顧客情報を守るデータベースセキュリティ、日本セーフネットが解説：NEWS

PCI DSSを参考にしてデータ保護の考え方や新技術「トークナイゼーション」について日本セーフネットが解説した。

≫ 2011年08月29日 15時30分公開

[上口翔子，TechTargetジャパン]

　日本セーフネットは8月29日、顧客情報の保護に関する説明会を開催した。2011年に発生したソニーの情報流出事件を受け、業種や規模を問わず多くの企業がセキュリティ対策の見直しを図っている。米国政府機関などに暗号化技術を提供する同社にも、対策に関する相談や製品への問い合わせが増えているという。

日本セーフネットエンタープライズセキュリティ事業部シニアセキュリティエンジニア高岡隆佳氏

　今回の説明会は、そうした状況を受け、顧客情報を保護するデータベースセキュリティを解説する場として設けられた。エンタープライズセキュリティ事業部シニアセキュリティエンジニア高岡隆佳氏が、データベースセキュリティの概念や暗号化に変わる新技術「トークナイゼーション」、ユーザー企業とのやりとりの中で同社が感じている懸念点などを述べた。

　同社では、データベースセキュリティに必要な要素を「SQLインジェクション対策」「アクセス権限制御」「暗号化」の大きく3点に定義している。「Webサイトを外部脅威から守るには常に最新のセキュリティ対策が必要不可欠。また、脅威は外部だけではない。内部の脅威である管理者からの情報漏えいを防ぐため、管理アカウントのアクセス制御をする手立てが必要だ。さらにせっかくデータベースの暗号化で情報を保護しても、暗号鍵が盗まれては仕方がない。内外の脅威から暗号鍵を保護する仕組みを設ける必要がある」（高岡氏）

　高岡氏は上記の対策を考える際に模範となるガイドラインとして「PCI DSS」を挙げた。PCI DSSは、12の要件から成るクレジットカード情報のセキュリティ基準。情報漏えい対策の一環として、米国を中心に普及が進んでいる。

　PCI DSSが定める12の要件事項には、データベースセキュリティ対策に必要な要素が含まれている。しかし一般企業の多くは、「要件3：機密データ（暗号鍵）の保護」や「要件7：必要最低限のデータアクセス制御」「要件9：機密情報への物理アクセス制御」「要件10：機密情報アクセスの監視」への配慮が欠けているという。「必要な対策を単一製品でまかなえなかったり、物理・仮想環境など複数システムに対応できない点が原因となっている」（高岡氏）

　同社が提供するデータベースセキュリティ製品「DataSecure」であれば、それらの課題を解決しながら、低コストで暗号化対策を強化できるという。DataSecureは、ハードウェアセキュリティモジュール（HSM）という手法で、鍵管理の安全性を強化している点を特徴としている。アプライアンスで提供し、参考最小構成価格1200万円から導入できる（導入支援費用、保守費込み）。また、データ保護の新技術であるトークナイゼーションにも対応しており、従来の暗号化技術とトークナイゼーションを実装したものの、2パターンから製品を選択できる。

　トークナイゼーションは、クレジットカードの情報（数値情報）をトークンと呼ぶ無作為な情報に置き換えることでカード情報を保護する方式。従来のデータベース暗号化に比べてデータアクセス時の負荷が少なく、また、トークン自体は意味を持たないため、万が一漏えいしても開示の対象にはならない。PCI DSSに準拠する企業にとっては、「大部分のカード情報がトークン化されることで年次報告の対象が減る。結果としてコストを抑えながらセキュリティを強化できる」（高岡氏）などのメリットがあるという。

　同社では今後、データベース暗号化に変わる新たな保護技術として、トークナイゼーションに注目しているとしている。