鍵管理:今日の課題

暗号は、強力なセキュリティを提供できるさまざまなプロセスの根本に位置するものですが、適切な管理を行わないと、これらのプロセスも、複雑でコストがかかり、リスクを生みやすいものになってしまいます。暗号に基づいて構築された、デジタル署名やデータ暗号化などのセキュリティ操作の管理能力は、これらのプロセスに強い影響力を持つ暗号鍵を効果的に管理する能力に直接依存しています。暗号が組織のITインフラストラクチャの中でより広範囲に使われ、管理すべき鍵の数と多様性も増大するにつれて、鍵管理上の課題は、今後も増える一方であると思われます。暗号セキュリティの実装責任者は、鍵管理に対する様々なアプローチ、鍵管理手法のベストプラクティス、およびそれらの手法を実装するための技術的選択肢を熟知しておく必要があります。

鍵管理は単なる運用上の課題ではありません。監督機関が鍵管理の重要性を認識するに従って、セキュリティおよび監査に関するこれら鍵管理のプロセス固有の要求事項は、より厳格なものとなりつつあります。さらに、OASIS KMIP (Key Management Interoperability Protocol )などの標準が整備されており、これらの標準によって異なるデバイスやシステム間における鍵管理面の互換性が改善すると見込まれています。鍵管理の戦略を策定するにあたっては、これらの傾向を踏まえて、運用、セキュリティ、および監査面での要求事項を考慮する必要があります。

詳しくはこちら

鍵管理とは

鍵管理のプロセスとは、暗号鍵を作成、維持、保護し、その使用を管理するために必要となる人間の行うべきタスクと自動化されたタスクを、すべて組み合わせたものです。秘密保持のためのデータ暗号化、認証のためのデジタル証明の使用、あるいは文書の正当性を証明するためのデジタル署名プロセスの実行など、どのような処理を行うにしろ、鍵管理上の課題が数多く存在することに変わりはありません。それぞれの鍵には、作成、有効寿命内での使用、廃棄というライフサイクルがあります。鍵のライフサイクルの長さと、その作成から廃棄までの間にどのようなことが起こるのかは、個々のアプリケーションによって大きく異なります。鍵のライフサイクル全般にわたってその鍵を効果的に管理することによって、リスクを減らして展開コストを削減し、データ保護規則への適合性を維持することができるようになります。

鍵管理へのアプローチ

ユーザの目標によっては、単一アプリケーションの鍵管理に関心がある場合もあれば、組織の一部門や企業全体を対象とした一連のビジネスプロセス全体において、より効果的に鍵を管理することに目を向けている場合もあります。

個々のセキュリティアプリケーションの特性は大きく異なります。以下のそれぞれにおける違いを考えてみしょう。比較対象は、1) 2つのデータセンタ間の専用リンクを介して受け渡しされるデータの暗号化、2) 大きな契約のための、信頼性が確保されたデジタル署名の有効化、3) オンラインバンキングにおけるセキュアなトランザクションの確保、4) 電子商取引でのセキュアサーバー上でのクレジットカード決済の受け入れ、および5) 最高セキュリティ責任者(CSO)用スマートカードの発行です。それぞれのデータ量、利用頻度、攻撃の可能性、およびビジネスリスクは異なりますが、これらのプロセスのセキュリティ上の目標を達成するには、すべて効果的な鍵管理が必要になります。

各組織の鍵管理方法については複数の選択肢がありますが、以下にその代表的なシナリオを3つ挙げます。

  • ソフトウェアネイティブツールによる鍵管理:最も単純なレベルでは、導入する個々の製品のネイティブ機能として付属している基本的な鍵管理機能を利用することができます。たとえば、多くの市販暗号化製品には、少なくとも鍵管理ライフサイクルのいくつかのフェーズを扱うためのソフトウェア機能が含まれています。これらの鍵管理ユーティリティの重点、ポリシ、一般的なセキュリティ特性は、製品によって大きく異なります。
  • セキュリティ強化型デバイスを使用した鍵管理:リスク管理を強化して鍵のライフサイクル全体を確実に管理するために、ハードウェアセキュリティモジュール(HSM)などの、目的に合わせて作られたセキュリティ強化型鍵管理デバイスを使用して、市販アプリケーションやカスタムアプリケーションを補強することができます。専用暗号ハードウェアを使用すれば、暗号機能用の隔離された領域、あるいは「信頼できる」領域を作り出すことができるので、ソフトウェアベースの暗号が持つ本質的な脆弱性を解消することができます。鍵管理用の独立したセキュリティプラットフォームを使用すると、鍵管理のタスクとその鍵を使用するアプリケーションのタスクとを厳密に区別することもできます。単一スーパーユーザを使うことでの脅威を緩和するために役割を分離することは鍵管理手法のベストプラクティスであり、PCI DSSなどのセキュリティ標準もこの方法を推奨しています。
  • 鍵の一元管理:大規模展開の場合、種類の異なるアプリケーションやシステムの鍵を管理する組織は、ポリシの不統一、異なるレベルの保護、コストの上昇といった問題に直面する可能性があります。鍵管理のための一元化されたアプローチを実行すれば、統一されたポリシ、システム全体を対象とした鍵の廃棄、自動化された鍵配布、統合化された監査、役割の明確な分離、保護とバックアップのための単一の鍵リポジトリなどを含む利点が実現されます。より戦略的なトップダウン方式の鍵管理アプローチを採用すれば、業務の効率を向上させながら、組織全体の管理を強化することができます。一元鍵管理を実装する組織は、攻撃者にとって絶好の攻撃目標となり得るシステムのセキュリティ特性を慎重に検討しなければなりません。また、高レベルの可用性を維持する必要もあります。一元鍵管理プロセスが単一障害点にならないようにするには、障害時の復元およびフェイルオーバのためのメカニズムが必要です。

セクションを隠す

リスク

  • 鍵は悪意ある人物の手に渡る恐れがあり、その場合は適切な権限を持たない人物やアプリケーションが、慎重に扱うべき情報や高価値の情報にアクセスできるようになってしまいます。
  • データ漏洩は、望まない情報の公開や顧客ID情報の盗難という結果を招く恐れがあり、罰金が科されたり法的な申し立てが行われたりする可能性もあります。
  • 鍵を紛失したり鍵が回復不能になったりすることもあり、その場合はデータを読み取ることができなくなります。鍵を紛失した場合、データの具体的な性質によっては、事業の中断、顧客の喪失、あるいは法的責任といった形で、企業にとって大きな問題となることもあります。
  • ソフトウェアベースの鍵管理プロセスによる保護は限定的なものに過ぎず、慎重に扱うべき鍵(およびその鍵が保護するデータ)の攻撃に対する脆弱性は解消されません。
  • 断片化した鍵管理システムが増えていってしてしまうと、セキュリティ管理が複雑なものとなってコストも増大し、ビジネスプロセスの管理が難しくなり、スケーラビリティも損なわれる恐れがあります。
  • 鍵管理作業の文書化が十分でないと、コンプライアンス報告作業の負担が大きくなります。

鍵管理:Thales e-Securityソリューション

Thales e-Securityは、暗号プロセス全体に効果的な鍵管理を導入することによって、組織が最大限の保証性を実現することを支援します。タレスの製品とサービスを使用すれば、ビジネスプロセスの管理性とスケーラビリティの維持をするために運用効率を確保しながら、同時に高レベルの保証性を実現する鍵管理手法のベストプラクティスを実装することができます。現在においても将来においても、タレスの鍵管理エキスパートは、ユーザによる鍵管理アプローチの設計と、それぞれのアプリケーションや組織のニーズに最も適したソリューションの導入を支援します。

  • nShield HSMを使用すれば、耐タンパハードウェアで鍵とそれに関するオペレーションを保護することによって、暗号およびデジタル署名プロセスのセキュリティを強化することができます。これらのHSMは、実績ある鍵管理アーキテクチャであるThales Security Worldを採用していることが特長で、このアーキテクチャは、鍵のバックアップなどの重要な鍵管理タスクを自動化し、システム内に存在するHSMに対して一貫したポリシを実行します。
  • keyAuthorityは、広範なデバイスとプロセスを対象とした一元化鍵管理アプローチの実装を支援するために設計されたセキュリティ強化型鍵管理装置です。このデバイスの特長はFIPS 140の認証を受けた耐タンパのセキュリティ機能で、障害時の回復のためのレプリケーション機能や、高度な役割ベースのポリシ制御が組み合わされています。KeyAuthorityは最新のKMIP標準に対応した設計となっており、2500万個を超える鍵を管理することができます。

利点:

  • 専用ハードウェアモジュールや一元化された鍵管理装置を使用して、効果的な暗号鍵管理を実現します。
  • ネイティブのソフトウェアベース鍵管理に比べて、セキュリティを大幅に改善します。
  • 断片的に導入された暗号機能やその他の暗号ベースアプリケーションに対する管理を取戻します。
  • 鍵紛失のリスクを減らし、高い管理コストを抑えて、スケーラビリティに欠けるプロセスを減らします。
  • 事業継続性をリスクにさらすことなく、業界の要求事項と新しい鍵管理の標準を満たします。
  • 鍵管理手法のベストプラクティスを実装し、将来的な要求事項にも対応できるようにします。
  • エキスパートとの協力 - Thales e-Securityは暗号鍵管理の最先端を行く世界的に認められた権威あるソリューションプロバイダであり、30年以上にわたる経験に裏打ちされています。