ストレージレベルの暗号化:今日の課題

プライバシーに関する今日の要求事項の多くは保存されたデータの保護を求めていますが、ストレージレベルの暗号化はこれを実現する重要な方法のひとつです。記憶媒体はデータの喪失や盗難に対して特に脆弱です。たとえば、テープへのデータのバックアップは、貴重な情報を保存するための従来から使われているコスト効果の高い方法ですが、テープには紛失、盗難、置き忘れなどの恐れがあり、第三者のオフサイト施設の使用はリスクを増大させることになります。ディスクドライブやソリッドステート式のディスクの場合は修理や移転のためにハードウェアがしばしばオフサイトに送られますが、これらの媒体についても同じことが言えます。効果的な方法でデータをあらかじめ消去あるいは破壊しなかった場合は、データが漏洩する恐れがあります。これらのリスクを考えると、保存されたデータの暗号化は、情報と企業の評価を守るための効果的な方法です。ストレージレベルの暗号化を行えば、記憶媒体の紛失や盗難の場合でもそのデータは読み取れずの価値の無いものであるので、厄介なデータ漏洩を公表しなければならない事態を避けることができます。このタイプの保護は、問題のデータがプライバシー法やPCI DSSなどの業界要求の適用対象になるかどうかに関わらず有益です。一部の専門家は、万が一の場合に備えて、すべてのストレージシステムはデフォルトで暗号化するべきであると主張しています。オフサイトアーカイブ業者や配送業者も、暗号化されていないテープの扱いを避けたり、その大きいリスクをカバーするために特別料金を課したりするようになっています。しかしそれにも関わらず、多くの企業は記憶媒体を暗号化していません。これらの企業は、暗号化によってバックアッププロセスの速度が低下したり、将来、暗号鍵を紛失した場合にデータにアクセスできなくなったりすることを恐れているのです。

詳しくはこちら

これまで長い間、ストレージの暗号化には専用のストレージ装置が必要だったため、これが複雑さを増し、性能に影響を与えることもありました。しかし、先に述べたような明確なビジネス上の利点を踏まえて、ストレージ業界は対応をしてきました。今日では、多くのストレージデバイスが暗号化機能を内蔵しているか、設定オプションとして暗号化機能を組み込むことができます。しかし、これらの機能がより広く使われるようになったことで、さまざまな異種デバイス間で暗号鍵を管理しなければならないという、新たな課題が浮上してきました。各組織は、不正使用からの鍵の保護と、正当なユーザが必要な時にいつでも鍵を使用できるようにするという両方の目的のために、そのライフサイクルのすべての期間にわたって鍵を管理する必要があります。組織内ではさまざまなベンダのストレージデバイスが導入されていることから、組織の関心は、暗号化プロセス自体から、これらのシステム全体にわたる鍵の効率的管理の問題へと急速に移行しました。

セクションを隠す

リスク

  • 攻撃者はテープ、ディスク、その他の記憶媒体を盗み出すことができます。盗まれた場合はコストのかかる上に厄介な公表を行う必要がありますが、こういった事実の公表は組織に深刻な打撃を与えます。
  • ストレージデバイスの暗号化機能に依存している組織は、有効な鍵管理を行うことに困難を感じる可能性があり、鍵の紛失は事業の継続に破滅的な影響を及ぼす恐れがあります。
  • 鍵管理に対する戦略的なアプローチを欠くと、さまざまなストレージ暗号化機能に関して互換性も一貫性もない複数の鍵管理システムが組織内に増えていくことで、結果としてコンプライアンス報告の複雑さが増して、コストも増大することになります。
  • 鍵管理システムは、攻撃者にとっては当たり前に狙うべき「ハニーポット」になっています。これらのシステムは強力なセキュリティ管理機能に加え、可能な場合は物理的なセキュリティ強化もサポートする必要があります。
  • 鍵管理標準は急速に発展しており、これによって、企業全体で対処すべき新たな要求事項が出現しています。先見性のあるシステムを実装しようとする組織は、ストレージに関する要求以上のことを考え、より高い整合性と効率、そしてコスト削減を実現する企業内鍵管理を、どうすれば構築できるのかを検討する必要があります。

ストレージレベルの暗号化:Thales e-Securityソリューション

Thales e-Securityの製品とサービスを使用すれば、最新のストレージデバイスに組み込まれた暗号化機能に効果的な集中鍵管理機能を追加することによって、高い保証性を備えたストレージレベル暗号化ソリューションを、自信を持って導入することができます。keyAuthorityはセキュリティが強化された標準ベースの実績ある鍵管理用プラットフォームで、最先端のストレージベンダが提供するテープライブラリ、ディスクアレイ、SANスイッチなどのさまざまな暗号化ストレージデバイスを対象に、暗号鍵管理の自動化と一元化を実現することができます。keyAuthorityは日常的な鍵管理と監査のタスクを合理化し、大幅な運用コストの削減、複雑さの緩和、およびヒューマンエラーのリスクの低下を実現します。keyAuthorityを使用すれば、ストレージ暗号化鍵を制御して盗難や悪用を防止できるほか、アーカイブした鍵をいつでも使用できるようにするという最も重要な課題を実現できます。これにより、暗号鍵が失われて保存されたデータが永久に読めなくなってしまうという懸念は解消されます。

利点:

  • さまざまな最先端ベンダが提供する各種のストレージデバイスに使用できることがあらかじめ確認されている、一貫性のある単一の鍵管理インフラストラクチャによって、効果的なストレージ暗号化ソリューションを迅速に実装します。
  • 鍵のライフサイクル全般にわたり、ストレージ暗号化鍵管理システムの効果的な保護と自動化を実現し、必要な時に鍵を使用できるようにします。
  • リアルタイムレプリケーションと、数百万個の鍵および数千台のストレージデバイスにまで拡張可能な能力を通じて、高い可用性とスケーラビリティを確立します。
  • ストレージ管理者とセキュリティ責任者の業務の分離を実現することによって、内部関係者による攻撃のリスクを軽減します。
  • 高度な機能を有するセキュアな監査機能を通じて、コンプライアンス報告の義務とフォレンジックに関する要求を単純化します。
  • FIPS 140-2レベル3に基づいて認定された製品の使用を通じ、外部的な要求事項を満たすとともに、具体的なセキュリティベンチマークを確立します。
  • 新しい鍵管理標準の要求事項を満たし、組織に合わせて発展させることのできるベンダ非依存のアプローチを確立します。