http://itpro.nikkeibp.co.jp/article/COLUMN/20101119/354336/
http://itpro.nikkeibp.co.jp/article/COLUMN/20101117/354263/?ST=security
SSLでは不十分、クラウド時代の暗号化
連載目次へ >>
>>21
山崎 文明/ビジネスアシュアランス 社長
サイバー犯罪者がセキュリティレベルの高い標的を攻撃する場合には、「正規のユーザーのIDとパスワード」の取得を狙う傾向が強まっている。サーバーのセキュリティ対策が十分に高いと、サーバーを直接攻撃しても得られるものが少ないからだ。より脆弱な攻撃対象としてユーザーを狙うのは、前回記事でジム・イエーガー氏やVISAが指摘した通りの動きといえる。
ほとんどのシステムにおいて、正規ユーザーのIDとパスワードが盗まれると、そのユーザーに被害が及ぶのを防ぐことは難しい。ここで参考になるのがクレジットカード業界の取り組みだ。クレジットカード番号はカード所有者を識別する一種のIDであり、このIDを保護するために様々な工夫を凝らしている。欧米ではクレジットカード情報を狙うサイバー犯罪が多く、特にセキュリティ対策が進んでいる業界になっている。
IDの漏えいが発生する主な経路は、ユーザー端末のウイルス感染、ユーザーのフィッシング被害、通信経路での盗聴、サーバーへの攻撃が考えられる。特に重要なのが通信経路上の盗聴対策だ。クレジットカード情報の場合、ホテルや小売店の店頭からISP(インターネットサービスプロバイダー)はもちろん、決済代行を行うサービスプロバイダーやアクワイアラと呼ばれる加盟店契約会社、そしてカード発行会社と複数の事業体間を行き来する。そのため、通信経路の途中でデータ漏えいする可能性が高い。
同様のことは一般企業にもいえる。今後、複数のクラウドサービスを連携させて使用することが一般企業で普及していくと考えられる。こうなると、セキュリティの観点から見た脅威はクレジットカード決済システムと同様の状況になる。「データの機密性は自身で守る」というデータセキュリティの考えが重要になる。
通信経路からのデータ漏えいを防止するには、一般にSSL(Secure Sockets Layer)やVPN(仮想閉域網)など通信経路の暗号化技術を使用する。クレジットカード業界ではより安全性を高めるために、アプリケーション間でデータを暗号化して受け渡す技術を導入している場合も多い。「Point-to-Point Encryption(P2PE)」と呼ぶ暗号化手法だ。PCI DSSの発行元団体PCI SSCでは、P2PEの普及を促進するためにP2PE導入のためのガイドラインの策定を予定している。ガイドラインには、P2PE製品の選定時の留意事項などが記述されるだけでなく、PCI SSCとしての製品認定制度まで計画されている。一般企業でもP2PEの導入を検討する際には参考にするとよいだろう。
SSLやVPNだけでは暗号化しきれない部分がある
重要度の高いデータを扱う企業では、一般的なSSLやVPNだけでは不十分とする論調が米国のセキュリティ専門家の間で高まっている。2009年2月に発生した「ハートランド・ペイメント・システム事件」がきっかけだ(図1)。
http://itpro.nikkeibp.co.jp/article/COLUMN/20101119/354336/?SS=imgview&FD=54136146&ST=security
図1●2009年2月に発生した「ハートランド・ペイメント・システム事件」の概要
[画像のクリックで拡大表示]
ハートランド・ペイメント・システムは米国の企業で、クレジットカードの決済代行を行うサービスプロバイダで全米6位の大手である。25万店以上の加盟店にサービス提供を行っていた。これだけのクレジットカード決済代行大手だけに、当然、PCI DSS準拠の証明は取得済みだった。
加盟店との通信をSSLで暗号化していたのはもちろん、データセンター内のWebサーバーとデータベース・サーバーの間もVPNで接続していた。さらにデータベース・サーバー上のデータもPCI DSSの要求に従ってクレジットカード番号を暗号化していた。
Webサーバーとデータベース・サーバーの間をVPN接続する例は、日本では少ないが、米国企業では多く取られる方法だ。社内ネットワークでの盗聴を防ぐためである。同社はこれほどまでに重装備のセキュリティ対策をしながらも、2009年2月にクレジットカード情報の漏えいが発覚した。流出した情報の推定総数は1億件以上と過去最大規模だった。
後の調査で判明したところによると、漏えいは2008年頃から継続して発生していた。データをキャプチャして特定の送信先に転送するマルウエアが、Webサーバーに仕掛けられていたのだ。
SSLによる暗号化は、Webサーバーまではデータを暗号化する。しかし、Webサーバーは届いたデータをサーバー内でいったん復号する。サイバー犯罪者はそこに目を付け、Webサーバーにマルウエアを仕込んだ。Webサーバーはインターネット接続ポイントに設置されたファイアウォールの内側で、アプリケーションサーバーやデータベースサーバーが設置されるドメインとファイアウォールで区分された「DMZ」と呼ばれるネットワーク領域に設置される。
Webサーバーからアプリケーションサーバーに送り込むデータは平文だ。ハートランド・ペイメント・システム事件では、この点を突かれてしまった。
一方、P2PEでは、ファイアーウォールの内側に設置されたアプリケーション・サーバーまで暗号文のまま処理する。P2PEであれば、ハートランド・ペイメント・システム事件は防げたかもしれない。
さらにハートランド・ペイメント・システム事件を契機に、複数のノード(サービス事業者など)にまたがって終端から終端までを一貫して暗号化する「End-to-End application-level Encryption(E2EE)」を重要視する論調が台頭しつつある(図2)。
http://itpro.nikkeibp.co.jp/article/COLUMN/20101119/354336/?SS=imgview&FD=55059667&ST=security
図2●End-to-End application-level EncryptionとPoint-to-Point Encryptionの違い
[画像のクリックで拡大表示]
P2PEやE2EEではブラウザのSSL機能に加え、プラグインやアプレットなどを使用してアプリケーションレベルでの暗号化手法を用いる。これを利用して、ユーザーのパソコンから最終事業者のバックエンド・サーバーまでを暗号化した状態で情報を送受信する。P2PEやE2EEを実現するために終端と終端で暗号化、復号化するアプライアンスやASPサービスが、すでに国内でも販売されている。
レイヤード・ディフェンスで考える
ここまで暗号化の強化方法のトレンドを解説してきたが、情報セキュリティは特定要素を強化するだけでは済まない。図3のような「レイヤード・ディフェンス」の考え方が重要だ。
図3●レイヤード・ディフェンスの概要
図3●レイヤード・ディフェンスの概要
データの暗号化やアクセス制御など、データ保護に直接機能するセキュリティ対策を「防護管理」と呼ぶ。セキュリティ対策の中核であるのは間違いないが、部外者の物理的な侵入や内部犯行などの脅威を想定するとこれだけでは不十分だ。セキュリティ対策に重要なことは網羅性である。あらゆる脅威を想定して対策が施される必要がある。
したがって、広範囲の脅威を対象にしたセキュリティ・ポリシーは必須だ。不正アクセスの予防には、アクセス制御機能が不可欠だが、不正行為自体を防御するにはアクセス権限を付与できる人物とアクセス権を行使する人物を分けるといった職務分掌も必要だ。このように、幾重にも張り巡らしたセキュリティ対策が相互に機能して、初めて高度なセキュリティが維持できる。
今後、クラウドを活用する企業は間違いなく増えていくだろう。そこでもレイヤード・ディフェンスの考え方は役に立つ。パブリック・クラウド環境ではセキュリティ・ポリシーと発見的コントロールの大半を、クラウド事業者の手に委ねることになる。ここで、発見的コントロールとは、アクセスログを収集して分析することで不正アクセスを発見したり、ファイルの改ざん検知システムを使用して不正なファイル改ざんを発見する活動を指す。
こうした環境では、クラウドの利用者が自己のデータをコントロール下に置くことが重要になる。すでにサービス提供が始まっているパブリック・クラウドでは、データの安全性に関しては利用者の自己責任であることを前提に契約することが常識化しているからだ。したがって、自己のデータは自己で守るという対策、すなわち防護管理のセキュリティ対策が今以上に重要性を帯びてくる。
今回紹介したP2PE、E2EEといった強固な暗号化は、クラウドを活用する企業にとって検討すべきセキュリティ対策になるだろう。このほか、新たな防護管理のセキュリティ対策として「トークナイゼーション」と呼ぶ手法が、最近欧米で注目を集めている。次回はトークナイゼーションについて解説する。
山崎 文明 (やまさき ふみあき)
ビジネスアシュアランス 社長
大手外資系会計監査法人でシステム監査に永年従事。システム監査、情報セキュリティ、個人情報保護に関する専門家として情報セキュリティに関する政府関連委員会委員を歴任。主な著書に「PCIデータセキュリティ基準完全対策」(日経BP社監修)「すべてわかる個人情報保護」(日経BP社)、「情報セキュリティと個人情報保護完全対策」(日経BP社)、「情報セキュリティハンドブック」(オーム社 共著)、「システム監査の方法」(中央経済社共著)、「コンティンジェンシー・プランニング」(日経BP社 共著)、セキュリティマネジメント・ハンドブック(日刊工業新聞社共著)などがある。
[委員等就任実績]
内閣官房安全保障危機管理室 情報セキュリティ対策推進室WG委員、警察大学校不正アクセス犯罪等対策専科講師、学校セキュリティ検討委員会委員(経済産業省)、サイバーテロ演習評価委員会委員(経済産業省)、不正プログラム調査研究委員会委員(警察庁)、サイバーセキュリティ調査研究委員会委員(警察庁)
0 件のコメント:
コメントを投稿