数々の情報漏えい事件が相次ぐ中、企業はデータベース(以下DB)のセキュリティ見直しが即急の課題となっている。DBセキュリティと言えばWeb/Appの脆弱性対応やDBそのものの暗号化、適切なアクセス制御などが挙げられるが、その中でもDBの暗号化についてはその技術的な障壁から敬遠され、一般的には正しい暗号化とは何なのか、何をすればよいのかが理解されないまま、暗号化の考慮ないし導入が検討されている。情報漏えいに対する抜本的対策であるDB暗号化に関する正しい知識と運用ができなければ、効果的な情報漏えい対策を取ることなどできない。本記事ではデータベース暗号化にまつわる真実と、それに取って代わると言われ始めているトークナイゼーション(Tokenization)の嘘について、それぞれの技術的な違いと正しい「使いどころ」について解説する。
トークナイゼーションの「嘘」
トークナイゼーションとは何か
最近「トークナイゼーション」という言葉を耳にすることが多くなってきた。これは“Token-ization”、直訳すれば「トークン化」である。この時点で認証トークンを思い浮かべる人は少なくない。別にこれは二要素認証でセキュリティを強化しましょう、というお話ではない。
発端はやはりIT先進国・コンプライアンス大国のアメリカ。PCI DSSの準拠が法制化されているアメリカでは、QSAに支払う年次監査費用が1000万円を超えるケースが少なくない。いくら法とは言え、それを守るためにITシステムに投資しなければならない額は大金なのだから、PCI SSC(PCI DSSを設定している本丸)には多くの不満が寄せられた。
PCI SSCではこれを受けて、“Emerging Technology”と呼ぶ一連の先進技術―PCI DSSへの準拠が容易になるためのソリューション―を紹介している。E2EE(End to End Encryption)やTokenizationがその主だったものだ。
従来の暗号化よりもトークナイゼーションがクレジットカードの保護(PCI DSS)の分野で取り立たされたのには大きな理由、メリットがある。
まずはトークナイゼーションを初めて聞く方に、トークナイゼーションとは何なのかを簡潔に説明したいと思う。
トークナイゼーションが保護対象とするのはいわゆる個人を特定するIDが主だったものである。クレジットカード番号やアカウント番号等がそれに該当する。
これらの番号は個人に紐づいているにもかかわらず、通例様々なアプリケーション処理で利用され、場合によってはオペレーターがこれらIDを元に検索・統計などを行う。もちろん、これらの処理の流れで情報漏えいが起きてもおかしくないし、こういったアクセス権限を持つ管理者・オペレーターによる情報漏えい事件は数多い。
DBでこれら情報が暗号化されていたとしても、暗号化されていると検索もできなければ照合もできない。
よって上記処理では復号されて照合・検索が行われる。暗号化している以上遅延が発生するのは当然考えられる。

この記事は参考になりましたか?
- DB Online Monthly Special連載記事一覧
- この記事の著者
-
髙岡 隆佳(タカオカ タカヨシ)
ゼットスケーラー株式会社 エバンジェリスト&アーキテクト セキュリティ業界で18年の経験を活かし、製品やソリューションに捉われない、セキュリティ投資の方向性について啓蒙活動を実施。2019年よりゼットスケーラーのエバンジェリスト&アーキテクトとして、国内大手企業に対して...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア