Comments
Description
Transcript
情報セキュリティ技術戦略
情報セキュリティ技術戦略 芦田 元之 情報セキュリティは,安心で信頼できるネットワーク ソリューションを提供するためのキーとなる技術である。 コンサルサービス コンサルサービス 運用監視サービス 従来の沖電気の情報セキュリティ技術戦略は,DMZ(DeMilitarized Zone非武装化地帯)に基づくWebサーバや 内部ネットワークの防御が中心であった。しかし,その セキュリティポリシー策定 セキ ポ セキュ ュリ リテ ティ ィ ポリ リシー シー策定 策定 診断サービス 診断 診断サー サービス ビス ISMS構築・監査認証取得 ISMS構築 監査認証取得 ISMS構築・ ・ 監査認証取得 監視サービス 監視 監視サー サービス ビス <金融:銀行、 金融: 銀行、証券 証券、 、保険 > 運用代行 運用代行サービス サー 運用代行 サービス ビス セキュリティ設計 セキ 設計 セキュ ュリ リティ ティ 設計 ハウジングサービス ハウジングサービス <官公庁、 官公庁、 e地域 e地域> <旅客 旅客、 、法人 法人> カンパニー固有ソリューション群 カンパニー固有ソリューション群 セキ セキュア セキュア ュア ソ リ ュ ーシ ー ショ ョ ン ソ リ ュ ーシ ョ ン 地域企業間認証 ・・・ 電子チケット 電子チケット セキュアメッセージング セキュアメッセージング ・ ・ ・ ・・・ セキュアミドル セキュアミドル セキュアNW セキュアNW( (官公、金融) 官公、金融) セキュアイメージ セキュアイメージ セキュアトランザクション セキュアトランザクション 後,Blasterワームなど不正アクセスの手口の巧妙化や内 <不正侵入対策> 部関係者による顧客(個人)情報あるいは機密情報漏え いの多発化,住民基本台帳ネットワーク(住基ネット)の 本格始動,個人情報保護法成立など,社会環境が大きく 侵入検知 キュリティ技術戦略について報告する。 <データ保護 データ保護> 電子透かし 電子透かし ワンタイムパスワード ワンタイムハ ゚スワート ゙ 個人認証 個人認証 (ICカード等) (ICカート ゙等) 暗号 インターネット インターネット VPN VPN その他> <その他 被害判定 セキュリティ セキ リ ティ セキュ ュ リ ティ プロダクト プロダクト ファイアウォール ファイアウォール ウィルスプロテクト ウィルスフ ゚ロテクト トラストOS トラスト OS 変化しつつある。この変化に対応するために情報セキュ リティ技術戦略の再検討を行った。本稿ではこの情報セ <認証関連> 個人認証 個人認証 (アイリス) ( アイリス) シングルサインオン シンク ゙ルサインオン PKI フィルタリング フィルタリング ディレクトリ ディレクトリ 図1 新情報セキュリティフレームワーク 技術対策とセキュリティ管理対策の融合が必要であり,新 多様化する情報セキュリティ環境 ブロードバンド,モバイルコンピューティング,iモード たな情報セキュリティフレームワークの再構築を行った (図1参照) 。 の普及やIP電話に代表されるインターネットを利用した 技術が急激に進歩し,eビジネスに代表されるようにビジ 新情報セキュリティフレームワークは,安全で信頼で ネス形態も急速に変革している。政府も住民基本台帳ネッ きるネットワークソリューションを構築する際に,多様 トワークやLGWAN(総合行政ネットワーク)の基盤シ 化する内外からの情報セキュリティへの脅威に柔軟に対 ステム整備を推進している。 処でき,急速に進展している「e社会」の変化速度に対応 ネットワーク利用の拡大に伴い,情報セキュリティへ 可能とすることを目的として,セキュアミドルの概念を の脅威も増大し,手口も巧妙化している。また,ネット 取り入れたのが特徴である。セキュアミドルは,沖電気 ワークを利用した攻撃だけでなく,内部関係者による被 の各カンパニーの固有のセキュアソリューション構築の 害が増大していることにも注意を払う必要がある。特に べースとなるコンポーネントである。 内部関係者による個人情報や機密情報の漏えいが問題に セキュアミドルとして,外部と内部の脅威を統合的に なっている。経済産業省が2003年10月に発表した「情報 防御する「セキュアネットワーク」 ,ドキュメントの真正 セキュリティ総合戦略」は, 〈情報セキュリティに絶対は 性を保証する「セキュアイメージ」およびeビジネスに対 ない〉との前提の下で,事故の回避(予防)・被害局所 応した「セキュアトランザクション」を3本柱として定 化・回復の最適化を図った「事故前提社会システム」の めた。このセキュアミドルを中心に沖グループとしての 構築を提唱している。 新しいセキュリティビジネス像を図2に示す。 「e社会」は,情報セキュリティへの脅威を伴いながら ここでは,セキュアソリューションビジネスをカンパ 急速に発展しており,さまざまな角度からセキュリティ ニー固有のセキュアソリューションビジネス,セキュア への対策が必要である。 ミドルのビジネスおよび情報セキュリティマネジメント システム(ISMS)を中心としたコンサルティングビジ 情報セキュリティ技術戦略 多様化する情報セキュリティ環境に対応するためには 126 沖テクニカルレビュー 2004年1月/第197号Vol.71 No.1 ネスに区分する。各カンパニーは,セキュアミドルをミ ドルソフトとして,カンパニー対応のセキュアソリュー ネットワーク特集 ● <急速にビジネス拡大気運> コンサルティングビジネス ・ISMS構築・認証取得 セ キ ュ ア ソ リ ュ ー シ ョ ン ビ ジ ネ ス ・ISMS全業種対応 審査機関始動 ・ISO/IEC17799(国際標準化)、BS7799、 ISMS適合性評価制度、情報セキュリティ監査制度 ・LGWAN 2003年度内展開 全地方自治体:セキュリティポリシー必須 各カンパニー固有の 各カンパニー パニー固有の セキュアソリューションビジネス セキュアソ ュアソリューションビジネス サービスビジネス (運用監視) セキュアミドル (ソリューションビジネス共通) ) ソリューションビジネスに 牽引され発展 プロダクトビジネス (沖の一等差別化プロダクト) ) <3本柱> ・セキュアネットワーク (官公・金融) ・セキュアイメージ (全業種) ・セキュアトランザクション (金融・証券) ・監視 ・ハウジング ・診断 ソリューションビジネスとの 相乗効果で発展 ・アイリス ・Trust Print (セキュアプリント) ・EMERALD ・被害判定システム ●カンパニー固有ソリューション間で共通なセキュリティソリューション ●沖の強み・差別化ができるソリューション 沖の強み ①行政・国防・警察で培った セキュアネットワークノウハウ ・外務省、総務省、防衛庁、 警察庁 ・霞ヶ関WAN ②沖の差別化プロダクト・技術 ・アイリス ・セキュアプリント ・EMERALD ・被害判定システム ・決済技術 ・トランザクション技術 ③市場 ・官公庁市場 ・金融市場 ・キャリア市場 ・eビジネス市場 ・警察庁/CRLとの共同研究による最先端 広域防護システム保有 開発中) ・金融への水平展開 セキュア ネットワーク ・高い信頼性を要求される金融機関での ・ 媒体処理、その電子化(イメージ化: 印鑑照合、ファイリング等)の実績 ・ ・独自のイ メージセキュリティ技術保有 セキュア イメージ ・eビジネス基盤、決済、認証)提供実績 ・レガシー連携も含めたWebトランザ クションシステム構築実績 サポートプロダクト ソリューションビジネスに 牽引され発展 ・ファイアウォール ・シングルサインオン ・トラステッドOS 図3 セキュアミドルの選択 ③沖電気の独自技術による製品・実績 ● アイリス(虹彩による個人認証) ● 電子透かし ● 侵入検知システム セキュアソリューションを構築するためには,部品と ● 被害判定システム なるセキュリティプロダクトと運用および監視を行うた ● 決済技術 めのサービスが必要である。セキュリティプロダクトに ● トランザクションシステム構築 図2 セキュア トランザクション 新セキュリティビジネス全体観 ションを開発し,セキュリティビジネスを行う。 ついては,沖の一等差別化製品をビジネスとするプロダ これらの沖電気の特徴を活かし,かつ共通化できるソ クトビジネスと品揃えとして必要なサポートプロダクト リューション(セキュアミドル)として, 「セキュアネッ に区別している。プロダクトビジネスは,ソリューショ トワーク」,「セキュアプリント」,「セキュアトランザク ンビジネスとの相乗効果による発展,サポートプロダクト ション」の3つのセキュアミドルを選択した(図3参照) 。 については,ソリューションビジネスの牽引によりビジ 「セキュアネットワーク」は,警察庁と通信総合研究 ネスを拡大する。サービスビジネスは,セキュリティソ 所(CRL)との共同開発による最先端の広域防御システム リューション提供後の運用代行や監視を行うサービスで で官公庁や金融機関への水平展開を行っている。 「セキュ ある。このサービスもソリューションビジネスに牽引さ アプリント」は,高い信頼性を要求される金融機関での れての発展を期待している。 媒体処理,そのイメージ化(印鑑照合,ファイリング等) の実績と独自の電子透かし技術を融合させたイメージセ セキュアミドル セキュアミドルを選定するにあたり,セキュアミドル を以下のように定義した。 「カンパニー固有のセキュアソリューション間で共通 キュリティ技術に基づいている。「セキュアトランザク ション」は,eビジネス基盤(決済,認証)とWebトラン ザクションシステム構築実績を統合させたソリューション である。 となり,かつ沖電気の特徴が十分に発揮できるセキュア ソリューション」 (1)セキュアネットワーク セキュリティに関する沖電気の特徴を以下に示す。 セキュアネットワークは,ネットワークの内外からの ①堅牢なセキュリティが要求されている市場に強い。 脅威に対抗するためのセキュリティ統合監視ソリュー ● 官公庁市場 ションである。総合接続によって形成された広域イント ● 金融市場 ラネットなどの横断型ネットワーク全体の安全を保つた ● キャリア市場 めに以下の新技術を採用している。 ②国家レベルのセキュリティ強度が要求される行政・国 ● 統一的ポリシー制御 防・警察のシステム構築で培ったセキュリティ技術ノウ ● 不正トラフィック遮断 ハウを擁している。 ● 横断的アクセス制御 ● 高度な侵入検知,攻撃追跡 ● 防御情報の有効活用 ● 外務省,総務省,防衛庁,警察庁 沖テクニカルレビュー 2004年1月/第197号Vol.71 No.1 127 図4にセキュアネットワークソリューションの概念図を セキュアネットワークで採用されている国家的な視点 示す。 からの高度なセキュリティ技術を他の市場に展開するた めに,セキュアネットワークのサブ セット化,部品化を進めている(図5 統合運用監視 本社/本省 防護ポリシー 攻撃遮断 セキュアネットワークの詳細につ 運用監視 危機管理 システム 生成・配布 参照) 。 Protection Feedback Detection Recovery いては,参考文献1)を参照されたい。 攻撃 被害分析 CWAT 侵入検知システム 不正検知/異常検知 社内LAN監視 セキュア プリント コンテンツ 保護 ウイルス散布 ウイルス 散布 悪 悪 テロリスト 技術を使用して,イメージデータの 認証システム 情報が正しい(真正性)ことを保証 機密漏洩 悪 悪 するソリューションである。それぞ 従業員 従業員 れのプロセスにおいて不要な情報を 悪 犯罪者 読み込みからデータ処理,蓄積処理 および印刷結果にいたるまで,常に 出張所・駐在所 内部犯罪(情報漏えい/改竄) 内部犯罪 情報漏 えい/ /改竄 改竄) ) 内部犯罪(( 情報漏えい ざん 侵入 改 侵入・ ・ 改ざん セキュアプリントは,電子透かし アイリス認証 支社/支局 支社/支局 機密漏洩 DoS攻撃 (2)セキュアプリント シングル サインオン 画像データ 電子透かし Probix EMERALD サイバーテロ/不正アクセス 情報基盤 SeP 被害判定 システム 犯罪組織 隠蔽することにより情報の漏えいを 図4 セキュアネットワーク概念図 防止する(図6参照) 。セキュアプリ ントの特徴は,印刷情報だけで印刷後の紙面の改ざん検 脅威レベルに応じ たソリューション 知ができ,紙面情報を保護する。改ざんされた場合は,改 Level 3 国家レベルのセキュリティ対策技術 ざん位置も特定できる。さらに,紙面に別の情報を埋め 最強のセキュリティ強度が求められる官公庁システム 込んで印刷し,スキャナーでこの情報が取り出せ,情報 (国防レベル) サイバーテロ サ イバーテロ 対策 情報漏洩 対策 刷物(チケット,書面等)やカルテ等の真正性,原本性 Shower 効果 省庁 B庁 C省 A省 Level 2 金融機関 (汎用安全レベル) の機密性を保護できる。利用分野としては,証明書,印 広域防護 システム 保証がある。セキュアプリントは,GUI(Graphical User Interface)層,コンポーネント層およびエンジン層の 自治体 ライ ライフライン フライン系 系 パッケージから構成され,容易に固有ソリューションに キ キャリア ャリア ・ ・ ISP ISP 実装することができる。 Level 1 一般企業 (一般安全レベル) 学校 ・ ・ ・ ・ ・ ・ ・ (3)セキュアトランザクション セキュアトランザクション(Webインテグレーション) 図5 セキュアネットワーク展開シナリオ は,インターネットから基幹システムまでの一貫したEndTo-Endのセキュリティと高信頼性 # 蓄積 ③ ) " 処理(修正、 処理(修正、決裁 決裁) ! エン ①エン トト リー リ(デジタイズ、 ー( テ ゙シ ゙タイス ゙、 認識) 認識) ② イメージファイリング $ OUTPUT ④OUTPUT (参照・印刷) (参照・ 印刷) 署名検証 紙 本人認証 電子透かし 原本性保証 電子署名 ・署名付き取引データ ・ 署名付き取引データ ・印刷フォーム ・ 印刷フォーム ・ 暗号鍵 ・暗号鍵 保存・印刷サー 保存・印刷サーバ バ イメージワークフロー 本人認証 イメージ 伝送 <スキ <スキャナ ャナ> > 専用線 ⇒ インターネット TTP トラストイメージ(イメージ認証、情報秘匿、圧縮保存) ト トイメ ( イメージ認証、 、圧縮保存) 検証 端末 端末 セキュアトランザクションの特 徴を以下に示す。 ● トラストプリント IP-VPN 図6 セキュアプリントコンセプト 高信頼・高性能なトランザク ション処理 ● (印刷物認証) ) セキュリティコードとビジネス ブロックを分離し,セキュリ PKI(電子署名、暗号化、TTP、ディレクトリ) PKI (電子署名、暗号化、TTP、ディレクトリ) 本人認証 2004年1月/第197号Vol.71 No.1 印刷 API セキュアイメージミドルウェア セキュアイメージミドルウェア 128 沖テクニカルレビュー 本人 認証 ソリューション 2)であ る(図7参 照) 。 <プリ <フ ゚リンタ ンタ> > ネットワーク OCR結果⇒イメージ挿入 紙 を実現するトランザクション構築 ティ対策を簡易化 ● セキュアネットとの連携による 高度なセキュアシステムを構築 ネットワーク特集 ● 監査の実施を予定している。コン Webブラウザ 、携帯電話 対外接続 J2EE の仕様名称 他企業のサーバ セキュアWebサーバ セキュアWebサーバ WebService 暗号化、認証、署名 シングルサインオンサーバ シングルサインオン 凡例 インターネット 非同期メッセー ジング機能 将来の拡張部分 WebIntegration サーバ 開発環境 フレームワーク セキュリティ JavaServerPage JavaServerPage 開発 フレームワーク Java Message Message JMS Service WebService WebService Web アプリケーション (J2EEコンポーネント) Javaクラス Web アプリケーションフレームワーク(Struts ) Java 統合開発ツール ■沖電気の コンポーネント群 ネットビジネス 金融 通信 旅客・交通 政府・自治体 Javaクラス WebService フレームワーク (Workshop) ー EJB EJB (Enterprise (EnterpriseJava Java Beans) Beans) EJB 再利用可能な コンポーネント群 認証、認可・アクセス制御、 監査ログ Servlet ■他社 他社の の ■ コンポーネント群 群 コンポーネント EJB ビジネスロジック(業務アプリ) ビジネスプロセス 記述ツール ビジネスプロセス管理(BPM) WebService 管理 管理 トランザクション 管理 AP 開発者が 作成する 部分 J2EEコンポーネ ント、EJB管理 サルティングビジネス3)は,ISMS に関連した以下のサービスを官公 庁,地方自治体および企業に展開 している。 ● セキュリティポリシー策定支援 ● ISMS認証取得支援 ● 企業向け情報セキュリティ内部 監査 防衛産業向け情報セキュリティ ● ■オープンソース のコンポーネント 群 内部監査 ● トランザクションサーバ(WebLogic ) 負荷試験ツール 性能プロファイル WebLogic - Tuxedo Connecter JJ2 2EE EE Connecter Connecter Archtecture Archtecture アダプタ 開発キット アダプタ群 企業内接続 金融 金融G/W G/W( (TxHub TxHub 等 等) ) 図7 IBM IBM--MQ MQ( (ホスト) 地方自治体向け情報セキュリ ティ内部監査 トランザクション 管理、ロードバランシング、クラスタ、キャッシュ JDBC コンサルティングサービスと各 TP モニタ( Tuxedo) カンパニーのセキュアソリュー ERP、CRM データベース 運用管理 ジネスの拡大を図っている。 セキュアトランザクションアーキテクチャ ま と め セキュアトランザクションをベースに電子書面システム, 目論見書交付サービスシステム申請業務システム等が開 ションとの連携でセキュリティビ セキュアミドルの3本柱を中心とする情報セキュリティ 戦略に基づいて,沖電気グループの各カンパニーおよび 発されている。 関連企業でセキュアソリューションが開発されている コンサルティングビジネスの展開 (図8) 。 情報セキュリティ関連施策は,技術だけでなく情報セ キュリティマネージメントシステム(ISMS)を主とする 沖電気グループのセキュリティビジネスを更に発展さ 「企業・個人のセキュリティ向上」が重要である。政府は せるためには,市場競争力のあるセキュアミドル,これ ISMSを定着させるために数々の政策を実施している。平 を支える特徴ある製品およびソリューションの開発が必 成14年4月に「ISMS適合性評価制度」,平成15年4月に 須である。 ◆◆ 「情報セキュリティ監査制度」をスタートさせた。総務省 は,各地方自治体に対し平成16年度から監査制度を行う 意向である。防衛庁は,調達企業に対するセキュリティ セキュアミドル セキュアミドル セキュアネットワーク セキュアネットワーク セキュア セキュア トランザクション トランザクション セキ ュアソリューションズ セキュアソリューションズ ネ ネット トワー ワーク ク ソ ソ リ リ ューシ ューシ ョョ ンカンパニー ンカンパニー KT4001セキュリティプラットフォーム IPリューションカンパニー IP ーションカン VoIP ュリ リテ ティ ィ ソリ リューシ ューシ ョ ン VoIP NWセキ NWセキュ ソ ョ ン システムソリューションカンパニー セキュアNWソリューション バイオメトリクス個人認証ソリューション 金融ソリューションカンパニー セキュアゲートウェイソリューション セキュアプリントソリューション セキュアプリント セキュアプリント 戦略製品 エンタプライズソリューションズカンパニー 内部リスク対策ソリューション4) アイリス アイリス 沖データ社 セキュア印刷ソリューション セキュアネットワークは各カンパニーの セキュアソリューションの共通ベース 図8 ネットビジネスソリューションカンパニー 書面、帳票電子化ソリューション セキュアコンテンツ管理ソリューション マルチバンク決済ソリューション アイピイ・ネット社 トータルセキュリティソリューション インターネットVPNソリューション 沖コンサルティングソリューションズ社 沖 ISMS総合コンサルサービス ■参考文献 1)大多和篤夫 他:「セキュアネットワークソリューション」 沖テクニカルレビュー197号 2)碓氷明寿:「Webインテグレーションソリューションにおけ る次世代トランザクション処理のアーキテクチャ」 ,沖テクニカ ルレビュー195号,Vol.70 No.3,pp.10-13,2003年7月 3)武内春夫 他:「情報セキュリティポリシーコンサルティン グビジネス」沖テクニカルレビュー195号,Vol.70 No.3, pp.64-67,2003年7月 4)山越俊也 他:「情報セキュリティ管理の意義と内部リスク 対策ソリューション」沖テクニカルレビュー195号,Vol.70 No.3,pp.40-43,2003年7月 ●筆者紹介 芦田元之:Asanobu Ashida 沖コンサルティングソリューショ ンズ株式会社 金融グループ セキュアソリューションとセキュアミドル 沖テクニカルレビュー 2004年1月/第197号Vol.71 No.1 129