富士通サーバー ISV/IHV技術情報データ流出時の機密情報漏洩を防ぐデータベースのカラム単位の暗号化ソリューション : 富士通

富士通サーバー ISV/IHV技術情報
データ流出時の機密情報漏洩を防ぐデータベースのカラム単位の暗号化ソリューション

ペンタセキュリティシステムズ株式会社様

2023年2月28日

はじめに

日々巧妙化するサイバー攻撃により、業種を問わず企業・公共サービス団体でのデータ流出が繰り返され、企業・団体トップからの謝罪が繰り返されています。時にはネットワークやサーバー、アプリケーションの脆弱性を狙った攻撃であり、時には設備に出入り可能な社員や委託職員がデータの入ったメディアを持ち出すケースもあります。

データ流出が避けられないとしたら、データ内の機密情報や個人情報を暗号化し、読み取られないことが企業や団体の信頼を守ることに繋がるのではないでしょうか。
実際、改正個人情報保護法においても、暗号化に言及されています。データ漏洩対策において重要なことは、システムの暗号化を目的とするのではなく、データそれ自体を暗号化することが、組織の根源的なセキュリティ対策の第一歩となります。なぜなら、組織は守るべき情報とは何かを明確にするからです。

一方、従来の暗号化ツールに対しては、業務に支障をきたす既設アプリケーションの改修、パフォーマンスの劣化、操作性が悪い、職務分掌（プライオリティ付）ができない等の懸念があります。

そこで、それらの懸念を払拭し、お客様や販売店様のデータセキュリティの強化に貢献する製品やソリューションを提供する、ペンタセキュリティシステムズ株式会社（所在地:東京都新宿区、代表取締役社長: 陳　貞喜、以下、ペンタセキュリティシステムズ）美濃部　崇氏にお話を伺いました。

ソリューション提案

情報漏洩対策ソリューションD’Amo（ディアモ）

D’Amoは商用データベースのOracle RDBMSとMicrosoft SQL Serverをサポートしています。既設データベースに対しセキュリティ・エージェント（SA）をインストールし、暗号化・復号を行う仕組みであり、Plug-In方式の暗号化を提供します。PCにインストールされたコンソールは直感的なGUIを採用しており、D’AmoのSAをインストールした複数のDBインスタンスを統合的に管理することができます。また、D’AmoはNISTのCMVP（Cryptographic Module Validation Program）の一環であるFIPS 46-3とFIPS 197の認証を両方取得した製品です。

SA(Service Agent)のPlug-In済みDBインスタンスの結合管理ツール

D’Amoの基本構成

D’Amoは以下２つのコンポーネントで構成されています。
①PCにコンポーネントをインストールしてセキュリティ管理者が運用・管理するための管理コンソール
②データベース・サーバーにインストールされ、管理コンソールからの暗号・復号化を含むD’Amoの機能を実行するセキュリティ・エージェント（Security Agent：SA）

D’Amoの特長

D’Amoには以下の７つの特長ある機能があります。

アプリケーションからの独立性並びに透過性
カラム単位の暗号化
DB管理者とセキュリティ管理者の職務分掌（プライオリティ付）
暗号化カラムに対する暗号・復号化権限の制限
アクセスコントロール機能
暗号化カラムへのアクセス監査機能
GUIベースの管理コンソール

構築プロセス

D’Amoの導入プロセスは、暗号化を導入する環境の情報を把握する「環境分析」、D’Amoの２つのコンポーネントをインストールする「インストール」、既設データベースの平文のデータを暗号化する「データマイグレーション」、暗号・復号の権限やアクセス制御の設定を行う「セキュリティポリシー設定」で構成されています。いずれも、開発環境で導入検証を行い、アプリケーションの動作や性能の課題の有無を調査します。

災害時復旧にも対応可能

D’Amoはシステムの移行と同様に災害時のシステム復旧の際、新規の構築環境に対しセキュリティ・エージェントを再インストール、セキュリティポリシーのバックアップファイルを反映、既存の鍵のファイルを戻すことによって環境を再構築することができます。そのため構築時に発行した鍵の管理は組織内のセキュリティ権限所有者によって適切に管理・維持されなくてはなりません。

サポート対応DB製品（Oracle RDBMS）サーバー環境
＊Enterprise Edition, Standard Edition両方に対応

OS種別		Oracle Version
OS種別		10g	11g	12c （CDB/Non-CDB）	18c/19c （CDB/Non-CDB）
AIX 5.3	64bit
HP-UX IA	64bit
HP-UX PA-RISC	64bit
SUNOS 5.9	64bit
LINUX	32bit
LINUX	64bit
WINDOWS	32bit
WINDOWS	64bit

：Non-support
：Support
：C Version onry
：Need Compile

※標準では、Javaバージョンのインストールが選択されますが、Oracle JVM環境が必須です。それ以外の環境では、Cバージョンで構成します。
※オラクル社のデータベースシステム要件を満たすことを前提とし、OracleDB の専有(Dedicated)サーバモードの構成が必須となります。
※その他インストール要件の詳細については、各環境のヒアリングシートの記入をご依頼させて頂きます。

クライアント環境

区分	対応環境
ソフトウェア	.NET Framework 4.6.1以上 *推奨環境：Windows 10,Windows Server 2019
ハードウェア	RAM：256MB以上 HDD：110MB以上の空き領域

※Oracleデータベース接続には、Oracle接続環境（Oracle Client)の構成を前提とします。

サポート対象DB製品（Microsoft SQL Server）サーバー環境

DBMS	Windows Server 2016(x64 only)	Windows Server 2019(x64 only)
DBMS	x64	x64
SQL Server 2014 Standard ～
SQL Server 2014 Enterprise ～
SQL Server 2016 Standard ～ (x64 only)
SQL Server 2016 Enterprise ～ (x64 only)
SQL Server 2017 Standard ～ (x64 only)
SQL Server 2017 Enterprise ～ (x64 only)
SQL Server 2019 Standard ～ (x64 only)	*1	*1
SQL Server 2019 Enterprise ～ (x64 only)	*1	*1

：Non-support
：Support
：Limitation
：Need Compile

*1 SQL Server 2019 CU12 以上の累積更新プログラムの適用が必要です。
※Microsoft 社のシステム要件を満たす構成を前提とします。また、SQL Server 2008以降のバージョンは、Microsoft社が提供するSQLServer 2005の互換性モジュールのインストールが事前に必要になります。
※その他の構成環境は、別途お問い合わせ下さい。

クライアント環境

区分	対応環境
ソフトウェア	.NET Framework 4.6.1以上
ハードウェア	RAM：256MB以上 HDD：110MB以上の空き領域

OSS DB対応、サポート対象製品について

MyDiamo（マイディアモ）はOSS DBを対象にエンジンレベルの暗号化を実現したIn-Place方式の暗号化を提供します。サポート対象製品のご確認等はペンタセキュリティシステムズまでお問い合わせください。

富士通製サーバー上のデータセキュリティ提案をサポート

D’Amoは富士通製PRIMERGY（Windows Server）, PRIMEQUEST（Linux Server）等で動作するOracle RDBMS、MS SQL Serverのカラムデータの暗号化を行い、データ流出時の情報漏洩を防ぎます。Oracle製品ではサポートされていないStandard Editionの暗号化や、両社RDBMSの古いバージョンも幅広くカバーします。
ペンタセキュリティシステムズは開発元韓国のセキュリティトップ企業として政府、金融、製造等で実績があり、世界各国でビジネスを展開、国内では約18年間の実績があります。D’Amoは政府公共団体や企業の産業枠に囚われず機密データや個人情報を取り扱う国内外の幅広いお客様でお使いいただいています。
お客様へのご提案や、導入前の検証時にはペンタセキュリティシステムズ並びに販売代理店がご支援いたします。お気軽にお声を掛けてください。