富士通サーバー ISV/IHV技術情報
データ流出時の機密情報漏洩を防ぐデータベース暗号化ソリューション
ペンタセキュリティ株式会社 様
2024年3月31日
はじめに
日々巧妙化するサイバー攻撃により、業種を問わず企業・公共サービス団体でのデータ流出が繰り返され、企業・団体トップからの謝罪が繰り返されています。時にはネットワークやサーバー、アプリケーションの脆弱性を狙った攻撃であり、時には設備に出入り可能な社員や委託職員がデータの入ったメディアを持ち出すケースもあります。
データ流出が避けられないとしたら、データ内の機密情報や個人情報を暗号化し、読み取られないことが企業や団体の信頼を守ることに繋がるのではないでしょうか。
実際、改正個人情報保護法における法令やPCI DSSが示すコンプライアンス対応においても、セキュリティ対策として暗号化に言及されています。データ漏洩対策において重要なことは、システムの暗号化を目的とするのではなく、データそれ自体を暗号化することが、組織の根源的なセキュリティ対策の第一歩となります。なぜなら、組織は守るべき情報とは何かを明確に区分し、その防御策とリスク管理を検討する必要性が生じるからです。
一方、従来の暗号化ツールに対しては、業務に支障をきたす既設アプリケーションの改修、パフォーマンスの劣化の懸念、開発工数が掛かりすぎる、職務分掌(プライオリティ付)等の要件定義ができない等の懸念から、現場では率先してセキュリティ対策が推進されない状況が課題として多くありました。
そこで、そうした課題にどのように取り組むべきか、お客様や販売店様を通じてデータセキュリティの強化を支援する製品ラインナップやソリューションを展開する、ペンタセキュリティ株式会社(所在地:東京都新宿区、代表取締役社長: 陳 貞喜、以下、ペンタセキュリティ)美濃部 崇氏にお話を伺いました。
ソリューション提案 1:商用データベースにデータ暗号化機能をプラグイン
データベース情報漏洩対策ソリューションD’Amo DP(ディアモ・ディーピー)
D’Amo DP は商用データベースのOracle RDBMSとMicrosoft SQL Serverをサポートしています。既設データベースに対してもセキュリティ・エージェント(SA)をアドオンとしてインストールし、データベース基盤の仕様に基づいてテーブルデータを暗号化・復号を行う仕組みを実装します。また、管理用のPCにインストールされたコンソールでは、直感的な日本語GUIを採用しており、SAをインストールした複数のDBインスタンスを統合的に管理することができます。管理コンソールでは、既存のテーブルの平文のデータカラムを選択して、暗号化マイグレーションの実行や暗号化カラムのアクセス権限を付与します。D’Amo DPはNISTのCMVP(Cryptographic Module Validation Program)の一環であるFIPS 46-3とFIPS 197の認証を取得した信頼のある暗号化アルゴリズムを採用しています。
D’Amo DPの基本構成
D’Amo DPは以下2つのコンポーネントで構成されています。
①PCにコンポーネントをインストールしてセキュリティ管理者が運用・管理するための管理コンソール
②既設のデータベース・サーバー構成上にインストールされ、管理コンソールからのポリシー定義に基づいた、暗号化・復号処理を含むD’Amoの機能を実行するセキュリティ・エージェント(Security Agent:SA)
D’Amo DPの特長
D’Amo DPには、以下の7つの特長ある機能を提供します。
- アプリケーションからの独立性並びに透過性
- テーブル上のカラム単位のデータ暗号化
- DB管理者とセキュリティ管理者の職務分掌(プライオリティ付)
- 暗号化カラムに対する暗号化・復号権限の制御
- IPやアプリケーションソースによるカラムアクセス制御
- 暗号化カラムへのユーザ・アクセスとセキュリティ管理者のポリシーログ監査
- GUIベースの管理コンソールによる一元的なデータベースセキュリティ・オペレーション
構築プロセス
D’Amo DPの導入プロセスは、暗号化を導入する環境の情報を把握する「環境分析」、D’Amo DPの2つのコンポーネントをインストールする「インストール」、既設データベースの平文のデータを暗号化する「データマイグレーション」、暗号・復号の権限やアクセス制御の設定を行う「セキュリティポリシー設定」で構成されています。いずれも、まず開発環境で導入検証を行い、アプリケーションの動作や性能の課題の有無を調査します。
災害時復旧にも対応可能
D’Amo DPはシステムの移行と同様に災害時のシステム復旧の際、新規の構築環境に対しこれまでの暗号化データを含むバックアップデータを復旧させると同時に、セキュリティ・エージェントを再インストール、セキュリティポリシーのバックアップファイルを反映、既存の鍵のファイルを戻すことによって暗号化システムの環境を再構築することができます。そのためには、構築時に発行した鍵の管理は組織内のセキュリティ権限所有者によって適切に管理・維持されなくてはなりません。
サポート対応DB製品(Oracle RDBMS)サーバー環境
*Enterprise Edition, Standard Edition両方に対応
| OS種別 | Oracle Version(SE/EE) | ||||
|---|---|---|---|---|---|
| 10g | 11g | 12c (CDB/Non-CDB) |
18c/19c (CDB/Non-CDB) |
||
| AIX 5.3 | 64bit |  |
|
|
 |
| HP-UX IA | 64bit | |
|
|
|
| HP-UX PA-RISC | 64bit | |
|
|
|
| SUNOS 5.9 | 64bit | |
|
|
|
| LINUX | 32bit | |
|
|
|
| LINUX | 64bit | |
|
 |
|
| WINDOWS | 32bit | |
|
|
|
| WINDOWS | 64bit | |
|
|
|
:Non-support
:Support
:C Version onry
:Need Compile
※標準では、Javaバージョンのインストールが選択されますが、Oracle JVM環境が必須です。それ以外の環境では、Cバージョンで構成します。
※オラクル社のデータベースシステム要件を満たすことを前提とし、OracleDB の専有(Dedicated)サーバーモードの構成が必須となります。
※その他インストール要件の詳細については、各環境のヒアリングシートの記入をご依頼させて頂きます。
クライアント環境
| 区分 | 対応環境 |
|---|---|
| ソフトウェア | .NET Framework 4.6.1以上 *推奨環境:Windows 10,Windows Server 2019 |
| ハードウェア | RAM:256MB以上 HDD:110MB以上の空き領域 |
※Oracleデータベース接続には、Oracle接続環境(Oracle Client)の構成を前提とします。
サポート対象DB製品(Microsoft SQL Server)サーバー環境
| DBMS | Windows Server 2016(x64 only) |
Windows Server 2019(x64 only) |
||
|---|---|---|---|---|
| x64 | x64 | |||
| SQL Server 2014 Standard ~ | |
|
||
| SQL Server 2014 Enterprise ~ | |
|
||
| SQL Server 2016 Standard ~ (x64 only) | |
|
||
| SQL Server 2016 Enterprise ~ (x64 only) | |
|
||
| SQL Server 2017 Standard ~ (x64 only) | |
|
||
| SQL Server 2017 Enterprise ~ (x64 only) | |
|
||
| SQL Server 2019 Standard ~ (x64 only) | *1 |
*1 |
||
| SQL Server 2019 Enterprise ~ (x64 only) | *1 |
*1 |
||
:Non-support
:Support
:Limitation
:Need Compile
*1 SQL Server 2019 CU12 以上の累積更新プログラムの適用が必要です。
※Microsoft 社のシステム要件を満たす構成を前提とします。 また、SQL Server 2008以降のバージョンは、Microsoft社が提供するSQLServer 2005の互換性モジュールのインストールが事前に必要になります。
※その他の構成環境は、別途お問い合わせ下さい。
クライアント環境
| 区分 | 対応環境 |
|---|---|
| ソフトウェア | .NET Framework 4.6.1以上 |
| ハードウェア | RAM:256MB以上 HDD:110MB以上の空き領域 |
ソリューション提案 2:ファイルシステムの暗号化とプロセス制御でランサムウェア対策
ファイル暗号化ソリューションD’Amo KE(ディアモ・ケーイー)
D‘Amo KE(ディアモ・ケーイー)は、WindowsのOSカーネル・レベルでファイルシステムのフォルダ単位にファイル暗号化・復号を実行できるD’Amoシリーズの新たな暗号化モジュールです。Windowsサーバーに、簡単かつ迅速にセットアップするだけでファイルが自動的に暗号化されてデバイスに保持されます。またアプリケーションを改修せず、性能劣化も最小限であるため、業務上の共有フォルダやバックアップフォルダ、データベースファイルや動画、イメージファイル等のファイル形式を問わず暗号化できます。そして、これらの暗号化フォルダに、ログインユーザアカウントとプロセス(実行許可プログラム)制御を付加することで、サーバーシステムからの内部漏洩を防ぎ、外部から侵入したマルウェアの実行からも重要ファイルを防御します。
- ファイルシステムのフォルダ単位のファイル自動暗号化
- Windowsユーザとグループ、実行プログラムを掛け合わせるアクセス制御ポリシー
- サーバールーム内のファイルアクセスログ監と管理者のセキュリティポリシーログ監査
こうした3つの特徴により、D’Amo KEの導入効果は、物理的デバイスの盗難や紛失、またはサーバー廃棄時の外部業者への委託時にも、データを抽出による情報漏洩を防ぎ、また、サーバールームにおける非認可者(非権限者)や不正侵入者からのデータ侵害を根本的に遮断できます。また、Windowsサーバーから接続するネットワークストレージ(NAS)にも対応しており、バックアップファイル等のシステム管理上のデータフォルダの暗号化(共有は不可)にも対応します。
近年では、さまざまな経路で内部侵入被害が報告されているランサムウェア攻撃の対策として、サーバのファイルシステムの重要データに対して、事前に暗号化と許可するプログラムのみを定義すれば、ランサムウェアやゼロデイ攻撃の不正プログラムの実行をプロセス単位で封じます。ランサムウェア攻撃によって社内システムへの侵入が認められた場合においても、保護ファイルへの不正プログラムの実行はすべて遮断されるため、保護すべき情報の侵害や流出を未然に防ぎます。
サポート対象製品のご確認等はペンタセキュリティまでお問い合わせください。
その他のデータ暗号化について
D’Amo DE(ディアモ・ディーイー)は、OSS DBであるMySQLやMariaDBを対象にエンジンレベルの暗号化を実現したIn-Place方式の暗号化を提供します。サポート対象製品のご確認等はペンタセキュリティまでお問い合わせください。
富士通製サーバー上のデータセキュリティ提案をサポート
D’Amoは富士通製PRIMERGY(Windows Server), PRIMEQUEST(Linux Server)等で動作するOracle RDBMS、MS SQL Serverのカラムデータの暗号化を行い、データ流出時の情報漏洩を防ぎます。Oracle製品ではサポートされていないStandard Editionの暗号化や、両社RDBMSで構築された利用中のデータベース環境でも幅広くカバーします。
ペンタセキュリティは開発元韓国のセキュリティトップ企業として政府、金融、製造等で実績があり、世界各国でビジネスを展開、国内では約20年間の実績があります。D’Amoは政府公共団体や企業の産業枠に囚われず機密データや個人情報を取り扱う国内外の幅広いお客様でお使いいただいています。
お客様へのご提案や、導入前の検証時にはペンタセキュリティ並びに販売代理店がご支援いたします。お気軽にお声を掛けてください。
ペンタセキュリティの検証設備で稼働中のPRIMERGY
お問い合わせ先
ペンタセキュリティ株式会社
日本セキュリティビジネス本部 ビジネス開発推進部
050-1790-2188
japan@pentasecurity.com
Webサイト: https://www.pentasecurity.co.jp/damo/
