2024年は日本のサイバー防御にとって転機となるか? データ暗号化への認知も徐々に拡大
2024年は、日本国内で大規模な情報漏えいインシデントが発生した年として、多くの人の記憶に残ることになりそうだ。特に、6月に発生したKADOKAWAのランサムウェア被害では、大量の個人情報が窃取・公開され、マスメディアやSNSなどで連日話題となり、改めてサイバー攻撃の脅威を世間に広く知らしめることとなった。
また、10月にはタリーズコーヒージャパンにおいて、オンラインストアへの不正アクセスにより最大で9万人以上の個人情報が流出した可能性があると発表され、やはりメディアで大きく取り上げられた。こうした事態を目の当たりにして、多くの企業・組織が情報漏えいリスクに備えたセキュリティ強化を急いでいる。
我が国の隣にある韓国では、約20年前に同じような事態に直面した歴史を持つ。同国は国を挙げて急速にデジタル化を進めた結果、先進デジタル社会を実現したが、その副作用として大規模な情報漏えいインシデントが続発した。そこで、この事態を収めるべく、国が主体となってセキュリティ対策の強化を推進してきた。
韓国に本社を置くセキュリティベンダーであるペンタセキュリティ。その日本法人で代表を務める陳貞喜氏は、かつて韓国がたどった経緯を踏まえ、現在の日本が直面するセキュリティ課題について次のように考察する。
「2024年は、日本でも大規模なインシデントがいくつか発生しましたね。被害に遭われた企業やユーザーの方々にとっては、大変気の毒な出来事でした。しかし、被害を受けた企業が情報を広く公開することで、多くの国民が情報漏えいのリスクを『自分ごと』として捉える契機にもなったと思います。かつての韓国も同じ経緯を経てセキュリティ強化に乗り出しましたから、昨今の日本における情報漏えいインシデントからは、今後の改善に向けたポジティブな面も見出せたのではと思います」(陳氏)
陳 貞喜氏
そんな韓国がたどり着いたのが、2015年に施行された「暗号化」の義務化だ。近年のランサムウェア攻撃における個人情報の暴露、いわゆる“二重脅迫”の被害を未然に防ぐ意味でも、データの暗号化は極めて有効な手段となり得る。
ただし、暗号化の導入を進めるためには超えるべきハードルもあり、日本ではまだ十分に普及しているとは言い難い。また、「データを暗号化すれば、ITシステム全体のパフォーマンスが低下してしまうのではないか」というイメージを持っている方も一定数いることだろう。加えて日本では、「侵入を防ぐための“事前対策”」が優先されがちで、情報漏えいした後の被害拡大を防ぐ“事後対策”の手段である暗号化への投資は、どうしても後回しにされがちだ。
それでも、陳氏は日本の状況が徐々に変わりつつあることを実感しているという。
「2022年4月より施行された改正個人情報保護法の中では、漏えいインシデントがあった際に個人情報委員会に対しての報告が義務化されていますが、高度な暗号化がされている場合には報告義務が免除されると記載されています。個人情報保護の手段として、暗号化の重要性について言及されている部分だと思います。また、日本企業全体においても、徐々に暗号化の重要性が認知されるようになってきたと感じています」(陳氏)
“情報漏えい先進国”では新たな課題が……韓国が打ち出した「MLS」アプローチとは?
一方、韓国も近年、情報漏えい対策にまつわる新たな課題に直面していると陳氏。それは、これまでの電子政府をいわゆる行政機関から一段と飛躍させ、新たな価値を生み出す「デジタルプラットフォーム政府」へと転換を進めているからだと話す。
同国では2000年代から、デジタル技術を駆使して行政の効率化を図るための取り組みを進めた結果、2010年には国連の電子政府ランキングで1位になるほど社会全般にデジタル化が浸透した。近年では、AIとデータ中心時代の新たなモデルとして、すべてのデータが融合されたデジタルプラットフォーム上で国民、民間企業、公共機関、そして政府がともに社会問題を解決し、時代が求める価値を創出する政府を目指しているという。これが、デジタルプラットフォーム政府の概念である。
「これまでは、行政の業務効率化を目的としたデジタル化やデータ活用に取り組んできました。現在ではさらにもう一歩進んで、国民一人ひとりを中心に据えた行政サービスの革新を目指しています。その中で、すべての行政機関のシステムとデータが連結され、民間と公共が協力して社会問題に取り組み、これまでの公共サービスの概念を刷新する『デジタルプラットフォーム政府』という新しいコンセプトを打ち出しているのです。この政府では、データに基づいた客観的な判断を下したうえで、企業は公開されたデータを自由に活用し、様々なサービスを生み出すことができます」(陳氏)
このデジタルプラットフォーム政府が実現すれば、韓国国民はより多くのメリットを享受できるようになると期待されているが、その一方で、実現に向けては国民の個人情報をより多く収集し、活用するために公開する必要がある。こうした理由から、サイバー攻撃の攻撃点となり得るポイント、いわゆる「アタックサーフェス」の増加が予想されている。
この課題を克服するためには、より厳格な情報漏えい対策が必要となる。そこで現在、同国が取り入れているのが、米国や英国の行政機関でも取り入れられている「マルチレベルセキュリティ(MLS)」と呼ばれるリスクベースアプローチだ。政府が管理する情報を、その機密性や重要性のレベルに応じてカテゴリ化し、それぞれのレベルに応じた管理と利用方針に基づいて情報保護対策を適用するというものである。
「このアプローチによって、限られた人的リソースを適切に配分できるようになるとともに、機密性のレベルが低いと評価された情報はオープン化することが可能となります。すると、重要な情報を保護しつつも、これまで過剰に守られていた情報の公開が進み、データ活用などがより活発になるのではと期待されています」(陳氏)
さらに韓国では、デジタルプラットフォーム政府の実現に向け、ユーザー認証システムのさらなる強化として生体認証の導入が各所で進んでいる。これにともない、ユーザーの指紋や顔、目の虹彩模様などといった様々なバイオメトリクス情報をセキュアに管理するニーズも高まってきている。同国では、時代の移り変わりとともにデータ利活用の方法と範囲、そしてサイバー脅威のリスクは変化するものの、データそのものを守る考え方は一貫していると陳氏。やはり、これまでと同じくデータの暗号化技術が極めて重要視されていることが、その証左であろう。
日本でもグローバル企業を中心に暗号化が浸透中、背景にシステム刷新や法規制への対応など
ペンタセキュリティは現在、世界中の組織に対して暗号化ソリューションを提供しており、日本国内でも既に多くの企業が同社の製品を導入しているが、他国のユーザー企業と比べ、いくつかの企業では日本ならではの傾向が見られるという。
「日本企業は他国の企業と比べ、レガシーなシステムを長期間にわたって利用する傾向が強いです。そのため、弊社の暗号化製品を導入する際も、これまでは既存システムになるべく変更を加えることなく導入できる製品が多く選ばれてきました。ただし近年は、DXの一環としてクラウドへの移行を図る企業も多く、システムを刷新するタイミングで最初から暗号化を組み込みたいという相談も増えてきました」(陳氏)
また、暗号化の動きを業界別に見ると、かつては大量の個人情報を扱う金融業界での導入が圧倒的に多かったが、近年では製造業や流通業の企業による導入も増えてきているという。特に、海外にも事業を展開するグローバル企業が、海外拠点も含めたグローバル全体で統一されたデータセキュリティを設計するために、複数の暗号化方式を組み合わせてグループ全体に適用するケースが増加しているようだ。
コンプライアンス対応での暗号化導入においても国内外問わず、以前から金融業界においては、特にクレジットカード情報を取り扱う企業が、カードセキュリティの国際基準である「PCI DSS」のコンプライアンス対応のデータ保護措置として、PAN情報などを暗号化するケースが多く見られている。
「とりわけ欧州でビジネスを展開している企業からは、『GDPR(EU一般データ保護規則)』に基づく情報漏えい対策の一環として、個人情報保護対策で暗号化を求める声が多いです」(陳氏)
非構造化データにも対応、あらゆる導入ニーズに対応できる「D’Amo」
ペンタセキュリティが提供するデータ暗号化ソリューションとして、多くの評価と支持を集めているのが「D'Amo(ディアモ)」シリーズだ。日本国内では、暗号化といえば大手DBベンダーが自社製品のオプション機能として提供しているイメージが根強いが、コスト面で導入を躊躇する企業も多い。
「大手DBベンダーの製品にも暗号化機能は備わっていますが、利用するためには高価なEnterprise Editionと暗号化のオプション機能を導入する必要があり、ライセンスコストを別途支払う必要があります。その点、D'Amoは日本企業の多くが導入しているStandard Editionにも暗号化機能を実装できるため、導入コストを抑えながら既存データベースに暗号化を追加実装できます」(陳氏)
また、そうした大手ベンダーの暗号化機能がデータファイルの暗号化などにとどまるケースが多い一方で、D'Amoはテーブル内のデータそのものを暗号化するため、より強固なセキュリティ対策が可能になるという。さらには暗号化だけでなく、アクセス制御やログ監査といった、データそのものを保護するための様々な機能をワンパッケージで提供しており、その実装方法にも複数のバリエーションが存在する点もD'Amoの魅力だ。
「既存システムに対してアドオンできる製品のほか、開発段階で暗号化機能を組み込める製品も提供しており、30以上のモジュールを用意しています。これらを通じて、お客様の多様な暗号化ニーズに対し最も適したソリューションを提供できる点が、D'Amoの最大の特徴だと考えています」(陳氏)
D'Amoは、データベースに保管された構造化データだけでなく、テキストや音声、画像、映像といった“非構造化データ”の暗号化にも対応している。シリーズの中の「D'Amo KE」というモジュールは、レントゲン写真のようなデータを扱う医療機関や、CADファイルのような設計データを保管する製造業などからの引き合いが多いそうだ。
なお、既に暗号化の実装を検討している方に対しては、高度な暗号化の観点で押さえてほしいポイントとして、陳氏は「鍵管理」の重要性を訴えた。暗号化を導入すれば、必然的にユーザー固有の暗号鍵が生成されるため、それらを管理する仕組みや組織の体制も重要となるからだ。
ペンタセキュリティは、「D’Amo KMS」という鍵管理システムも提供している。D’Amoシリーズの30以上のモジュールの導入から発生する暗号鍵を安全に、かつ統合的に管理できるシステムだという。
ちなみに、データベース暗号化に対し、「大量の個人情報を扱う大企業のためのソリューション」というイメージを抱いている方は多いかもしれない。実際、これまでは導入ユーザーの多くが大企業によって占められていた。
しかしペンタセキュリティでは近年、中堅・中小企業の暗号化導入にも力を入れている最中だと陳氏は語る。大企業の中だけで対策を進めたところで、サプライチェーン全体でのセキュリティ強化は成し遂げられないからだ。
「目指すデジタル社会では、一部の大企業だけが対策を強化するのでは不十分です。社会全体のセキュリティを底上げする必要があります。そのためには、中堅・中小企業にも暗号化ソリューションを活用していただけるよう、サブスクリプション形式での製品も提供しています。侵入前提時代の昨今、暗号化を施しておけば、万が一情報が流出してしまっても、それ以上の二次被害を抑えられる可能性が格段に上昇します。加えて、企業が説明責任を果たす上でも非常に有効な取り組みになるでしょう。自社の価値と未来を守るためにも、データそのものを守る根源的な対策として、ぜひ導入を検討していただければと思います」(陳氏)
