暗号鍵は手元で管理、Amazon／VMwareクラウドを守る「SafeNet ProtectV」：クラウド向け暗号化製品紹介：日本セーフネット編

クラウド環境の仮想マシンを暗号化で保護したいが、暗号鍵をクラウドに預けたくない――。こうしたニーズに応えるのが、日本セーフネットの「SafeNet ProtectV」である。

[鳥越武史，TechTargetジャパン]

　基幹系システムといった重要なシステムをクラウド環境へ移行する有力な手段となるのが、クラウド向けの暗号化製品だ。ただし、暗号化したデータを復号できる暗号鍵をクラウド環境で管理することに抵抗がある企業は多いだろう。日本セーフネットのクラウド向け暗号化製品「SafeNet ProtectV」は、暗号化の対象と暗号鍵の管理を物理的に分けることで、こうした懸念を払拭する。ProtectVの機能や特徴について、日本セーフネットでシニアセキュリティエンジニアを務める高岡隆佳氏に聞いた。

連載：クラウド向け暗号化製品紹介

• 連載インデックス

関連記事

• 【製品動向】DropboxやAmazon EC2を守る「クラウド向け暗号化製品」
• クラウド活用時に考慮すべき7つの課題とその対策〜認証・暗号化編〜

製品の概要：仮想マシンの利用制限を暗号化で実現

画面1：ProtectVの管理画面《クリックで拡大》

　ProtectVは、クラウド環境にある仮想マシンを暗号化する製品である（画面1）。「HDD暗号化を仮想マシンに適用したイメージ」で、仮想マシンのOS環境を含むストレージのボリュームを丸ごと暗号化。仮想マシンのOS起動時に起動するプリブート認証をパスしないと、OSが起動できないようにする。データの暗号化／復号処理は自動実行されるのでエンドユーザーが意識することはない。

関連記事

• 「HDD暗号化」導入完全ガイド
• HDD暗号化の導入はなぜ進まないのか

　利用可能なクラウドサービスは、米Amazon Web Servicesの「Amazon Elastic Compute Cloud（Amazon EC2）」「Amazon Virtual Private Cloud（Amazon VPC）」。加えて、米VMwareの「VMware vCenter Server」ベースのクラウド環境でも利用できる。仮想マシンの対応OSは、WindowsとLinux。

製品構成

　ProtectVは、仮想マシンのOSに導入し、プリブート認証や暗号化／復号処理を実施するクライアントソフトウェア「ProtectV Client」、ProtectV Clientに暗号鍵を割り当てたり、ポリシーを適用する管理サーバソフトウェア「ProtectV Magager」で構成される（図）。ProtectV Managerは、クラウド環境で稼働する仮想マシンに導入。この仮想マシン自体やProtectV Managerのデータベースに一時的に保管する暗号鍵も暗号化する。ProtectVの利用には、同社の暗号鍵管理製品「SafeNet KeySecure」が別途必要になる。

図1：ProtectVの構成例。管理サーバの「ProtectV Magager」、クライアントソフトウェアの「ProtectV Client」に加え、鍵管理製品「SafeNet KeySecure」が必要となる（出典：日本セーフネットの資料を基に一部修正）

製品の特徴1：オンプレミスで鍵管理

　ProtectVの最大の特徴が、暗号化／復号に利用する暗号鍵の管理を、クラウド環境ではなく社内のシステム（オンプレミス）環境で管理できることだ。