DB暗号化の取り組みが加速ー暗号鍵のセキュアな管理に有効なHSM | 東京エレクトロンデバイス

ポイントはマスター鍵とデータ暗号化鍵を別個に保管すること

具体的には、データ暗号化鍵自体を暗号化して保管すること、またこのデータ暗号化鍵を復号するためのマスター鍵をデータ暗号化鍵とは別個に保管することが必要になります。こうしたデータ暗号化と鍵管理については、たとえば最新版のPCI DSS(クレジットカード業界の国際的なセキュリティ基準)でも明記されています。 DBMSの暗号化機能と連携しつつセキュアな暗号鍵の管理を実現するソリューションとしてグローバルに活用されているのがハードウエア・セキュリティ・モジュール(HSM)です。このHSMは、DBMSの透過的データ暗号化機能を利用したDBデータの暗号化の際に生成された、データ暗号化鍵自体の暗号鍵＝マスター鍵を格納することが可能なハードウエア機器です。
マスター鍵をHSMに別個に格納することでDBとデータ暗号化鍵を格納しているハードディスクが盗まれても情報の漏えいを防げます。また、Oracleウォレットなどのソフトウエアによる鍵管理と比較すると、より高度なセキュリティを確保できます。さらに、マスター鍵を使用する暗号化や復号はすべてHSMの内部で実行されるので、マスター鍵をサーバーのメモリー上に展開して読み取られるというリスクも回避できます。こうしたハイレベルな暗号鍵の管理を追求し、DB暗号化に際してはHSMを合わせて導入するケースが増えています。

国内HSM市場で圧倒的なシェアを誇るThales社の「nCipher HSM」

東京エレクトロンデバイスでは、セキュアな暗号鍵の管理のため、国内HSM市場で61.7%という圧倒的なシェア(※)を誇るThales社の「nCipher HSM」を提供しています。これまでさまざまな暗号処理における暗号鍵の運用管理を支援してきており、DB暗号化の鍵管理についても実績があります。 この「nCipher HSM」はDB暗号化の取り組みも始まったカード業界で、グローバルなデファクトスタンダードになっているHSMの代表的な製品です。暗号鍵の安全な保護にとどまらずアプリケーション自体の秘匿もでき、管理する暗号鍵の数も無制限です。さらに鍵のバックアップ&リカバリーやリストアが容易にできる優れた管理性も高く評価されています。
Oracle 11gのDBMS暗号化機能とは標準で連携が可能なため、「nCipher HSM」導入にあたって新たな開発を行う必要はなく、すぐに運用が開始できるのも大きなメリットです。Microsoft SQL Serverとは、オプションソフトウエアを利用することで連携が可能になります。

前述のように「nCipher HSM」は独自のアプリケーションを組み込めることもあり、最近では特に製造業界において機器の個別認識やサーバー、ソフトウエアの認証などにも広く活用されつつあります。

こうしたHSMへの注目度の高さを反映して、先に東京で開催されたサリオンシステムズリサーチ社によるセミナー「情報漏洩防止に活かすHSM」も50名を超える多くの参加者があり大盛況でした。このセミナーでは東京エレクトロンデバイスも講演をさせていただきました。
東京エレクトロンデバイスでは、過去10年に及ぶThales社のHSM導入のノウハウと経験を活かしつつ、今後もお客様のDB暗号化とセキュアな鍵管理を強力に支援していきます。
※ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望2010【内部漏洩防止型ソリューション編】」(2010年6月発刊)より

2010年11月18日に開催された「情報漏洩防止に活かすHSM」セミナーの模様

ビジネス・デベロップメント部
松永豊