セキュアコードの実行:今日の課題

マルウェアベースの攻撃の増加が示すように、ソフトウェアアプリケーションとそこで使われるデータは、タンパリングに対して脆弱です。アプリケーションレベルの暗号化が使われていたとしても、サーバ上でデータが復号化される場合、そのデータはやはり脆弱なものとなる可能性があります。クリティカルなアプリケーションについては、慎重に扱うべきアプリケーションプロセスや実行中のデータに攻撃者がアクセスできないようにするための措置を講じなければなりません。

従来は、専用データセンタもしくはある程度信頼できる環境としての分離されたシステムによって物理的な保護が提供されていました。しかし、今日の高度に分散化されたシステムや緊密に統合化されたシステム、あるいは多くの場合完全に仮想化されるか、場合によってはクラウドベースとなっているシステムでは、環境的なセキュリティが著しく損なわれていることが少なくありません。強力なソリューションのひとつとしては、アプリケーションのセキュリティに注意を払うべき部分を、ハードウェアセキュリティモジュール(HSM)などが提供するセキュアな限定領域内で実行することです。アプリケーションに「サンドボックス」を提供するHSMは、耐タンパーハードウェア境界内でアプリケーションコードを実行することを可能にし、セキュリティ上信頼性の低い環境内に信頼性の高い領域を効果的に作り出して、APT(Advanced Persistent Threats)を含む、部外者や内部関係者によるさまざまな攻撃から、アプリケーションを保護します。

詳しくはこちら

信頼性の低い環境でアプリケーションを実行しなければならない場合でもそのアプリケーションの信頼性を明白なものにしなければならない場合、あるいはアプリケーションの完全性を損なう攻撃が特に深刻な結果をもたらすような場合は、この特別な予防措置を講じることができます。適用対象例としては以下のようなものが挙げられます。

  • 公開鍵インフラストラクチャ(PKI)において、偽造証明書の発行を認可するために認証局(CA)のアプリケーションコードが改ざんされる恐れがある場合。
  • オンラインコンテンツ配布において、例えば映画館に課金目的で配布量を測り、同時にセキュリティ目的で監査をするような、遠隔地の高価値のコンテンツにアクセスするような場合。
  • 遠隔地における監査ロギングにおいて、監査やコンプライアンス目的のためにセキュアな信頼できるログが不可欠な場合。これらのアプリケーションには、監査ログや記録に対し、デジタル署名や(作り方によって信頼を与え得る)タイムスタンプを、信頼できる方法で適用する必要があります。
  • 携帯電話やスマート公共料金メーターなどのハイテク装置の外注生産において、デバイスのクレデンシャルやデジタルアイデンティティを作成して発行したり、製造する装置の数と構成を管理したりするために、リモートアプリケーションプロセスを使用する場合。これらのプロセスが悪用されると、偽造品や非正規品、あるいはマルウェアに感染した製品が製造される恐れがあります。
  • ウェブでのログオン用クレデンシャル情報などの高価値データを保護する、秘密性の高い独自開発のアルゴリズムやプロトコルを、ウェブDMZや公共の環境などの危険な環境に置かなければならない場合。これらの場合は、大規模な攻撃や知的財産あるいは個人データの喪失を防ぐために、すべて保護が必要です。

セクションを隠す

リスク

  • 悪意あるアプリケーションによって、実行中のアプリケーションのコードが読み取られ、データやビジネスプロセスが盗まれる恐れがあります。
  • APT(標準アプリケーションの動作を変えてしまうアプリケーション)が、しばらくの間侵入が検出されないような形でクリティカルなビジネスプロセスの制御を奪い、これを攻撃者に渡すことで、ビジネスの完全性が損なう恐れがあります。
  • 改ざんされたアプリケーションは、製造プロセスの特性や製造されたデバイスの構成またはファームウェアを変更する恐れがあり、それらのデバイス自体が大規模なデータ盗用を行うためのトロイの木馬として使われた場合は影響の及ぶ範囲が広くなります。
  • 物理的なセキュリティや隔離といった従来型のアプローチを使用してサーバを正常終了させようとする試みは、仮想化モデルやクラウドベースモデルへの移行が今以上進むにつれて、ますます高価で制約が多くなり、実施できなくなる可能性もあります。

セキュアコードの実行:Thales e-Securityソリューション

nShield HSM CodeSafeのカスタムコードをセキュアに実行する機能を使用することで、開発者とアーキテクトは、HSMのセキュアな境界内にある実行コードを保護することができます。CodeSafeは、HSMの鍵管理および暗号処理能力からさらに安全境界を拡大し、セキュリティに注意を払うべきアプリケーションコードが実行できるアプリケーションである「サンドボックス」をその範囲に含めます。CodeSafeは、サーバ上で実行されるアプリケーションとHSM上で実行されるプロセスの間にあるセキュリティギャップを埋める助けとなります。CodeSafeはアプリケーション実行時にそのアプリケーションを保護するので、許可されていないプログラムがデータにアクセスするのを防ぐことができます。さらに、CodeSafeは、SSLスタック全体をnShield HSM内で実行できるようにするオプション機能をサポートしています。この機能は、暗号化されたSSL接続をHSM内で直接終端し、ホストサーバ上でのデータの平文での展開を避けるメカニズムを提供します。セキュリティが証明された実績あるハードウェア環境内でアプリケーションソフトウェアを実行することにより、CodeSafeは、保護しなければリスクにさらされるデータ、プロセス、および知的財産を保護します。

利点:

  • 慎重に扱うべきアプリケーションとデータをAPTとその他のマルウェアから保護します。
  • 高い保証性のビジネスプロセスを維持しながら、物理的に信頼性が確保された環境への依存性とセキュリティ責任者による人的介入を減らします。
  • アプリケーションおよびHSMへの投資効果を最大限まで高めます。
  • アウトソーシングやクラウドインフラストラクチャの使用といった信頼性の低い環境へ施設を移転する機会をフルに利用し、、セキュリティを損なうことなくコストを低減します。
  • 高度に分散化されたビジネスプロセスのセキュリティ強化を可能にする、信頼できるエージェント(耐タンパアプリケーションまたはサービス)を作成します。
  • 慎重に扱うべきデータがHSMに渡される前にホストサーバ上で平文の状態さらされるされる恐れのあるという、セキュリティギャップを埋めます。たとえばホストサーバ上でSSLが終端するような場合に、HSM内で終端するように変更するといったことが当てはまります。
  • カスタム設計された認証スキームといった独自開発のアルゴリズムやプロトコルが組み込まれた、慎重に扱うべきアプリケーションの秘密を保護します。