Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

データベース暗号化の「真実」とトークナイゼーションの「嘘」(後編)

edited by DB Online   2011/12/05 00:00

数々の情報漏えい事件が相次ぐ中、企業はデータベース(以下DB)のセキュリティ見直しが即急の課題となっている。DBセキュリティと言えばWeb/Appの脆弱性対応やDBそのものの暗号化、適切なアクセス制御などが挙げられるが、その中でもDBの暗号化についてはその技術的な障壁から敬遠され、一般的には正しい暗号化とは何なのか、何をすればよいのかが理解されないまま、暗号化の考慮ないし導入が検討されている。情報漏えいに対する抜本的対策であるDB暗号化に関する正しい知識と運用ができなければ、効果的な情報漏えい対策を取ることなどできない。本記事ではデータベース暗号化にまつわる真実と、それに取って代わると言われ始めているトークナイゼーション(Tokenization)の嘘について、それぞれの技術的な違いと正しい「使いどころ」について解説する。

トークナイゼーションの「嘘」

トークナイゼーションとは何か

 最近「トークナイゼーション」という言葉を耳にすることが多くなってきた。これは“Token-ization”、直訳すれば「トークン化」である。この時点で認証トークンを思い浮かべる人は少なくない。別にこれは二要素認証でセキュリティを強化しましょう、というお話ではない。

 発端はやはりIT先進国・コンプライアンス大国のアメリカ。PCI DSSの準拠が法制化されているアメリカでは、QSAに支払う年次監査費用が1000万円を超えるケースが少なくない。いくら法とは言え、それを守るためにITシステムに投資しなければならない額は大金なのだから、PCI SSC(PCI DSSを設定している本丸)には多くの不満が寄せられた。

 PCI SSCではこれを受けて、“Emerging Technology”と呼ぶ一連の先進技術―PCI DSSへの準拠が容易になるためのソリューション―を紹介している。E2EE(End to End Encryption)やTokenizationがその主だったものだ。

 従来の暗号化よりもトークナイゼーションがクレジットカードの保護(PCI DSS)の分野で取り立たされたのには大きな理由、メリットがある。

 まずはトークナイゼーションを初めて聞く方に、トークナイゼーションとは何なのかを簡潔に説明したいと思う。

 トークナイゼーションが保護対象とするのはいわゆる個人を特定するIDが主だったものである。クレジットカード番号やアカウント番号等がそれに該当する。

 これらの番号は個人に紐づいているにもかかわらず、通例様々なアプリケーション処理で利用され、場合によってはオペレーターがこれらIDを元に検索・統計などを行う。もちろん、これらの処理の流れで情報漏えいが起きてもおかしくないし、こういったアクセス権限を持つ管理者・オペレーターによる情報漏えい事件は数多い。

 DBでこれら情報が暗号化されていたとしても、暗号化されていると検索もできなければ照合もできない。

 よって上記処理では復号されて照合・検索が行われる。暗号化している以上遅延が発生するのは当然考えられる。

トークナイゼーションと暗号化の違い
トークナイゼーションと暗号化の違い

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 髙岡 隆佳(タカオカ タカヨシ)

    日本セーフネット株式会社 シニアセキュリティエンジニア DB暗号化を始めとするデータセキュリティに精通。情報漏えい対策関連の啓蒙活動に力を入れている。 DBSC DB暗号化WGリーダーとしてDB暗号化ガイドラインを今年11月にリリース。 過去ウェブデザイン関連の賞を受賞した経歴...

バックナンバー

連載:DB Online Monthly Special

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5