Comments
Description
Transcript
ダウンロードはこちら - EMC Japan
企業内の保存されたデータの暗号化への アプローチ 詳細な検証 要約 このホワイト・ペーパーでは、企業内の保存されたデータの暗号化に対する動機づけおよびアプロー チについて説明します。また、暗号化導入の理由と、他の方法との間のトレードオフについても取り 上げています。 2008 年 4 月 Copyright © 2008 EMC Corporation.All rights reserved. EMC Corporation は、この資料に記載される情報が、発効日時点で正確であると見なします。情 報は予告なく変更されることがあります。 この資料に記載されている情報は、「現状有姿」の条件で提供されます。EMC Corporation は、 この資料に記載される情報に関する、どのような内容についても表明保証条項を設けず、特に、 商品性や特定の目的に対する適応性に対する黙示の保証はいたしません。 この資料に記載される、いかなる EMC ソフトウェアの使用、複製、頒布も、当該ソフトウェ ア・ライセンスが必要です。 最新の EMC 製品名については、EMC.com で EMC Corporation の商標を参照してください。 他のすべての名称ならびに製品についての商標は、それぞれの所有者の商標または登録商標です。 パーツ番号 H4173-J 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 1 目次 詳細な検証............................................................................................................ 0 エグゼクティブ・サマリー................................................................................... 3 はじめに ............................................................................................................... 3 対象読者....................................................................................................................................... 3 用語 .............................................................................................................................................. 4 暗号化の概要 ........................................................................................................ 4 手順 .............................................................................................................................................. 4 暗号化アルゴリズム..................................................................................................................... 5 鍵管理 .......................................................................................................................................... 6 構成管理....................................................................................................................................... 7 暗号化アプリケーション ...................................................................................... 7 リスクの評価と管理..................................................................................................................... 7 脅威のモデル................................................................................................................................ 8 保存されたデータの保護の事例................................................................................................... 9 使用時の考慮事項 ...................................................................................................................... 10 導入オプション .......................................................................................................................... 11 アプリケーション・レベル .................................................................................................... 11 ホスト・レベル ...................................................................................................................... 14 ネットワーク・レベル ........................................................................................................... 15 デバイス・レベル................................................................................................................... 18 結論..................................................................................................................... 21 付録 A:暗号化モード ........................................................................................ 23 付録 B:規格 ...................................................................................................... 24 FIPS 140-2 ................................................................................................................................. 25 FIPS 197 .................................................................................................................................... 25 暗号化のオペレーション・モード ............................................................................................. 25 IEEE P1619................................................................................................................................ 25 付録 C:暗号化の種類 ........................................................................................ 26 付録 D:米国情報クラス分けレベル................................................................... 26 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 2 エグゼクティブ・サマリー セキュリティ・リスクの進展に伴い、企業の活力源としての役割が大きくなっているデータと、 そのデータを使用する人との関係を管理する情報中心のセキュリティの必要性がますます高まっ ています。この情報中心のセキュリティには、主に 3 つの角度からアプローチします。まずは、 企業データがどこにあっても機密性および整合性を保護する必要があります。また、従業員、パ ートナー、顧客によるデータ・アクセスを保護しなければなりません。セキュリティ情報を管理 してセキュリティ・ポリシーおよび規則に準拠することも必要です。この要求に対応するため、 EMC のセキュリティ部門である RSA のテクノロジーが、ストレージ製品のポートフォリオに統 合されています。 次の EMC 製品を使用すると、関連する脅威や関連づけられているリスクに応じて企業内のさま ざまなポイントで情報を保護できます。 • バックアップ:NetWorker®、Retrospect®、Avamar® • アーカイブ:EmailXtender® • 構造化されていないコンテンツ:EMC® IRM、RSA File Security Manager、Documentum® TCS • データベース:RSA Database Security Manager • アプリケーション開発:RSA BSAFE、RSA Key Manager • ホスト・ベース:PowerPath® • ネットワーク・レベル:Cisco/Connectrix® MDS • 鍵管理:RSA Key Manager • データ消去:EMC Certified Data Erasure • eDiscovery:RSA DLP Risk Advisor、EmailXtender 情報に関するリスクに対する理解を深めるため、EMC は次のセキュリティ・サービスを提供し ています。 • ストレージ・セキュリティ・アセスメント・サービス • RSA 情報セキュリティ・クラス分けサービス はじめに 情報中心のセキュリティでは、保存されたデータを保護することが非常に重要です。こうした保 存されたデータは、アクセス・コントロール、論理的な分割、物理的なセキュリティなど、さま ざまな手段で保護できます。また、暗号化を使用できる可能性もあります。このホワイト・ペー パーでは、保存されたデータの暗号化の実施(オンライン・ストレージ・システムを含む)、暗 号化導入の理由、さまざまな実装に伴うトレードオフなどを中心に説明します。暗号化について 詳しく調べるには、企業内の情報に対する脅威を検証し、これらの脅威が暗号化によってどのよ うに軽減されるかを確認します。後で説明するように、すべてを適切に実装するには、暗号化プ ロセスを管理することが重要です。 対象読者 このホワイト・ペーパーでは、暗号化テクノロジー、暗号化の使用、暗号化製品について概説し ています。暗号化または鍵管理に関する予備知識は必要ありません。 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 3 用語 • アカウンティング - アクセス中に使用されるリソースを測定し文書化すること。 • 認証 - システム・エンティティによって、またはシステム・エンティティ用に要求された ID を検証すること。つまり、その ID が正しいことを証明すること。 • 許可 - 「許可」とは、システムに付与された、システム・リソースにアクセスするための権 限です。 • 機密性 -許可されていない個人、エンティティ、またはプロセス(つまり許可されていない すべてのシステム・エンティティ)に対して情報が公開されないようにするためのプロパテ ィ。 • 保存されたデータの暗号化 - ストレージ・アレイまたはテープに格納されているデータが暗 号化されます。ホスト、中間ボックス、ストレージ・アレイ、またはテープ・デバイス自体 が暗号化を実施できます。 • 処理中のデータの暗号化 - 転送中のデータが暗号化されます。ストレージ・アレイ上に格納 されているデータは、プレーンテキストまたは暗号テキストの場合があります。 • 整合性 - 不正または過失によってデータが変更または破棄されたり失われたりしないように するためのプロパティ。MAC(メッセージ認証コード)を使用して実行できます。MAC は、 MD5 や SHA などのメッセージの認証に使用される短い暗号形式のメッセージです。 • 不履行防止 - 通信への関与を偽って否定できないようにするセキュリティ・サービス。 • プライバシー – エンティティの権限(通常は人)で、自身のために動作します。環境との相 互運用性のレベル、たとえば、エンティティが自身の情報をどこまで他と共有するかを決定 します。 • 鍵変更 – 暗号化システムのアプリケーションで使用されている暗号化キーの値を変更するこ と。 暗号化の概要 暗号化を使用すると、格納データまたは転送中のデータを、暗号テキストと呼ばれる理解できな い形式に変換することで、そのデータが開示されるのを防止できます。暗号テキストをプレーン テキストと呼ばれる元の形式に戻すには、そのデータを復号化します。 手順 暗号化では、情報の暗号化で使用する小さなキーを安全に共有することで、安全な情報共有に伴 う問題を簡素化します。 2 グループ・システムでは、次の手順と同様のプロセスに従って操作します1。 1. アリスとボブが、使用する暗号化アルゴリズムに同意します。 2. アリスとボブが、暗号化/復号化で使用する鍵に同意します。 3. アリスがプレーンテキスト・メッセージを受け取り、アルゴリズムと鍵を使用して暗号化し ます。 4. アリスが、暗号テキスト・メッセージをボブに送信します。 1 Ferguson、Niels、『Practical Cryptography』Wiley Publishing、2003 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 4 5. ボブが、元の暗号化プロセスと同じアルゴリズムおよび鍵を使って、暗号テキストを復号化 します。 6. 鍵または暗号化アルゴリズムを変更するには、必ずアリスとボブの同意が必要です。新しい 鍵またはアルゴリズムへの変換プロセスでは、元の鍵およびアルゴリズムを使用して暗号テ キストを復号化し、新しい鍵およびアルゴリズムで再度暗号化しなければなりません。古い 鍵は、データ保存ポリシーで規定されている期間は、鍵管理システムによって安全に保持す ることが重要です。その期間に満たないうちに鍵を破棄してしまうと、データが消失してし まいます。 2 グループ・システムにおける安全なデータ交換は、通常、公開鍵/秘密鍵メカニズムを使用して 実現します。ただし、保存されたデータについては、固定/既知の場所からアクセスされるため 対称(プライベート)鍵で処理することをお勧めします。通常、一方のホストが同じアルゴリズ ムおよび鍵を使用して、ディスク/テープに書き込むときにデータを暗号化し、ディスク/テープ から読み取るときにデータを復号化します。また、マルチパス、あるいは異なるノードの複数ア プリケーションがデータにアクセスする状況では、鍵を一元管理することが重要です。 このホワイト・ペーパーの以降の部分では鍵暗号化(以降、「暗号化」と呼びます)について説 明します。対称鍵暗号化は、前述したように、同じ鍵でデータを暗号化および復号化するプロセ スに関連しており、データ・パス・オペレーションのパフォーマンスのニーズに適しています。 非対称鍵暗号化は、暗号化と復号化が異なる鍵で行われるプロセスに関連します。これらの鍵は よく公開/秘密鍵ペアと呼ばれます。非対称鍵暗号化は、パフォーマンス上の制約およびその管 理性により、保存された大量のデータの暗号化には適していません。 暗号化アルゴリズム アルゴリズムとして使用できるのは、業界で規定されている、よく知られた各種暗号システムの いずれかです。米国 FIPS(連邦情報処理規格)では、AES2(Advanced Encryption Standard)を文 書化し、米国における業界標準アルゴリズムとして指定しています。AES は、以下で説明するよ うに、現在の暗号化方式で実装されている中で最も一般的なアルゴリズムです。NIST(米国標 準技術局)による認定アルゴリズムであるトリプル DES(データ暗号化規格)も引き続き使用で きますが、お勧めしません3。 暗号化アルゴリズムは、通常、64~128 バイトのブロック長で動作します。より長いメッセージ を暗号化するには、次のようなオペレーションの暗号化モードを使用します。 • CBC – 暗号ブロック連鎖 • CTR – カウンタ • XTS – Tweakable Narrow Block • GCM – ガロア/計数モード 暗号化で使用される CBC、CTR、GCM モードでは、IV(初期化ベクタ)、つまり乱数を使用す る必要があります。IV は、暗号化プロセスを開始し、ランダム化を行う際に使用するシード・ ブロックです。同じ IV と鍵の組み合わせを複数回使用することはできません。4 つのモードの 1 つである XTS は IV を必要としませんが、このモードには、調整鍵と呼ばれる第 2 の鍵がありま す。 2 FIPS 197(http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf) FIPS 46-3(http://csrc.nist.gov/publications/fips/fips46-3/fips46-3.pdf) 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 3 5 暗号化対象のメッセージの長さがブロック・サイズの倍数でない場合は、最後のブロックを補正 しなければならないことがあります。 鍵管理 暗号化によって実現できる保護は、暗号化プロセスで使用されている鍵を管理、生成、保護する のと同じです。鍵は入手できるだけでなく、簡単に取得できるように整理されている必要があり ます。ただし、同時に、鍵へのアクセスは、厳しい管理のもと、許可されているユーザーのみに 制限されるようにしなければなりません。こうした鍵管理には、データを生成および暗号化した システムのライフタイムの間だけでなく、そのデータのライフタイムにわたって注意を払ってい く必要があります。 鍵の生成に関する簡単なガイドラインをいくつか次に示します。 • たとえば、FIPS 186-24で指定されているように、生成された鍵はランダムである必要があり ます。暗号化で使用される鍵は予測できてはいけません。つまり、疑似ランダム番号ジェネ レータを使って鍵を生成することはできません。 • AES のキー長は、128、192、256 ビットです。 鍵が生成されたら、機密性を保証するために必ず鍵を保護しなければなりません。そのためには、 次の機能が必要です。 • 鍵管理ソリューションへの安全なアクセス。鍵管理ソリューションを使用すると、鍵への不 正アクセスを制限できます。このアクセス制限は、鍵を生成および管理する機能に適用でき るほか、安全な Web、スマート・カード、または分割鍵構造など、複数のメカニズムを介し て実現することも可能です。また、鍵管理ソリューションは、FIPS 140-25で示すように、物 理的な改ざんに対する保護を提供する必要があります。 • 構成および鍵情報のバックアップおよびリカバリ機能。この情報自体を暗号化し、安全なバ ックアップ・メディア(スマート・カードなど)に格納する必要があります。暗号化で使用 する鍵は、鍵管理ソリューション外では絶対にプレーンテキストでは表示されません。また、 ほとんどの環境で表示されるべきではありません。セキュリティを強化するには、セキュリ ティ管理者グループが構成/鍵のリカバリを実行するようにします。これにより 1 人の管理者 による破損が原因となる誤用の可能性が軽減され、管理構成の再構築に M/N(つまり 2/3、 3/5 など)または定数の管理者が必要なグループ鍵リカバリ・モデルが採用されます。 • 高可用性およびビジネス継続性のプラクティスとプロトコルを鍵ストアに適用するための機 能。 • 鍵を格納し、データのライフタイムにわたってその鍵が使用される場所を特定する機能。こ の機能は、テープに書き込まれ、最大で 30 年先まで読み取る可能性のあるデータに適用さ れます。 • 鍵の整合性チェック。この機能は、データの整合性チェックがない場合は特に重要です。 • 鍵の使用方法および時期の包括的なロギングと定期的な監査。 鍵は分散管理することも、一元管理することも可能です。これらの要件を共通で実装しているの が鍵管理ステーションです。このステーションは、暗号化エンジンによってオンラインに、また、 TCP/IP 経由でアウトバンドに存在できます。鍵管理ステーションでは、FIPS 140-2 の厳しい基準 に基づいて、鍵を一元的かつ安全に管理および格納できます。現時点では、認定されているスタ ンドアロンの鍵管理システムはほとんどありません。 4 http://csrc.nist.gov/publications/fips/fips186-2/fips186-2-change1.pdf http://csrc.nist.gov/cryptval/140-2.htm 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 5 6 RSA Key Manager は、これらの懸念事項すべての対応し、企業における暗号化すべてに対する暗 号化鍵のプロビジョニングおよびライフサイクル管理を一元化することで、暗号化導入に伴う複 雑性を軽減します。 構成管理 以下で説明するデータの暗号化方法を構成する場合、共通の手順をいくつか実行する必要があり ます。たとえば、暗号化対象のユニット(レコード、ファイル、ファイル・システム、ボリュー ム、テープなど)を特定し、関連する鍵を生成する必要があります。そして、この構成情報を記 録し、暗号化エンジンに安全に転送して、暗号化されているデータのライフタイムにわたって安 全に格納しなければなりません。 暗号化されているデータへのアクセスを確実に行うために、そのデータで利用できるすべてのパ スを構成に含め、これらのパスを介してデータにアクセスするアプリケーション、ホスト、また はアプライアンスを特定できなければなりません。そして、それぞれがアルゴリズムおよび鍵に アクセスして、各パスから均等に読み取り/書き込みを行えるようにするほか、レプリカ(スナ ップ、クローン、ミラーなど)を特定し、元のソース・データに関連づけて、読み込み時に適切 かつ確実に復号化できるようにする必要もあります。 暗号化アプリケーション 暗号化は、包括的な情報セキュリティ戦略の一環として適用できる 1 つのツールにすぎません。 したがって、適切な場合にのみ選択的に適用するようにします。どこでどのような方法で暗号化 を行うかを正確に見極めるには、まず、データに対するリスク、そのリスクに対応するための暗 号化の適合性、そして、暗号化が適切な場合は、テクノロジー導入のオプションを評価します。 リスクの評価と管理 リスクの評価は、脅威の数と性質、脅威が攻撃として認識される可能性、および攻撃が成功した 場合のビジネスへの影響の 3 つの重要な情報に基づいて行われます。ここでは、暗号化テクノロ ジーを導入するべきかどうかを判断するために、こうした情報について検討します。 アプリケーションからストレージへのデータの流れを管理するにあたり、データに影響する可能 性のある脅威の性質と、それが実際に起こる可能性を把握する必要があります。たとえば、次の ような脅威があります。 • 不正開示 • 破棄 • サービス妨害 • 不正アクセス • 不正変更 • なりすまし6 • リプレイ攻撃7 • 中間者攻撃8 6 サード・パーティが偽造情報を使用して特権コミュニケーションの参加者を欺こうとする攻撃。 有効な転送を不当または不正に繰り返すか遅らせるネットワーク攻撃。 8 攻撃者が 2 つのパーティ間で交換されているメッセージを、両者に気づかれることなく、読み 取り、挿入、および変更を行うこと。 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 7 7 これらの脅威は、情報が生成された場所から格納されている場所まで、あらゆるポイントで発生 する可能性があります。これらの脅威それぞれに対して、既存の保護手段を考慮しながら攻撃が 発生および成功する可能性について評価する必要があります。攻撃が高い可能性で行われると判 断された場合、脅威にさらされている情報の価値についても検討しなければなりません。たとえ ば、ビジネスの観点から見たときに、脅威の影響を受けるデータの価値が低いと見なされる場合、 最終的には追加の保護を必要としないことがあります。 重大であると考えられるリスクについては、他の情報について考える必要が出てきます。たとえ ば、データに対する脅威のレベルを考えたうえで、提案されているソリューション(ここでは暗 号化)を実施した場合のトレードオフについて検討します。このときに考慮するべき事項を以下 に示します。 • 導入コスト • 脅威のレベル • 脆弱性の重大度 • 結果 • 検出時間 • レスポンス・タイム • リカバリ時間 • 暗号化によってもたらされる新しいリスク(鍵の早期消失など) この場合、認証および許可によって情報へのアクセスを制限することで、誰が情報を使用する権 限を持っているか、また、誰が情報を使用しようとしているかを管理者が特定できます。アクセ ス権限を付与できる場所はさまざまで、たとえば、アプリケーション、オペレーティング・シス テム、ネットワーク、ストレージ・プラットフォーム・レイヤーなどがあります。これらの手段 が不十分であると思われる場合は、暗号化によってさらなる保護レイヤーを提供できます。 また、EMC が提供するストレージ・セキュリティ・アセスメント・サービスは、お客様自身で ストレージ環境のセキュリティを向上させるための機会を特定する際に役立ちます。このサービ スには管理、技術、運用コントロールの見直しが含まれており、これにより、リスクを軽減する ため推奨事項を提案します。サービス用 TS キットは、パスワードで保護された EMC のお客様 およびパートナー専用エクストラネットである Powerlink®から参照できます([サービス]> [計画]>[サービス概要]>[Service Overview: Assessment Service for Storage Security])。 Powerlink から利用できる RSA 情報セキュリティ・クラス分けサービスでは、特定のお客様のデ ータ資産をビジネス価値、規制、実際的なセキュリティの観点から包括的に見直します([サー ビス]>[BUILD]>[サービス概要]>[Service Overview: Classification for Information Security])。 脅威のモデル このプロセスを、問題特有のプロセスとしてより具体的にわかりやすくするために、図 1に企業 内のデータに対するリスクをいくつか示します。発生する可能性のある攻撃を把握することで、 どこに暗号化を適用すればデータ保護に役立つか、また、暗号化を適用できない場所はどこかを 判断できます。 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 8 0 Spoofing host identity 0 Unauthorized access to application Storage Array 0 Unauthorized access to host OS Connectivity 0 Media Servers theft Fibre Channel Tape Library 図1:お客様のプレーンテキスト・データへの脅威 図 1は、以下を示しています。 • アプリケーション・レベルで情報を暗号化すると、オペレーティング・システム(ユーザ ー)およびネットワーク・レベルでの不正表示、およびメディア窃盗から情報を保護します。 ただし、このレベルでの暗号化は、アプリケーション・レベルの不正アクセスからの保護は 提供しません(情報はこのポイントで復号化されるため)。また、強力なアプリケーショ ン・アクセス・コントロールの準備が整っていない限り、オペレーティング・システムから のルート・アクセスからも保護しません。 • ホストまたはオペレーティング・システム・レベルで情報を暗号化すると、ネットワーク・ レベルでの不正表示、およびメディア窃盗から情報を保護します。このレベルでの暗号化は、 アプリケーションまたはオペレーティング・システム・レベルの不正アクセスからの保護は 提供しません(情報はこのポイントで復号化されるため)。オペレーティング・システムお よびアプリケーション・レベルでセキュリティを強化するには、アクセス・コントロール・ テクノロジーが必要です。 • ネットワークの情報を暗号化すると、ネットワーク上の暗号化デバイスからストレージ・デ バイスへの不正表示、およびメディア窃盗から情報を保護します。このレベルでの暗号化は、 アプリケーションまたはオペレーティング・システム・レベルでの不正アクセス、またはネ ットワーク上の暗号化デバイスへの不正アクセスからの保護は提供しません(情報はこのポ イントで復号化されるため)。 • デバイス・レベルで情報を暗号化すると、メディア窃盗からその情報を保護します。このレ ベルでの暗号化は、アプリケーションまたはオペレーティング・システム・レベルでの不正 アクセス、またはネットワーク上の不正アクセスからの保護は提供しません(デバイス外の データはどれも暗号化されていないため)。 保存されたデータの保護の事例 保存されたデータの暗号化導入を必要とする事例をいくつか次に示します。 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 9 主な事例としては、管理者が直接制御しているデータ保護が挙げられます。たとえば、次のよう な状況があります。 • テープにバックアップする オフサイトにテープを送信する • 修理のためにディスクを取り外す 返品するために取り外したディスクまたはアレイに対して鍵ベースのデータ消去を適用す る 災害復旧またはリモート・サイトにデータを送信する • 災害復旧サイト間、または災害復旧サイト内で交換されるデータを保護する 各国のセキュリティ保護に関する法律に準拠しながら、多数のサイトから 1 つのデータ・ センターまであらゆる場所のデータを統合する タイプ 1 暗号化9により、複数の安全なサイト間でデータを共有する リスクにさらされているデータ(飛行機、Humvee(高機動多目的装輪車)、大使館など の軍事アプリケーションで使用)を使用する • データを抽出してサービス・プロバイダおよびパートナーに送信する ベンダーのシステム機密データが存在する場合に、アウトソーシングする 次に紹介する事例は、既存のアクセス・コントロールが不十分であると思われる場合の、デー タ・センターにおける不正アクセスからのデータ保護です。たとえば、次のような状況がありま す。 • 非常に多くのグループが共有/統合ストレージを使用している 複数レベルのセキュリティで 1 つのデータ・センター/アレイを共有する イントラネットおよびインターネット間で統合のためにプラットフォームを共有する • 内部関係者(従業員、管理者、契約者、管理人など)による盗難からデータを保護する • アプリケーション/実行可能プログラムが変更されないようにする さらに、データ暗号化は、多くの規制によって要求または推奨されています。暗号化を導入する と、コンプライアンスが実現します。また、コンプライアンス準拠にも役立ちます。こうした規 制には、たとえば、次のようなものがあります。 • Sarbanes-Oxley Act –財務および会計情報の開示に関する米国の規制 • CA 1798(旧 SB-1386) – カリフォルニア州の規制。暗号化されていない個人情報が危険に さらされている場合に公開を要求します • HIPAA – 米国の医療関連の規制。個人情報のセキュリティのために暗号化を推奨しています • 個人情報保護法– 情報のプライバシーに関する日本の規制 • Gramm-Leach-Bliley Act – 米国の金融業界の規制。個人データ違反の公開を要求します • EU Data Protection Directive – プライバシーおよび電子通信に関する欧州連合の指針 • National Data Privacy 法 – スペイン、スイス、オーストラリア、カナダ、イタリアなど、 多くの国に広がる傾向にあります 9 「これまで、P1619作業グループは、GCMを使用してP1619.1を作成し、テープの暗号化を指定 してきました。オリジナルのP1619ドキュメントは、ディスクの暗号化方式としてXTSを指定す るほか、安全な鍵交換メカニズムを定義しているだけにすぎません。 」に、詳しい定義が記載されています。 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 10 使用時の考慮事項 暗号化を行うにあたり、さらに考慮するべき事項があります。 • ディスク・レベルのデータ重複除外機能が影響を受ける場合があります。適切な暗号化アル ゴリズムでは、異なる環境にある同一プレーンテキストに対して異なる暗号テキストが生成 されます。その結果、ディスクの重複ブロックを分析する容量削減アルゴリズムが、暗号化 されたデータでは動作しなくなります。 • 暗号化されたデータは圧縮できません。無損失圧縮アルゴリズムが適用されている場合、暗 号化されたデータを圧縮しようとするたびに、このアルゴリズムが拡張される可能性があり ます。これは、暗号化されたトラフィックを転送する必要がある WAN の接続性に影響を及 ぼします。 • 現在のプレーンテキストを暗号テキストに変換する際にオーバーヘッドが発生します。この 変換は、所定の位置で行われたとしても、データ・マイグレーション・プロジェクトとして 実行されます。したがって、ホスト・リソース、CPU の利用率への影響、実行中のアプリケ ーションを考慮する必要があります。 • また、説明したすべてのレベルのデータを暗号化する際に、鍵を破棄することでデータをシ ュレッダ処理できるというメリットもあります。これは、同じ鍵で暗号化されたデータのコ ピーが分散して複数存在する場合に特に便利です。データがシュレッダ処理の対象と見なさ れるようにするには、セキュリティ管理者、スマート・カード、バックアップ、鍵管理ステ ーションなどについて、鍵の管理コピーすべてを破棄する必要があります。鍵の破棄は、 NIST SP 800-88 で説明されているデータ消去に関する同様のガイドラインに従って行います。 導入オプション ここまでの使用事例では、暗号化を使用する理由と、保護対象の脅威によって暗号化を適用する 場所が決まる理由について説明してきました。以下のセクションでは、インフラストラクチャの レイヤーごとに導入について詳しく解説します。 アプリケーション・レベル 情報の管理は、その情報が生成された場所、つまりアプリケーションから行うのが最適でしょう。 アプリケーションを使用すれば、いつでも、またどのような目的であっても、情報をクラス分け し、誰がその情報にアクセスできるかを管理できます。 インフラストラクチャのすべてのレベ ルにおいて、情報に関する懸念事項/リスクがある場合、まずはアプリケーション・レベルのセ キュリティから開始し、作業を進めていくことをお勧めします。このケースで選択するのは、ア プリケーション・ベースの暗号化です。アプリケーション・レベルで暗号化を追加すると、アプ リケーションで詳細かつ具体的な情報を保護することができます。たとえば、データベースで、 機密情報(社会保障番号、クレジット・カード番号など)が含まれる行/列のみを暗号化し、そ の他の機密性が低い情報は暗号化しないままにしておくことが可能です。アプリケーションで復 号化を行わずに、ディスクへの書き込みを覗こうとすると、また、ディスクから直接データを読 み取ろうとすると、役に立たない情報が表示されます。 アプリケーション・レベルの暗号化は、図 2で示すように、オペレーティング・システム・レベ ルでのアクセスから、およびサーバ上の他のアプリケーションから、セキュリティを提供します。 アプリケーションは、必要な人だけがアプリケーションとデータにアクセスできるよう、引き続 きユーザー認証と許可を付与する必要があります。アプリケーションでこのようにしっかりとア クセス・コントロールを行わないと、アプリケーション・ベースの暗号化によって得られるセキ ュリティ強化のメリットはありません。クリア・テキストに変換されたデータに対してエンド・ ユーザーが何らかの処理を行うと、組織がセキュリティに関するリスクにさらされる危険性が最 も高くなります。 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 11 アプリケーション・レベルの暗号化には欠点もいくつかあります。まず挙げられるのは、個々の アプリケーション・ベースで暗号化が行われる、という点です。暗号化を必要とするアプリケー ションが複数ある場合、それぞれがタスクを個別に処理しなければなりません。これにより、す べての機密データを確実に保護するための管理がさらに複雑になります。次の欠点は、アプリケ ーション・レベルの暗号化ソリューションは、通常、ソフトウェアがベースになっている、とい うことです。暗号化は CPU を大量に消費するプロセスなので、サーバ上の標準のオペレーティ ング・リソースと競合します。そのうえ、暗号化キーは、サーバ上の動的な不揮発性メモリに格 納されます。ハッカーがサーバに侵入し鍵を見つけたら、情報が復号化されてしまいます。これ らの問題に対処するには、追加のソリューション・コストをかけて、暗号化エンジンまたは鍵マ ネージャを外部に置きます。また、外部に鍵マネージャを置くと、クラスタ・アプリケーション が実現し、複数のノードやサイトで鍵情報を共有することもできます(サーバから鍵マネージャ に各ノードが安全なチャネルを提供できる場合)。FIPS 140-2 コンプライアンス10が暗号化ソリ ューションの要件の場合、通常は、外部アプライアンスが使用されます。 また、アプリケーション・ベースの暗号化は、鍵変更の分野でも課題を提供しています。(鍵の 整合性を確保するための)データの鍵変更は、アプリケーションが行わなければなりません。ア プリケーションは、古い鍵を使用してデータの読み取りおよび復号化を、そして新しい鍵を使用 して再暗号化とディスクへの書き込みを行うほか、前に暗号化された情報が新しい鍵で再暗号化 されるまで、古い鍵と新しい鍵の両方のオペレーションを管理する必要があります。この処理は アプリケーションが通常のトランザクションを処理している間に実行さるため、ここでもリソー ス競合の問題が発生します。 eDiscovery ソリューションを企業に導入する場合は、また別の課題があります。アプリケーショ ン・レベルの暗号化により、暗号化された情報のみが他のアプリケーション(バックアップを含 む)とデバイスにまとまって表示されます。暗号化のランダム化プロセスによってパターンや関 連性が失われるため、データを分析しようとする試みは無駄に終わります。分析を行うには、 eDiscovery アプリケーションを、暗号化を行うアプリケーションに関連づけてリンクさせ、アプ リケーション外でデータを復号化できるようにしますが、これにはセキュリティ・リスクが伴う 可能性があります。 また、アプリケーション・ベースの暗号化は、さまざまなレコード長に対応します。このため、 暗号化スキームは、ブロック・サイズに合わせてデータを補正し、有効な署名を生成する必要が あります。また、実装によっては、アプリケーション・ソース・コードを変更しなければならな くなることもあります。 10 「暗号化対象のメッセージの長さがブロック・サイズの倍数でない場合は、最後のブロックを 補正しなければならないことがあります。 」に、詳しい定義が記載されています。 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 12 図2:アプリケーション・ベースの暗号化 アプリケーション・ベースの暗号化は、レプリケートされたデータへの影響を考慮していません。 ストレージ・レイヤーでローカルにレプリケートされた情報、つまりクローンは、アプリケーシ ョンおよび鍵に表示されず、アプリケーションはレプリケーション・プロセスに表示されません。 鍵管理がより複雑になり得るわけです。さらに、暗号化情報のリモート・レプリケーションでは WAN での圧縮が不可能であるため、これにより WAN 容量に関する問題が発生します。 アプリケーション・レベルでの情報保護を支援するために、EMC は RSA BSAFE ツールおよび RSA Key Manager によってアプリケーション開発サポートを提供するほか、次のソリューション でアプリケーションの暗号化を実現します。 • バックアップ:NetWorker、Retrospect、Avamar が、ネイティブ暗号化機能を備えています。 • アーカイブ:EmailXtender が、ローカル・キャッシュのすべてのユーザー・メッセージを暗 号化します。 • 構造化されていないコンテンツ:Documentum Trusted Content Services が、ファイル・ストア の暗号化を実施し、リポジトリ内のコンテンツを保護します。また、Documentum Information Rights Management は、ドキュメントがリポジトリを離れた時点で、ドキュメント を暗号化し、表示、印刷、コピーなどのアクティビティを制御します。一方、RSA File Security Manager は、ラップトップ、デスクトップ、サーバのファイルを暗号化します。 • データベース:RSA Database Security Manager が、IBM、Oracle、Microsoft、Sybase、Teradata 内でデータベース・オブジェクトを暗号化します。 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 13 ホスト・レベル ホスト・レベルの暗号化は、アプリケーション・ベースの暗号化と同様のメリットおよびトレー ドオフをもたらします。ホスト・レベルでもデータはクラス分けされますが、分類のレベルが粗 く、暗号化は、ホストで実行されているすべてのアプリケーションに対してファイル・レベルで 行われます(図 3を参照)。ただし、ホスト・ベースのアダプタまたはソフトウェアに対するオ プションが用意されており、ホストをファイル、ブロック、またはオブジェクトとして考えて、 すべてのデータを暗号化できます。論理ユニット・レベル、つまりブロックでのホスト・ベース の暗号化の例には、EMC PowerPath があります。アプリケーション・レベルの実装と同様、オペ レーティング・システムは引き続きユーザー認証および許可を提供し、ホスト・レベルの攻撃を 防止します。このようにアクセスが厳重にコントロールされていなければ、ホスト・レベルの暗 号化によって、セキュリティ強化のメリットがもたらされることはありません(メディアの紛失 または盗難に対する保護を除く)。適切に実装され、暗号化ソリューションと統合されていれば、 詳細にプロセス認証を行い、どのユーザーがプレーンテキスト・データを表示できるようにする かを管理できます。 ホスト・レベルでは、ソフトウェアで暗号化を行うことができます。その際、CPU リソースを使 用して実際に暗号化を行い、鍵をメモリに格納します。あるいは、暗号化の負荷を特別なハード ウェアに移動して軽減できます。負荷を軽減するには、ホスト上の HBA またはアクセラレー タ・カードを使用してデータを実際に暗号化する必要があります。HBA の場合、暗号化はイン バンドで行われ、ホスト、つまりファイバ・チャネルからの特別なトランスポート接続専用とな ります。アクセラレータ・カードを使用した暗号化は look-aside オペレーションとして実行され、 トランスポートには左右されません。これにより、ホスト接続性に対する柔軟性は高まりますが、 メモリおよび I/O バスの負荷が増大します。いずれの場合も、ホスト・ソフトウェアが、鍵マネ ージャへの接続と鍵の管理を制御します。 企業でホスト・ベースの暗号化ソリューションが必要な場合もあります。これにより、複数のオ ペレーティング・システムをサポートし、システム間の相互運用性または管理ドメインにおける 整合性など、ソリューションを評価する際に考慮すべき特性が実現します。さらに、ホスト・レ ベルで実装された暗号化は、ストレージにもアレイにも依存しないため柔軟性が高く、新しいハ ードウェアを追加せずに従来のストレージをサポートできます。また、ストレージ・ベースの機 能、つまりレプリケーションと、このホスト・ベースの暗号化を組み合わせることで、新たな課 題も発生します。ホスト暗号化レベルでレプリケーションが採用されている場合、ホスト実装で レプリカをトラッキングして暗号化キーを関連づけ、レプリケーションおよび暗号化テクノロジ ーを手動で管理する必要性を排除しなければなりません。ホスト暗号化によって暗号化されたデ ータがアレイに提供されると、暗号化された非圧縮データがリモート・レプリケーションによっ て転送されます。これは、WAN のパフォーマンスに深刻な影響を与えます。 PowerPath には、オペレーティング・システム間の相互運用性とレプリケーションの問題の両方 に対応するためのメカニズムが用意されています。PowerPath は、Solaris、Windows、Linux、 AIX、HP-UX のリリースで一貫した機能を提供しており、暗号化および鍵管理の実装は 1 つです。 オペレーティング環境には左右されません。また、暗号化によるレプリカ管理については固有の アプローチが開発され、ユーザーの操作に左右されることなく、ソース・ボリュームとレプリケ ートされたボリュームが連携し、鍵管理を行うことができます。 アプリケーション・ベースの暗号化と同様、企業内に eDiscovery ソリューションを導入すると複 雑性が増します。ホスト・レベルの暗号化により、暗号化された情報のみが他のホストおよびデ バイスにまとまって表示され、前のセクションで説明したものと同じ分析に関する課題が発生し ます。 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 14 暗号化がホスト・レベルで行われると、データのレコード長を変えることができます。アプリケ ーション・ベースのアプローチと同様、暗号化ソリューションでは、暗号化ペイロードに情報が 追加され、デジタル署名または暗号形式認証が可能です。これにより、「中間者」が、暗号化さ れた適切なパケットの代わりに不正パケットをホストから使用できなくなります。また、 PowerPath は、ペイロードにデータを追加せずに、論理ユニット・レベルでブロック・ベースの 暗号化を行います。 図3:ホスト・ベースの暗号化 ホスト・レベルでの情報保護に対応するためのソリューションを提供するために、EMC は RSA BSAFE ツールおよび RSA Key Manager によってアプリケーション開発サポートを提供するほか、 次のソリューションでホストの暗号化を実現します。 • バックアップ:NetWorker、Retrospect、Avamar • 構造化されていないコンテンツ:RSA Database Security Manager • ホスト・ベース:PowerPath は論理ユニットでブロック・ベースの暗号化を行います。 ネットワーク・レベル 企業内の脅威がサーバ、オペレーティング・システム、またはアプリケーション・レベルではな く、ネットワークまたはストレージ・レベルの場合、ネットワーク・ベースのアプライアンス・ で暗号化にアプローチするのが最適です。このアプローチは、オペレーティング・システムには 依存せず、ファイル、ブロック、テープ、ファイバ・チャネル、iSCSI、またはNASデータに適 用できます。暗号化および鍵管理は、ハードウェアで完全に処理され、ワイヤースピードで実行 されます。アプライアンスは、ネットワークに「非暗号化サイド」と「暗号化サイド」を提供し ます。暗号化は、ブロック、ファイル、またはテープ・ベースで指定でき、鍵はデータのライフ 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 15 タイムにわたって保持されます。現在利用できるアプライアンスは、通常、FIPS 140-2レベル3認 定です11。 ネットワーク・ベースのアプライアンス設計には、「SAF(ストア・アンド・フォワード)と 「トランスペアレント」の2つの実装があります。SAF設計は、サーバに対するストレージ、お よびストレージに対するサーバとして表示され、iSCSI、ファイバ・チャネル、SAN、NAS、お よびテープをサポートします。I/O動作がアプライアンスに達すると、中断され、データが暗号 化されて、そしてデスティネーション・ストレージ・デバイスに転送されます。このアプローチ によってレーテンシーが追加され、結果として、理想的にはある形式の「カットスルー」12が提 供される必要があります。これにより、暗号化されていないトラフィックに対するデバイスの影 響を最小限に抑えます。さらに、サーバおよびストレージの両方として表示されるようにするた めに、SAFアプライアンスは、接続デバイスのIDをスプーフィングするか、アプライアンスを回 避しようとする試みを堅牢なセキュリティ・プラクティスが防ぐと信頼しなければなりません。 アプライアンスを介したデータの暗号化にはレーテンシーのペナルティが発生する可能性があり ますが、SAFベースの設計には、接続ストレージ・デバイスの鍵をバックグラウンドで変更でき るというメリットがあります。これはホスト・オペレーションを中断することなく実行されます。 ストレージに対するすべてのI/O動作がホストとは無関係に処理されるからです。ただし、暗号 化デバイス上のI/O負荷によっては、鍵変更プロセスのパフォーマンスに多少影響する可能性は あります。 トランスペアレントアプローチでは、フロースルー・モデルを暗号化対象のデータに提供し、フ ァイバ・チャネルSANおよびテープをサポートします。アプライアンスは、データがそのアプラ イアンスを通過するときにSCSIヘッダを調べ、アプライアンスの構成で事前設定されたソース/ デスティネーション基準を満たすデータ・ペイロードのみを暗号化します。このアプローチでは レーテンシーを最小限に抑えられます。ただし、トランスペアレント・デザインにも欠点は存在 しており、暗号化されたデータの鍵を変更する必要がある場合にそれが現れます。SAF設計とは 異なり、基本的にデバイスがデータ・フローにおいて透過的であるため、暗号化されたデータの 鍵変更に必要な読み取りおよび書き込みはホストが行わなければなりません。このプロセスは、 個別のホスト・エージェントによって行われ、通常のオペレーションが行われている間でも実行 できます。 ブロック・ベースの実装については、暗号化されているデータのサイズを増やすことはできませ ん。つまり、暗号化されたペイロードに、デジタル署名などの情報を追加することはできません。 ただし、これは、レコード情報を変更できるファイル・ベースまたはテープ・ベースの暗号化に は当てはまりません。規格に関する説明のとおり、IEEEのIEEE P161913は、保存されたデータ・ ブロックを暗号化するための基準を提供します。 企業内では、複数のオペレーティング・システムをサポートし、システム間の相互運用性または 管理ドメインにおける整合性が要求される暗号化ソリューションが必要される場合もあります。 さらに、ネットワーク・レベルで暗号化を実装した場合は、ストレージにもアレイにも依存しな いため柔軟性が高く、新しいハードウェアを追加するだけで従来のストレージをサポートできま 11 「暗号化対象のメッセージの長さがブロック・サイズの倍数でない場合は、最後のブロックを 補正しなければならないことがあります。 」に、詳しい定義が記載されています。 12 宛先アドレスが処理されるとすぐに(フレーム全体を受け取る前に)ネットワーク・デバイス がフレームまたはパケットを転送する技術。 13 「暗号化対象のメッセージの長さがブロック・サイズの倍数でない場合は、最後のブロックを 補正しなければならないことがあります。 」に、詳しい定義が記載されています。 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 16 す。このケースではハードウェアはポート単位で、つまり、通常は一度に 2 台ずつ追加され、企 業が今日直面している電源、パッケージ、および冷却に関する問題がますます大きくなります。 さらに、この方法でアプライアンスを追加すると、企業内の追加デバイスの管理がますます複雑 になる可能性があります。レプリケーションなどのストレージ・ベースの機能と、このネットワ ーク・レベルの暗号化を組み合わせることで、新たな課題も発生します。ネットワーク・レベル の暗号化でレプリケーションが採用されている場合、実装でレプリカをトラッキングして暗号化 キーを関連づけ、レプリケーションおよび暗号化テクノロジーを手動で管理する必要性を排除し なければなりません。ネットワーク・レベルの暗号化によって暗号化されたデータがアレイに提 供されると、暗号化された非圧縮データがリモート・レプリケーションによって転送されます。 これは、WAN のパフォーマンスに深刻な影響を与えます。 データの整合性機能をプロトコルの一部として使用するように移動する実装もあります。ネット ワーク・レベルの暗号化ではデータとデータ整合性の両方が暗号化されるため、アレイで実行さ れるこのレベルのチェックで不一致が発生します。 図4:ネットワーク・ベースの暗号化 ネットワーク・レベルの暗号化は、レプリケートされたデータへの影響を考慮していません。ス トレージ・レイヤーでローカルにレプリケートされた情報、つまりクローンは、ネットワーク・ デバイス管理および鍵に表示されず、ネットワーク・デバイスはレプリケーション・プロセスに 表示されません。鍵管理がより複雑に、そして手動で行われるようになり得るわけです。さらに、 暗号化情報のリモート・レプリケーションでは WAN での圧縮が不可能であるため、これにより WAN 容量に関する問題が発生します。 EMC は、ネットワークにおける情報保護ソリューションをパートナーを介して提供しています。 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 17 • ネットワーク・レベル:Cisco SME(Storage Media Encryption)または Connectrix MDS は、 保存されたデータの暗号化を、スイッチを備えたサービスとして提供しています。 デバイス・レベル デバイス・レベル、つまりアレイ、ディスク、またはテープ・レベルでの暗号化は、ストレー ジ・メディア上の機密データを保護するのに適しています。この種類のデータは、多くの組織が 対処しようと努めている主なセキュリティ・リスクです。デバイスに書き込まれるデータはすべ て暗号化および格納され、デバイスから読み取られるときに復号化されます。このレベルの暗号 化はアプリケーションやホストに依存しません。また、トランスポートにも依存しません。メデ ィア盗難に対応するとき、暗号化の細分性、および鍵は、ディスクまたはテープ・レベルになり ます。図 5で示すように、前述の実装例に比べると、暗号化されていないデータの消失が増加し ます。 Unencrypted Data Encrypted Data Storage Array Connectivity Servers Fibre Channel Tape Library 図5:デバイス・ベースの暗号化 アレイ・レベルの暗号化 アレイ、つまりディスク・レベルまたはコントローラ・レベルでの暗号化では、設計ポイントが いくつかあります。たとえば、暗号化を目的として設計する場合、アレイへのインタフェース、 ソフトウェア・サポート、パフォーマンス、FIPS認定、鍵管理、暗号化オブジェクトの細分性な どを考慮します。その目的は、接続されているホストに対して透過的に暗号化を実装しつつ、リ ムーバブル・メディアを保護することです。接続されているホストは暗号化実装を認識しません が、管理やパフォーマンスについては認識できます。設計のすべての側面を考慮する必要があり ます。 最初のアプローチとして、アレイのバック・エンドであるディスク・ドライブで暗号化を実装し ます。このアプローチで考慮すべき事項を次に示します。 • ドライブごとに暗号化が行われるため、必要な計算は、ドライブ・エンクロージャに含まれ ます。これにより、拡張性に優れたソリューションが実現し、すべてのユニットに対して暗 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 18 号化を追加できます。これの欠点は、すべてのユニットに追加される機能に伴うコストです。 つまり、パフォーマンスを拡張できますが、その分コストもかかります。 • ディスク・ドライブ外のデータは常にプレーンテキストであるため、暗号化が有効になって いるかどうか、またアレイ上で機能しているかどうかをお客様が確認できないことがありま す。 • このレベルの暗号化に対するアプローチでは必ず、柔軟性やお客様の選択肢を確保するため に、ドライブ・ベンダー間における暗号化実装の相互運用性も必要とされます。 • バルク・ドライブの暗号化では、LUN/デバイス・レベルでの鍵の細分性を提供します。これ により、多くの場合、鍵の削除による特定の機密プロジェクト消去の可能性がなくなります。 • 最後に、このレベルの暗号化は、Trusted Computing Group によって策定されており、まだ開 発がされていない FIPS 140 に代わる異なる検証パスに従うことがあります。評価基準が存在 しておらず、ディスク・ドライブの暗号化確認提案を理解することは不可能です。 次のアプローチでは、ディスク・ドライブに接続されているI/Oコントローラで暗号化を実装し ます。この実装では、次の示すポイントについて考慮します。 • 暗号化はインタフェース・レベルで行われ、ドライブ・アプローチでのインタフェースのス ピードと対比させて、ワイヤースピードを完全にサポートする必要があります。 • コスト・モデルは、1 つのコントローラと 1 つのコントローラに接続されている数十のドラ イブの対比に基づきます。 • コントローラ・アプローチでは I/O レベルで暗号化を行うことができ、LUN またはディス ク・レベルでの鍵管理の細分性を実現できます。このアプローチでは、将来的に LUN ベー スの消去および論理データ管理が可能になります。 • コントローラのアプローチはドライブにも、特定のベンダーやインタフェースにも依存しま せん。これにより、障害分析にすべての標準ツールを使用できます。 • コントローラ・レベルの暗号化をサポートする場合は、暗号形式の境界を適切に定義できま す。これにより、FIPS 140-2 認定が有効になります。 • 暗号化と鍵管理が、暗号化されているデータが含まれるディスク・ドライブから切り離され るため、暗号化機能の動作を顧客が検証できます。また、取り外されたディスク・ドライブ の鍵について心配する必要もありません。 また、メディア盗難に対する保護の暗号化オプションの代わりに、EMC認定データ消去を使用す ることもできます。これは、主な使用例である機密データが含まれるディスク・メディアの保護 に対応し、消去サービス(取り外されたディスクの場合)およびソフトウェア(フレーム内消去 の場合)として現在使用できます。この消去では、米国国防総省の仕様5220.22-Mに従ってデー タが複数回上書きされ、メディアからデータが削除されます。1つ気をつけなければならないの は、技術上の理由から、わずかですが消去できないドライブがあるという点です。こうしたドラ イブはオンサイトの安全な場所で、EMCディスク保持サービスを使って保存します。 テープの暗号化 通常の運用の一環として、ストレージ・デバイスからテープにデータを書き込んで、データをバ ックアップまたは保護したり、サード・パーティで利用できるようにしたりすることはよくあり ます。テープ・カートリッジ上のデータは、通常のバックアップ・オペレーションでトラッキン グするテープ・カートリッジのサイズやテープの数により、盗難または紛失の被害にあいやすく なります。テープ上のデータが予定外または不正に表示されないよう適切に保護するには、テー プを暗号化します。バックアップ・オペレーションの一環としてテープを暗号化するためのアプ ローチは複数あります。 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 19 • 暗号化されたデータをアプリケーション/ディスクから読み取り、暗号化されたデータとして テープに書き込む • 暗号化されていないデータをアプリケーション/ディスクから読み取り、バックアップ・オペ レーションの一環として暗号化する • テープに送信されたデータを、ネットワーク上の暗号化アプライアンスを使用して暗号化す る • テープに書き込まれたデータを、暗号化テープ・ライブラリまたはテープ・デバイスを使用 して暗号化する テープを暗号化する場合は、鍵管理に関する課題にも対処しなければなりません。情報のリカバ リを行おうとした時点で、テープがすでに長期間格納されている場合があります。つまり、暗号 化されたデータの通常の管理プロセスで、アプリケーションによってディスク上のデータの鍵が 変更され、ディスク上のすべてのデータが新しい鍵で更新されていることがあります。この場合、 アプリケーションでは新しい鍵を使ってアクティブなデータを表示され、古い鍵を使ってテープ 上のデータが表示されます。つまり、アプリケーションでは、データの格納場所にかかわらず、 そのデータのライフタイムにわたって鍵を管理できなければなりません。 テープの暗号化導入オプション • アプリケーション・レベル- バックアップは、通常、暗号化アプリケーションに対するピア として、ホストで実行される別のオペレーションです。データは、暗号化されているデータ として、すべてのピア・アプリケーションまたはプロセスによってストレージ・アレイから 読み取られるため、バックアップ・プロセスでは、すでに暗号化されているデータをテープ に書き込むことができます。暗号化自体を行う必要はありません。ただし、暗号化されてい るデータは圧縮できないため、バックアップ・プロセス中はデータを圧縮できません。標準 の圧縮では、データ・ボリュームがどこにあっても 2:1~4:1 の割合で圧縮されるため、大量 のバルク・データが圧縮されている場合は、バックアップ・プロセスのパフォーマンスに影 響を及ぼします。 また、暗号化を提供するアプリケーションが、暗号化された形式または暗号化されていない 形式のデータを読み取るために、認定ピア・アプリケーションにもアクセスを提供します。 これにより、バックアップ・アプリケーションで、暗号化されていない形式のデータを読み 取り、圧縮してから、バックアップ・プロセスの一環として暗号化を行うことができます。 • オペレーティング・システム/ホスト- バックアップは、ホスト・ベースで暗号化を行うとき にホストで実行される別のプロセスです。ホスト・オペレーティング・システムの暗号化プ ロセスには、バックアップ・プロセスで、暗号化された形式または暗号化されていない形式 のデータを読み取るためオプションが用意されています。バックアップ・プロセスでプレー ンテキスト・データを読み取ることができることが認証モジュールによって確認されている 場合、バックアップは、テープに送信する復号化されたデータを受け取ります。バックアッ プ・アプリケーションでは、テープへの書き込みを安全に行えるよう暗号化を行う必要もあ ります。このデータ・フローでは、バックアップ・プロセスで圧縮機能を利用できます。復 号化されたデータをバックアップ・プロセスで表示できない場合は、ディスクから暗号化さ れたデータを読み取って、そのままテープに書き込みます。アプリケーション・ベースのア プローチでは、この暗号化されたデータにおいて圧縮機能を使用することはできないため、 パフォーマンスの問題が発生する可能性があります。さらに、ホストの暗号化エンジンは、 テープからのリストアが必要な場合に確実に復号化を行えるようデータのライフタイムにわ たって鍵を維持しなければなりません。 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 20 • ネットワーク - 暗号化アプライアンスがネットワーク上に配置されている場合、バックアッ プを 2 通りの方法で処理できます。バックアップがボリューム・ベースの場合、ストレー ジ・アレイから読み取られるデータはすべてすでに暗号化されていることがあります。バッ クアップ・アプリケーションは、暗号化されたデータを読み取ってテープに直接書き込みま す。このシナリオでは、データ・パスの圧縮によるメリットはありません。ファイルまたは 差分ベースのバックアップの場合、バックアップ・プロセスはアプライアンスを介してデー タを読み取り、そのプロセスの間に復号化してテープに書き込みます。暗号化を行うために、 テープの暗号化アプライアンスはテープ・デバイスの前に配置されます。データは、テープ に書き込まれるときに圧縮および暗号化されます。テープ暗号化アプライアンスでは、テー プのライフタイプにわたって鍵が管理されます。 • テープ・ライブラリ/ドライブ - バックアップ・プロセスおよびアプリケーション・ソフトウ ェアとは関係なく、テープ・ドライブ・レベルでデータが暗号化されます。テープにデータ が書き込まれるときに、デバイス、つまりライブラリですべての暗号化が行われ、テープか ら読み取られるときに、ドライブで復号化が行われます。バックアップ・アプリケーション は、プレーンテキスト・データのみを処理します。テープ・ドライブまたはライブラリは鍵 マネージャに対する管理インタフェースとして機能し、書き込まれた新しいテープについて は鍵の生成を、また読み取り対象のテープについてはそれぞれ鍵の取得を要求します。テー プへの鍵の関連づけは、鍵マネージャによって管理されます。鍵マネージャは、バックアッ プ・アプリケーションで定義されているボリューム・プール・ポリシーと連携するよう統合 できる場合もあります。このポリシーに関連づけられたプール内のテープを使用するよう指 示されたジョブは、バックアップまたはリストア・ジョブがボリューム・プールのテープを 使用するときにのみ、ドライブまたはライブラリによる暗号化キー要求で開始されます。 結論 暗号化は、企業内の情報の機密性を保護するために使用できるツールです。暗号化ソリューショ ンを導入するべきかどうか、およびどのように導入するかを把握するには、情報の流れにおける 各ポイントについて不正アクセスおよび開示のリスクについて理解し、評価する必要があります。 また、暗号化テクノロジーを導入することで、ビジネス上の他の分野にどのようなリスクがもた らされるかを理解しなければなりません。たとえば、管理が複雑になったり、許可されたユーザ ーに対する暗号化データの可用性が危険にさらされたりすることがあります。データが使用でき なくなるのは、鍵管理と同じくらい簡単なことが原因である場合がありますが、これは暗号化ソ リューションを実装する際に最も重要な要因であると考えられています。暗号化は、総合的なセ キュリティ・ソリューションの一部として見なす必要がありますが、このソリューションだけを 考えればいいわけではありません。管理者は、情報の流れおよびアーキテクチャの全レベルで保 護オプションを利用する必要があります。 暗号化を実装する際の一般的な問題点を 2 つ次に示します。 • データを初めて暗号化するときのプレーンテキストから暗号テキストへの変換、または新し い鍵を使って暗号化するときの暗号テキストから暗号テキストへの変換。両方とも、所定の 位置で行われたとしても、データ・マイグレーション・プロジェクトとして実行されます。 したがって、ホスト・リソース、CPU の利用率への影響、および実行中のアプリケーション を考慮する必要があります。 • WAN における暗号化されたデータのレプリケーション。暗号化が適切に行われると、ラン ダムな非圧縮データが生成され、リモート接続の利用に影響を及ぼします。 表 1 では、さまざまな導入オプションをまとめています。 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 21 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 22 表1:暗号化アプローチのまとめ 暗号化 鍵管理 バックアッ プ 問題点 リスクへの対応 アプリケー ション 通常、ソフ トウェアで 行われる が、ハード ウェアでの 実施も可 能。 通常はメモリ またはファイ ルに格納。ア プリケーショ ン間での鍵の 整合性が情報 を共有するう えでの課題に なっている。 140-2 レベル 3 に対応するに は外部アプラ イアンスが必 要。 アプリケーシ ョンに対する ピア・プロセ スで、暗号化 されたデータ をバックアッ プ。非圧縮。 ライフタイム での鍵管理が 課題。 ホスト・システム で集中的に暗号化 が行われる。ま た、アプリケーシ ョンごとのプロセ スである。ホスト で複数のアプリケ ーションが使用さ れている場合は、 情報共有が問題に なり得る。また、 データのライフタ イムにわたって鍵 を格納する必要が あり、これはアプ リケーション・ア ップグレードの際 に問題になること がある。 eDiscovery に影響 を与える可能性が ある。 オペレーティン グ・システムお よびネットワー クの攻撃、およ びメディア盗難 から保護。 ホスト 通常、ソフ トウェアで 行われる が、ハード ウェアでの 実施も可 能。ファイ ルまたはブ ロック・ベ ースであ る。 通常はメモリ に格納される が、外部アプ ライアンスが あることもあ る。 ピア・プロセ スによりデー タがバックア ップされ、ホ ストを再暗号 化する必要が ある。 ホスト・システム で集中的に暗号化 が行われる。 PowerPath が実装 されていない場合 は、オペレーティ ング・システムご とにアプローチが 必要である。ま た、データのライ フタイムにわたっ て鍵を格納する必 要があり、これは OS のアップグレ ードの際に問題に なることがある (外部鍵管理機能 が使用されていな い場合)。 eDiscovery に影響 を与える可能性が ある。 ネットワークの 攻撃、およびメ ディア盗難から 保護。 ネットワー ク 通常、ハー ドウェアで 行われる。 ハードウェア でデータのラ イフタイムに わたって管理 される。 ブロック・ベ ースの暗号化 から、テープ またはファイ ル・ベースの ネットワーク上で 統合ポイントが 1 つのため、暗号化 がパフォーマンス のボトルネックに ネットワークの 攻撃、およびメ ディア盗難から 保護。 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 23 ディスク・ ベース 通常、ハー ドウェアで 行われる が、ソフト ウェアでの 実施も可 能。 ディスクまた は LUN ごと に行われる。 鍵管理はアレ イに常駐で き、外部アプ ライアンスか ら利用でき る。 暗号化までを 行うことが可 能。テープ・ バックアップ の圧縮または レプリケーシ ョンの整合性 も統合可能。 なる可能性があ る。 ディスク外部 の外部の暗号 化されてない データを常に 提供。 非常に限定された 事例を処理する。 企業内の暗号化さ れたデータ消失の 可能性が極めて高 い。 メディア盗難か ら保護。 付録 A:暗号化モード 暗号化アルゴリズムは、通常、64~128 バイトのブロック長で動作します。より長いメッセージ を暗号化するには、次のようなオペレーションの暗号化モードを使用します。 • CBC – 暗号ブロック連鎖 • CTR – カウンタ • XTS – Tweakable Narrow Block • GCM – ガロア/計数モード 図 6で示すように、CBC モードでは、各ブロックの暗号化の前に、そのブロックの排他的論理和 演算が前の暗号テキスト・ブロックで実行されます。復号化は、これの反対のプロセスです。 図6:CBC モードの暗号化および復号化 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 24 CTR モードでは、カウンタの連続する値が暗号化され、暗号化された連続値の排他的論理和演算 がプレーンテキストで実行され、暗号テキストが生成されます。復号化は、図 7で示すように、 これとは反対のプロセスです。 図7:CTR モードの暗号化および復号化 GCM モードは、機密性と認証の両方を提供します。このモードは、10 Gb/秒で暗号化を提供す る手段として開発されました。現在の規格開発の推奨モードですが、NIST 規格のリストには記 載されていません。GCM モードを使用すると、認証の面で大きな違いがもたらされます。つま り、暗号化されたペイロードのサイズが増え、ディスク上のデータ・サイズが変わります。 暗号化で使用されるすべてのモードで、IV(初期化ベクタ)、つまり乱数を使用する必要があり ます。IV は、暗号化プロセスを開始し、ランダム化を行う際に使用するシード・ブロックです。 同じ IV と鍵の組み合わせを複数回使用することはできません。 暗号化対象のメッセージの長さがブロック・サイズの倍数でない場合は、最後のブロックを補正 しなければならないことがあります。 付録 B:規格 保存されたデータの暗号化実装を規定する規格は複数あります。標準化では、セキュリティの特 定の分野、および相互運用性のいくつか要素に関連して、実装で満たさなければならない機能の 最小レベルを提供します。 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 25 FIPS 140-2 FIPS Publication 140-2 は、暗号形式モジュールの14セキュリティ要件を規定します。米国政府機 関エンティティが暗号化またはその他の暗号保護を実装できるようにするには、その前に、その 実装が FIPS 140-2 要件を満たさなければなりません。この規格では複数の保護レベルを規定して おり、それぞれのレベルが、厳しさを増すドキュメンテーション要件に対応しています。 • レベル 1:最下位レベルのセキュリティ。本番クラス装置の要件を超えて、モジュールで物 理セキュリティ・メカニズムを必要としません。ソフトウェア専用のソリューションに適し ています。改ざん防止の物理セキュリティを明示的には必要としませんが、セキュリティを 向上させるために改ざん防止機能を組み込むことができます。 • レベル 2:改ざん防止の物理セキュリティまたは盗難防止ロック。レベル 2 は、役割に基づ いた認証を提供します。C2 または同等の信頼できるオペレーティング・システムと組み合わ せて使用すると、マルチユーザー時間共有システムでソフトウェア暗号形式が許可されます。 • レベル 3:改ざん防止の物理セキュリティ。レベル 3 は、ID に基づいた認証を提供します。 • レベル 4:物理セキュリティが、暗号形式モジュールで保護エンベロープのほか、本番環境 における変動に対する保護を提供します。 企業内の鍵管理では、FIPS 140-2 レベル 3 が最も一般的な要件です。 FIPS 197 AES(Advanced Encryption Standard)は、電子データの保護で使用できるFIPS認定の暗号形式ア ルゴリズムを規定します15。AESアルゴリズムは、情報を暗号化および復号化できる対称ブロッ ク暗号で、128、192、256ビットの暗号形式鍵を使用して、128ビットのブロックのデータを暗号 化および復号化できます。また、AESは、暗号化の推奨NISTアルゴリズムです。 暗号化のオペレーション・モード Special Publication 800-38Aでは、AESアルゴリズムとともに使用するために5つのオペレーショ ン・モードがNISTによって規定されています。SP 800-38Aのモードは、ECB(電子コードブッ ク)モード、CBC(暗号ブロック連鎖)モード、CFB(暗号フィードバック)モード、OFB(出 力フィードバック)モードで、これらは、FIPS Pub 81で指定されているモードの更新です。さら に、SP 800-38Aは、CTR(カウンタ)モードも規定しています。 IEEE P1619 IEEE P1619作業グループは、暗号化された共有ストレージ・メディアの標準アーキテクチャを定 義することに力を注いでいます16。これらの標準では、理論的には、暗号化されたストレージの ベンダー間で相互運用が可能です。たとえば、次の領域に重点を置いています。 • ストレージ(ディスクまたはテープ)デバイスにデータを送信する前に、そのデータを暗号 化するための、暗号形式アルゴリズム、モード、方法の標準 • 暗号化されたデータをバックアップおよびリカバリする際に必要な、鍵および関連構成パラ メータを指定するための形式 • 定義された標準のコモン・クライテリア保護プロファイル 14 http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf 16 http://siswg.org 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 15 26 これまで、P1619作業グループは、GCMを使用してP1619.1を作成し、テープの暗号化を指定して きました。オリジナルのP1619ドキュメントは、ディスクの暗号化方式としてXTSを指定するほ か、安全な鍵交換メカニズムを定義しているだけにすぎません。 付録 C:暗号化の種類 使用中の暗号化製品には4種類あります。 • タイプ 1 は、クラス分けされた情報を保護するために NSA/CSS のディレクターによって明 確に承認された、アルゴリズムまたはデバイス、あるいはアルゴリズムとデバイスのアセン ブリです。 • タイプ 2 は、クラス分けされていない機密情報を保護するために NSA によって承認された 暗号形式のアルゴリズムまたはデバイスです(United States Code の第 10 編第 2315 条または 第 44 編 3502(2)条で規定)。 • タイプ 3 は、連邦情報処理規格として承認された暗号形式アルゴリズムまたはデバイスです。 • その他に、NSA/NIST または FIPS で確認されていないアルゴリズムや実装があります。 付録 D:米国情報クラス分けレベル 国家安全保障にかかわる問題のため、暗号化デバイスおよびアルゴリズムの中には、輸出の制限 を受けるものがあります。この制限を受けるデバイスのほとんどが、前述したタイプ1および2に 所属します。米国政府は、不正開示することで国家安全保障が危険にさらされる程度に応じて情 報を分類しています。 • 最高機密 - 最も高いセキュリティ・レベルです。公開されると「極めて重大な影響」を national securityに与える情報として定義されています。公衆にとって知られざる部分ですが、 「最高機密」として分類される情報は、ほかのレベルと比べると、かなり少なくなっていま す。このレベルに分類されるのは、特に慎重に扱う必要がある情報(武器の設計、大統領の セキュリティ情報、核関連プロジェクト、さまざまなインテリジェンス情報など)だけに限 られます。 • 機密 - 上から 2 番目のセキュリティ・レベルです。機密としてクラス分けされた情報は、公 開されると国家安全保障に「深刻な影響」を与えます。「クラス分け」されている情報の圧 倒的多数が、機密として分類されています。 • 内密 - 最も低いセキュリティ・レベルです。公開されると国家安全保障に「影響」を及ぼす と思われる情報として定義されています。 • 未分類 - 理論的には「クラス分け」されていません。これはデフォルトの設定で、許可なし で個人に公開される情報のことをいいます。未分類の情報は「制限付き」で広まっているこ とがありますが、これらの制限は一般的には無意味です。 • FOUO(私用禁止) • 未分類で機密 企業内の保存されたデータの暗号化へのアプローチ 詳細な検証 27