ネットワークの暗号化:今日の課題

今日、本当の意味でセキュアなプライベートネットワークを実現している組織はほとんどなく、他の組織とネットワークインフラストラクチャを共有しています。結果として、これらの公共ネットワークや仮想プライベートネットワーク上でやりとりされる情報は、多くの場合、傍受に対して脆弱です。したがって、データのプライバシに関する今日の要求事項と標準の多くにおいては、基準レベルの保護として、使用中のデータを保護することが求められています。それぞれの組織は、選択したデータの暗号化をアプリケーションレベルで行うか、データベース内またはその他のストレージ環境内で行うかを選ぶことができる一方、ネットワーク上を移動するデータをまとめて保護することは、ぶっきらぼうなやり方であるものの、特別なセキュリティ層を追加する上で非常に効果的な手段となります。ネットワーク暗号化は、規制されたデータが誤って保護措置を施さずに送信されてしまった場合にこれを保護します。また、専用の保護措置を施すほどではないにしても、やはり慎重に扱うべきとみなされるような、その他あらゆる重要区分のデータに、貴重な保護を提供します。ネットワークレベルの暗号化は比較的成熟した技術ですが、それを使用する組織には、どのタイプのネットワーク暗号化を導入するのかを決定する際に、いくつかの選択を行うことが求められます。

詳しくはこちら

  • どのネットワークのトラフィックを暗号化すべきか: ほとんどのネットワークはある程度オープンなものですが、中には、他のものよりはるかにオープンなものがあります。内部的な有線ネットワークは、内部関係者からの攻撃による脅威にさらされることがあるので、最も慎重に扱うべきデータに関してのみ脆弱であると見なすことができます。それに対して、基幹ネットワークや広域ネットワーク(WAN)接続は、外部サービスプロバイダが提供するパイプを共有しているのが普通なので、通常は、より慎重に検討する必要があります。ワイヤレスローカルエリアネットワーク(LAN)やワイヤレスWAN上のトラフィックについては、ほとんどすべての設定でトラフィックを暗号化する必要があります。インターネット上のトラフィックについては言うまでもありません。ここでは、主にWANの暗号化に焦点を当てます。
  • トラフィックはOSIネットワークモデルのレイヤ2とレイヤ3のどちらで暗号化すべきか: この選択で問題となるのは、オーバーヘッドと予想される帯域幅の浪費です。IPsecなどのよく知られたプロトコルを使用してレイヤ3に暗号化を適用すると、ネットワーク上のさまざま機器が使用するルーティング情報を終始維持する必要が生じます。これは大きなオーバーヘッドを生じさせ、最終的にはネットワークのキャパシティーとレイテンシに影響します。レイヤ2の暗号化はより低いレイヤで行われるので、レイヤ3で使われるルーティング情報やフロー管理手法は関係せず、ほとんどの場合は、より効率的に暗号化を行うことができます。とはいえ、IPsecがネットワーク暗号化にとって最も一般的な形態であることに変わりはありません。ただし、帯域幅とレイテンシが最も重視されるデータセンタ同士の高速接続の場合は、この限りではありません。
  • 現在のセキュリティニーズに最適なのは組み込み暗号かスタンドアロン暗号か: ネットワークレベルの暗号化は比較的成熟した技術なので、ルーティング機器やスイッチング機器の組込み機能、あるいはネイティブ機能として利用できるようになっているのが普通です。スタンドアロン暗号化プラットフォームは、組み込み暗号化機能と並ぶもうひとつの選択肢で、高レベルの保証性と、専用の鍵管理機能の利点を併せ持っています。スタンドアロン暗号化プラットフォームは、FIPS 140やコモンクライテリアなどのセキュリティベンチマークに基づく第三者機関の証明を受けており、耐タンパ性に加えて、ネットワーク管理者とセキュリティ責任者の業務を明確に分離できる機能を備えています。

スタンドアロンのネットワーク暗号化プラットフォームは、データセンタ間の高速接続に特に有効です。世界的に相互接続された組織やサービスプロバイダでは、最適化された帯域幅、確実な障害からの回復性、およびストレージエリアネットワーク(SAN)やトランザクションシステム、クラウドコンピューティングといったクリティカルシステムへのセキュリティといった要素を組み合わせる必要があります。これらの基幹接続のセキュリティをできるだけ透過的に確保することが、企業の重要な成功要因となり、ネットワークサービスプロバイダの大きな差別化要素になります。

セクションを隠す

リスク

  • 攻撃者はネットワーク上を移動する未暗号化データを読み取ることができ、プライバシが損なわれるだけでなく、より高度な攻撃へ移行する一段階として、内容が改ざんあるいは置き換えられる可能性もあります。
  • 業界における多くの要求事項は使用中のデータの保護を求めているため、この保護を実装していない組織は、罰金やばつの悪いデータ漏洩の報告声明実施のリスクにさらされ、最終的にはその評価を損なう恐れがあります。
  • アプリケーションによっては、ルータやスイッチに組み込まれた暗号化機能では、必要とされるセキュリティと性能の組み合わせを実現できないことがあります。

ネットワークの暗号化:Thales e-Securityソリューション

Thales e-Securityのスタンドアロンネットワーク暗号化プラットフォームを使用すれば、実績あるソリューションを導入して、慎重に扱うべき高価値のデータが伝送中に漏洩してしまうことがないよう、最大限の信頼性を実現することができます。Datacryptorネットワーク暗号化プラットフォームは、未暗号化データの伝送と、ルータやスイッチに組み込まれた基本的暗号化機能の両方に対して保護を強化します。

Datacryptorファミリのネットワーク暗号化プラットフォームは、最先端のスループットとレイテンシを実現しながら、さまざまなネットワークタイプ、暗号化プロトコル、および認定レベルに対して幅広いサポートを提供できるように設計されています。このようなセキュリティ、性能、および導入におけるフレキシビリティの理想的な組み合わせは、レイテンシ、帯域幅の有効利用、業務の明確な分離が最も重視されるポイントツーポイントネットワークやマルチポイントネットワークのセキュリティを確保しようとする組織やサービスプロバイダにとって、不可欠なものです。代表的な利用のシナリオとしては以下のようなものが挙げられます。

  • 地理的に分散され、仮想プライベートネットワークによって相互に接続されたオフィスを持つ施設や組織
  • 高速広域ネットワーク(WAN)接続を使用してミラー化あるいは複製されたデータセンタを持つ組織
  • マイクロ波または無線ベースの構内ネットワークを使用する組織
  • 高品質の暗号化データネットワーキングサービスを提供しようとするサービスプロバイダ
  • 保証性の高い制限付きネットワークに、国内専用のアルゴリズムや鍵管理手法を使おうとする政府機関

利点:

  • 20年以上にわたる実績ある技術によって、保証性の高いネットワーク暗号化ソリューションを導入します。
  • 組織のニーズに合わせて最もコスト効果の高いデータ伝送媒体、ネットワーク速度、プロトコルを利用します。Datacryptorプラットフォームは、IP、レイヤ 2 イーサネット、E1/T1 & E3/T3、SONET/SDH、Link、およびフレームリレーに使用できます。
  • 耐タンパの物理的なセキュリティ強化、管理者用の強力な認証、ハードウェアベースの鍵生成、組み込みおよびリモート鍵管理など、ネットワークスイッチやルータのネイティブ暗号化機能では実現できないセキュリティ機能の利点を生かします。
  • ネットワーク管理者とセキュリティ責任者の業務分離を実現することによって、内部関係者による攻撃のリスクを軽減します。
  • 国固有の、あるいはその国の公的な暗号化アルゴリズムや鍵管理標準を展開しようとする組織については、具体的な要求に合わせてカスタマイズや再プログラムが可能な既製暗号化デバイスの使用を通じて、コストを最小限に抑えることができます。
  • FIPSやコモンクライテリアなどの世界的なセキュリティ標準や、UK CESG/CAPSなどの地域的証明に基づく認証を受けたデバイスを使用することによって、コンプライアンスを単純化します。