム設計思想が標準化しました。世界中どこでも、サイバー攻撃対策は事業者のサービスや安定性の維持には必須の要素となっていますが、その被害数やデータ漏えいの規模は拡大を続けています。こうした社会環境下では、サービス利用者から一般市民に至るまで、自身の個人情報に対する意識が顕著に高まっていく傾向にあります。そのため、データ保護対策とは社会からの要請でもあり、自社の製品やサービスを利用する顧客からの信頼を得るためには、投資が欠かせない要素となることは明白です。特に、インフラ開発に携わる方やアプリケーション開発者の方に、ぜひデータ保護対策を検討していただき、その選択肢としてD'Amoを評価し、役立てていただきたいです」(美濃部氏)