デジタル時代の情報セキュリティを支える「暗号鍵管理」とは
AIやIoTといったデジタル技術が浸透し、あらゆる情報がネットワークを介してやりとりされる現在、情報セキュリティを確保するために欠かせない存在となっているのが暗号化技術です。暗号化のための重要な要素の一つに「鍵」と呼ばれるデータがあり、これが適切に管理されていなければ、情報の安全性を担保することはできません。デジタルトランスフォーメーション(DX)時代の「鍵管理」の重要性について、情報セキュリティ技術の専門家であるNRIセキュアテクノロジーズ(NRIセキュア)の須田直亮、小泉光、朝倉麻衣に聞きました。
暗号化に利用する「鍵」の適切な管理が社会的に求められている
個人情報を含む膨大な情報がネットワーク上でやり取りされ、自動車や家電製品など多くのモノがインターネットに接続される時代が到来しています。こうしたデータを保護したり、インターネットにつながっているモノが適切に利用できるようにしたりするために、これまで以上に重要性を増しているのが暗号化技術です。
暗号化と聞くと、多くの人が通信内容やデータの内容を盗聴や盗み見から保護するといったことを思い浮かべるでしょう。これに加え、暗号化技術を利用することで、通信内容の改ざん防止ができ、第三者によるなりすましも防げます。
「このような暗号化技術を利用する際、大きな役割を担うのは「鍵」と呼ばれるデータです」と須田直亮は話します。「暗号化に利用する鍵を適切に管理することが社会的に求められています」
「昨今では、クレジットカード業界におけるPCI DSS※1などのように、セキュリティを確保するための基準が数多く定められ、これらのセキュリティ基準や規格では、鍵管理の具体的な方法にまで踏み込んでいることが多くなっています。セキュリティ意識が高まった社会の要請に応え、情報の保護やシステムの安全性を確保するために、適切に鍵管理を行わなければなりません」
クレジットカードの決済処理においても鍵管理は大きな課題
具体的に暗号鍵の管理に注目が集まっている領域の例として、朝倉麻衣はクレジットカード情報の送受信について述べます。
「最近では、加盟店においてクレジットカード決済を行う際、店舗側での端末でカード情報を暗号化し、そのまま決済処理を行うセンターまで送信する技術であるP2PE(Point to Point Encryption)が注目されています。このP2PEに対するセキュリティ基準であるPCI P2PE※2に準拠認定されたソリューションの導入により、加盟店でクレジットカード情報を保持していない状態と同等とみなすことのできる『非保持化』を実現することが可能です。また、PCI P2PEにおいても、決済端末に保存されている暗号鍵や決済センターで扱う暗号鍵を適切に管理することが求められています。」
また、ブロックチェーンの技術を使った仮想通貨の仕組みにおいても、暗号鍵は極めて重要な役割を担っています。ビットコイン等に代表される仮想通貨では「ウォレット」と呼ばれる仮想的な財布を用意する必要があります。「ウォレット」内で管理しているのは、通貨そのものではなく、仮想通貨を扱うために必要となる暗号鍵(秘密鍵)であり、この暗号鍵が仮想通貨におけるいわば所有権に相当することとなるため、厳密な管理が重要となっています。仮にこの鍵が第三者に盗まれると、通貨が勝手に支払いに使われたり第三者に送金されたりするリスクが大きくなります。
特に、ビットコイン等の顧客の仮想通貨を預かる取引所では、この暗号鍵の管理は極めて重大な問題となります。そのため、運用面から鍵管理を考える必要があると話すのは小泉光です。
「ビットコインの情報セキュリティ対策として、複数の鍵がなければ通貨を使えないようにすることができます。暗号鍵を複数用意し、それぞれ別の担当者が保持します。このような形にすれば、たとえ1人が不正を試みたり、誤った操作をしたりしても、別の担当者の鍵がなければ送金などを行うことはできません。複数人が鍵を持ち、お互いがけん制する状況にあれば内部不正も起きにくいでしょう。このように、鍵管理では安全な運用体制を考えることも大切です」
IoTの安全性を守る暗号化技術
IoTの世界でも暗号化技術は欠かせません。IoTデバイスとそれを管理するサーバー間の通信の暗号化のほか、管理サーバーに接続するIoTデバイスが正当なものであるかを判断する認証にも暗号化技術が活用されています。
また、ネットワークに接続された自動車、コネクテッドカーのセキュリティを確保するためにも暗号化技術は使われています。須田は、「コネクテッドカーは販売後も、インターネット経由で新しいアップデートモジュールを送信する必要があります。このようなデータは自動車の根幹に関わるものなので、改ざんなどが行われないように安全に送る必要があります。そこで、データの暗号化や送信したアップデートモジュールが改ざんされていないかを検証する目的で、暗号化技術が使われます」と説明しました。
NRIセキュアでは、暗号化技術を使ったシステムのアセスメントや鍵管理を含めた運用体制の構築支援、あるいは前述したPCI P2PEの準拠支援などのサービスを業界横断的に提供しています。暗号化技術が幅広い領域で使われるようになったことで、このサービスへの問い合わせが増加していると言います。
顧客の個人情報を適切に保護することは企業の信用に関わりますし、自動車や工場の製造ラインなどでIoTの技術を利用する場合、サイバー攻撃などによって外部からデバイスを不正にコントロールされるようなことがあれば、人命にも影響を及ぼしかねないでしょう。こうしたリスクを低減する上で、暗号化技術の重要性は今後ますます高まっていくことが予想されます。
- 1 Payment Card Industry Data Security Standardの略。カード会員情報の保護を目的として、国際ペイメントブランド5社が設立したPCI SSC(Payment Card Industry Security Standards Council, LLC.)によって策定されたカード情報セキュリティの国際統一基準。
- 2 Payment Card Industry Point to Point Encryptionの略。P2PEを用いたソリューションの準拠認定を目的として、国際ペイメントブランド5社が設立したPCI SSC(Payment Card Industry Security Standards Council, LLC.)によって策定されたカード情報セキュリティの国際統一基準。
- NRIジャーナルの更新情報はFacebookページでもお知らせしています
プロフィール
※組織名、職名は現在と異なる場合があります。