開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

ジェムアルト株式会社提供コンテンツ

  • スペシャル
  • 2018/10/26

GDPRにも対応、あらゆる環境の暗号鍵を一元管理する方法

デジタルセキュリティを手がけるジェムアルトは9月12日、クラウド時代のセキュリティのあり方にフォーカスした「Gemalto 6th Crypto Live Japan Forum 2018」を開催した。ITインフラの複雑化やクラウドサービスの増加に伴い、そこで運用されるデータ保護のあり方に注目が集まっている。同フォーラムに合わせて来日した、ジェムアルト シニア プロダクトマネジャー「Data Protection on Demand」担当のファルコ・クリストウ(Falco Christow)氏に、クラウド時代に必要なデータ保護のあり方について、話を聞いた。

photo
ジェムアルト シニア プロダクトマネジャー
「Data Protection on Demand」担当
ファルコ・クリストウ(Falco Christow)氏

クラウドサービスの普及がもたらすデータ保護の課題とは?

 クラウドサービスの普及が加速している。総務省が2018年5月25日に公開した「平成29年 通信利用動向調査」によると、クラウドサービスを利用している企業の割合は、前年比10ポイント増の56.9%だった。グローバル企業や大規模企業では、この数字はさらに高い。

 しかし、クラウドの活用が進むにつれ、さまざまな課題も浮き彫りになっている。その1つがデータの保護だ。オンプレミスとクラウドの両方を利用するハイブリッドクラウドや、複数のクラウドを活用するマルチクラウド、さらにSaaS(Software as a Service)やPaaS(Platform as a Service)を利用している企業は、すべてのデータをセキュアに管理しなければならない。

 データ保護のためには、暗号化とそれを復号するための鍵の管理が不可欠だ。そこで利用されるのが、暗号化されたデータと暗号化した際の鍵を分離し、HSM(Hardware Security Module:鍵生成や鍵の保管、鍵のライフサイクル管理専用の暗号化装置)で鍵管理を行う方法である。物理的に暗号化データと暗号鍵を切り離して管理することで、情報漏えいリスクを低減するのである。

 ただし、ここでも課題が生じる。個々のクラウドプロバイダーでは暗号化サービスを提供しているが、それぞれに鍵管理をしなければならない。たとえば、一般的なファイルサーバや開発環境は「Amazon Web Services(AWS)」を利用しているが、その他の用途でマイクロソフトの「Azure」上で「Office 365」も使っているとしよう。その場合、複数の鍵を個別に管理しなければならない。

 さらに、HSMの運用には専門知識と多額の投資が必要となる。煩雑な鍵管理に加え、HSMを自社で運用するとなれば、ただでさえ仕事が多いIT管理者にとっては大きい負担となる。クリストウ氏は「HSMを運用管理できる専門知識を持ったIT管理者は、20万人規模の大規模企業でも平均して5名程度しかいない」と現状を説明する。

 では、こうした課題に対して、企業はどのように取り組めばよいのだろうか。

複数のクラウド環境の暗号鍵を一元管理するクラウドサービス

 こうした課題を解決するのが、ジェムアルトが新たに提供を開始したクラウドベースの統合型データ保護管理サービスプラットフォーム「SafeNet Data Protection on Demand(以下、DPoD)」である。これは、HSMを中心とした鍵管理、暗号化、データ保護などをクラウドベースで提供するサービスだ。

 クリストウ氏は、「プライベート/パブリックを問わず、複数のクラウド環境で利用している暗号鍵を一元管理できるクラウド型HSMサービスは他にない」と語る。

画像
「SafeNet Data Protection on Demand」のコンセプト

 クリストウ氏は、DPoDが企業にもたらすメリットとして「自動化」「一元化」「シンプル化」「コスト効率性」を挙げる。

 DPoDの利用には、HSM導入の際に必要なハードウェア/ソフトウェアの購入、インテグレーション、運用保守といった作業が一切必要ない。常に最新の暗号化技術が提供されるので、ユーザー側では、ソフトウェアのアップデートや各セキュリティ規格への対応も不要だ。必要なプロセスはすべて自動で実行されるので、HSMを使ったことがない中堅・小規模企業のIT管理者はもちろん、鍵管理に関する専門知識を持たない社員でも利用できる。

「たとえば、オンプレミス環境でHSMを導入する場合は、自社のデータセンター内で鍵管理が完結する。しかし、複数のクラウドでデータを分散して鍵の管理をしている場合、自社内でさまざまな鍵管理をすることは不可能だ。しかし、DPoDは、あらゆる環境に置かれた鍵管理を行いデータを保護できる。顧客はデータ漏えいや複雑な鍵管理を心配することなく、ビジネスに集中できる」(クリストウ氏)

 クラウドは、「AWS」「Microsoft Azure」「Google Cloud Platform」など、ほぼすべてに対応し、DPoDの管理下で暗号鍵を一元管理する。また、SaaSプロバイダーが使用する鍵や、SaaSプロバイダー間でのキーマネジメントポリシーの統一も可能だ。

 たとえば、DPoDはセールスフォース・ドットコムが提供するプラットフォーム暗号化サービス「Salesforce Shield」と連携しており、DPoD経由でSalesforce Shieldを管理するといった使い方もできる。なお、HSMと鍵管理サービスはジェムアルトが提供・管理するが、暗号鍵のアクセスは顧客のみが可能となりセキュリティが担保される。

 また、短時間で利用可能になることも、大きなアドバンテージだ。「評価」から「申し込み」「サービスの選択」「運用」「保護範囲の拡大」といった一連の操作が、数回のクリックで完了する。

 クリストウ氏は「データロケーションを問わず堅牢なデータ保護が短時間で実現できる。利用したいサービスさえ決めてしまえば、(DPoDの稼働まで)5分とかからない。新規開発環境の構築や新事業の市場投入までの時間が、これまでとは比較にならないほど大幅に短縮できる」と説明する。

画像
「SafeNet Data Protection On Demand」が提供する主な機能

画像
「SafeNet Data Protection On Demand」の利用サイクル。使用状況レポートも短時間で取得できる

独自の従量制課金体系でTCO削減にも貢献

 DPoDがもたらすもう1つの大きなメリットは、大幅なコスト削減が可能なことだ。従量制課金を採用しており、ハードやソフトの購入や運用管理といった固定費用も必要ない。また、顧客のビジネスの成長に合わせて柔軟に対応できる。

 クリストウ氏は「初期投資は不要で、インスタンスごとに時間単位で課金されるシステムだ。たとえば、HMSのサービスを100インスタンス 20分間使った場合には、そのインスタンス数と時間分だけ課金される。こうした料金体系は、税金やキャッシュフローの観点からも、財務的なメリットがある」と強調する。

 デジタルトランスフォーメーションが進行する現在、ITのOPEX(Operating Expense:運用コスト)とCAPEX(Capital Expenditure:設備投資コスト)の配分に頭を抱えている企業は少なくない。過去においてOPEXは、企業の業績によって真っ先に削減対象になるものだった。しかし、クラウドの登場で、これまでCAPEXに分類されていた予算がOPEXに移行するケースも増えている。クリストウ氏は「DPoDの導入で、CAPEXとOPEX全体を考慮したTCO(総所有コスト)が低減できるのは間違いない」と強調する。

SLA 99.95%を保証、BCPやDRPにも効力を発揮

 さらに競合優位性としてクリストウ氏は、SLA(Service Level Agreement)99.95%の稼働率保証を挙げる。「HMS提供ベンダーの中でこうしたサービスにおいてSLAを設けているのは、ジェムアルトだけ。BCP(事業継続計画)やDRP(災害復旧計画)の観点からも、他社のサービスとは一線を画す」(クリストウ氏)

 DPoDではなく自社導入のシステムであれば、災害復旧対策は自社で行う必要がある。そのためには暗号鍵をバックアップし、安全な環境で管理しなければならない。その作業時間や運用コストも無視できないものだ。

 一方、DPoDではジェムアルトが自動でバックアップし、同社データセンター内で管理している。また、自動フェイルオーバー機能も備わっているので、万が一、稼働中のシステムで問題が生じてシステム停止しても、自動的に別システムに切り替わるという。

 さらに「セキュリティリスク管理」の観点からもDPoDには優位性がある。いまや、サイバーセキュリテイ対策は重要な経営課題となっている。十分なセキュリティ対策を講じなかったためデータ漏えいを発生させてしまえば、企業のブランド価値と顧客の信用を一気に失う。そうならないためには、各国/組織のコンプライアンス要件を満たさなければならない。

 その1つが、EUにおける「一般データ保護規則(GDPR)」である。企業規模を問わずEU地域内の個人情報を扱うあらゆる企業が、この要件を満たす必要がある。GDPR対策の基本は情報の暗号化に代表されるデータ保護だ。DPoDを利用していれば、最も重要なデータ保護の部分はクリア出来るのである。

 日本では、2017年末から提供を開始したDPoDだが、現在はパートナーや自社でのHMS運用経験がない中堅規模企業に対して積極的にプロモーションしているという。

 今後の日本市場での戦略についてクリストウ氏は、「DPoDにより、今までアプローチできなかった新たな顧客層に対して、データ保護や複雑な鍵管理を短時間にかつ柔軟にサービス提供することが可能になる。日本においても、大手企業や政府機関などですでに、自社内でデータ保護を実装されている例は多いが、今後ますますクラウドへのシフトが進むことにより、新たな選択肢を提案することができる。そのために、現在はまずはこの新しいサービスを再販していただける国内のパートナーの獲得およびデータ保護の重要性とその対策について企業規模にとらわれず広くアピールをしていきたい。また、特に日本の顧客はサービスレベルへの要求が高いので、まずはトライアルで評価をして頂ける環境を用意している」と語る。

PKI・暗号化・認証 ジャンルのセミナー

PKI・暗号化・認証 ジャンルのトピックス

PKI・暗号化・認証 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!