技術解説

情報漏えい対策の強化へ、DB暗号化の取り組みが加速ー暗号鍵のセキュアな管理に有効なHSM

データを暗号化するだけでDBからの情報漏えいを防げるかと言うと、そこには落とし穴があります。たとえば、アプリケーション経由の攻撃や、管理者による不正アクセスの危険があり、WAFの導入や確実なアクセス制御といった対策が必要です。あるいはDB本体と暗号鍵を格納したハードディスクを丸ごと盗み出された場合、その鍵を使ってデータを簡単に復号される恐れもあります。この点でDBの暗号化においては、暗号鍵をセキュアに管理することが重要なポイントになります。

ポイントはマスター鍵とデータ暗号化鍵を別個に保管すること

具体的には、データ暗号化鍵自体を暗号化して保管すること、またこのデータ暗号化鍵を復号するためのマスター鍵をデータ暗号化鍵とは別個に保管することが必要になります。こうしたデータ暗号化と鍵管理については、たとえば最新版のPCI DSS(クレジットカード業界の国際的なセキュリティ基準)でも明記されています。 DBMSの暗号化機能と連携しつつセキュアな暗号鍵の管理を実現するソリューションとしてグローバルに活用されているのがハードウエア・セキュリティ・モジュール(HSM)です。このHSMは、DBMSの透過的データ暗号化機能を利用したDBデータの暗号化の際に生成された、データ暗号化鍵自体の暗号鍵=マスター鍵を格納することが可能なハードウエア機器です。
マスター鍵をHSMに別個に格納することでDBとデータ暗号化鍵を格納しているハードディスクが盗まれても情報の漏えいを防げます。また、Oracleウォレットなどのソフトウエアによる鍵管理と比較すると、より高度なセキュリティを確保できます。さらに、マスター鍵を使用する暗号化や復号はすべてHSMの内部で実行されるので、マスター鍵をサーバーのメモリー上に展開して読み取られるというリスクも回避できます。こうしたハイレベルな暗号鍵の管理を追求し、DB暗号化に際してはHSMを合わせて導入するケースが増えています。
HSMを用いたマスター鍵の安全な管理

国内HSM市場で圧倒的なシェアを誇るThales社の「nCipher HSM」

東京エレクトロンデバイスでは、セキュアな暗号鍵の管理のため、国内HSM市場で61.7%という圧倒的なシェア(※)を誇るThales社の「nCipher HSM」を提供しています。これまでさまざまな暗号処理における暗号鍵の運用管理を支援してきており、DB暗号化の鍵管理についても実績があります。 この「nCipher HSM」はDB暗号化の取り組みも始まったカード業界で、グローバルなデファクトスタンダードになっているHSMの代表的な製品です。暗号鍵の安全な保護にとどまらずアプリケーション自体の秘匿もでき、管理する暗号鍵の数も無制限です。さらに鍵のバックアップ&リカバリーやリストアが容易にできる優れた管理性も高く評価されています。
Oracle 11gのDBMS暗号化機能とは標準で連携が可能なため、「nCipher HSM」導入にあたって新たな開発を行う必要はなく、すぐに運用が開始できるのも大きなメリットです。Microsoft SQL Serverとは、オプションソフトウエアを利用することで連携が可能になります。
HSM 鍵管理の仕組み
前述のように「nCipher HSM」は独自のアプリケーションを組み込めることもあり、最近では特に製造業界において機器の個別認識やサーバー、ソフトウエアの認証などにも広く活用されつつあります。

製造業におけるHSM活用例
例えばメーカーAが、個体ごとに異なるIDを利用する製品の製造をメーカーBに委託する場合、メーカーAはID生成に必要な暗号鍵と生成アルゴリズムをメーカーBに渡さなければなりません。一方で、鍵やアルゴリズムそのものがメーカーBから漏えいすることを防ぐ必要もあります。
「nCipher HSM」内にIDを生成するアプリケーションと必要な暗号鍵を組み込んだ状態でメーカーBへ製造を委託すれば、アルゴリズムと鍵の安全性を保ったまま、ID生成の機能だけをメーカーBが利用できるようになります。

こうしたHSMへの注目度の高さを反映して、先に東京で開催されたサリオンシステムズリサーチ社によるセミナー「情報漏洩防止に活かすHSM」も50名を超える多くの参加者があり大盛況でした。このセミナーでは東京エレクトロンデバイスも講演をさせていただきました。
東京エレクトロンデバイスでは、過去10年に及ぶThales社のHSM導入のノウハウと経験を活かしつつ、今後もお客様のDB暗号化とセキュアな鍵管理を強力に支援していきます。
※ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望2010【内部漏洩防止型ソリューション編】」(2010年6月発刊)より

2010年11月18日に開催された「情報漏洩防止に活かすHSM」セミナーの模様2010年11月18日に開催された「情報漏洩防止に活かすHSM」セミナーの模様

ビジネス・デベロップメント部
松永豊

Tweet

関連する情報