基幹システムのクラウド化と“仮想化サーバ暗号”の特徴と懸念点

IT・IT製品TOP > Key Conductors > 亀田 治伸(日本セーフネット株式会社) > 基幹システムのクラウド化と“仮想化サーバ暗号”の特徴と懸念点
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

基幹システムのクラウド化と“仮想化サーバ暗号”の特徴と懸念点

エンドポイントセキュリティ 2013/07/09

 前回はクラウド暗号化技術のご説明の下準備として、従来の暗号技術の説明、特にハードウェア暗号処理の重要性を述べた。本章以降はそのハードウェア暗号処理がどのようにクラウドに適応されているかいくつかのパターンをまとめる。
量が多くなるため1章毎にひとつのパターンを紹介するという形にしたい。

クラウドの定義

 まずクラウド対応暗号技術を纏めさせていただくまえに、クラウドという概念の整理が必要となる。なぜなら、他の多くのIT系カタカナワードがそうであるように、「クラウド」という言葉も一般化する中で変質化し複数の意味を内在するようになったため、「基幹システムのクラウド利用」という課題に対して抱くイメージが異なるためだ。

 “クラウド”という言葉は当初は、SalesForce.comに代表されるようなSaaSと言われている、サービス型でソフトウェアを提供するモデルを指していた。SalesForce.comはその拡張性やスケールアウトの容易さで注目を浴び、独断的な意見だが、インターフェースが英語にも関わらず利用されているアプリケーションという意味においては、日本でトップクラスなのではないか、と勝手に思っている。

 その後SaaSがもたらす経済的効果に注目が集まり、各企業がその技術の自社利用に注目をし、いわゆる仮想化技術を実現させる商品が一般的になってきた。その時点でクラウドという言葉はSaaS型を意味するものから、IaaS、PaaS等を内在するように変質してきた。その結果としてパブッククラウド、プライベートクラウドという言葉が生まれた流れがある。

 高セキュリティを求められる基幹システムは、クラウド対応への検討、と言われた時に求められることはSaaSの利用よりもむしろ、仮想化技術をいかに基幹システムに取り込み、経済的メリット及びスケーラビリティを得るか?という点にあると一旦本章では整理させていただく。

仮想化技術のメリット

 となると、クラウド対応=基幹システムの仮想技術対応となる。基幹システムが仮想化技術を取り入れプライベートクラウドとなる際に、具体的にどういうメリットが得られるのかが大事であり、それこそが企業の基幹システムを管理されている皆さまのインセンティブへとつながる。

 なぜ、この話がクラウド対応暗号技術の説明の前に必要かというと、メリットの裏には必ずデメリットが存在しており、そのデメリットを極小化することができれば、ユーザはクラウド化を行う際に、仮想化技術のメリットだけを享受することができると言える。そしてクラウド対応暗号化技術は、まさにそのデメリットを極小化する方向に進化しているためである。

 さて、仮想化技術のメリットは複数あるが、セキュリティという観点で一番大きいポイントは以下であろう。

 サーバハードウェアとOS、アプリケーション、データ領域を分離し、それぞれの管理を分離
                                  ↓

 システム(OS、アプリケーション、データ)が複数のサーバ、複数のネットワーク、複数のデータセンタに自由に移動可能で、同時に複数存在可能
                                  ↓

 DRサイトのコスト低減、システムのスケールアウトの容易性、バックアップコストの低減を実現

仮想化技術導入における、セキュリティのポイントとクラウド暗号化技術

 上記のとおり、仮想化技術により実現できるポイントは“セキュリティ”という観点から言うと危うさをはらんでいる。物理レイヤとアプリケーションレイヤが切りはなされたことにより、OS/データは持ち出しが可能となり、複数拠点での起動が可能となる。

 この仕組みはノートブックPCに似ている。ノートブックPCはOS毎データの持ち運びが可能であり、どこでも起動できところに特徴がある。企業にとってこれほど情報漏洩が懸念されるデバイスはないものの、その利便性やコスト・業務効率性の観点から幅広く採用されている。
当然、情報漏洩の危険性を極小化させるためHDD暗号化ソリューションが多数のベンダからリリースされている。

 であれば、ノートPC用HDD暗号化ソリューションが性質の似ている仮想化サーバへ転用され、クラウド暗号化ソリューションとしてリリースされることはある意味必然の流れとなり、既にそのようなソリューションが存在している。

仮想化サーバ暗号ソリューションの特徴

 仮想化サーバの暗号ソリューションはその仕組みがノートPC用HDD暗号化ソリューションの“土台”の技術を同じとしているが、サーバ用とするためにいくつかの変更点が加えられている。

1:

 サーバ用としてLinux等WindowsOS 以外も対応

2:

 ノートPCより常時オンライン状態であり攻撃にさらされやすいため、より強固な暗号処理及び鍵管理機能を搭載している

 「1」.については特に説明は不要だが、「2」.については非常に特徴的なポイントなので、以下に補足させていただく。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 まず、特徴として鍵は暗号化されたサーバの中ではなく、ハードウェアアプライアンスにて一括管理を行う。暗号化されたインスタンスは起動するたびに鍵をハードウェアアプライアンスから取得する必要がある。このため、仮に暗号化されたインスタンスが盗難されたとしても、起動時にハードウェアアプライアンスとの通信が成立しないため、暗号化が行えない。

 また、ノートPC暗号化ソリューションと異なりサーバ用暗号化は攻撃にさらされやすく、保有するデータの機密性も高いため、頻繁な鍵交換が要求される。通常のHDD暗号化ソリューションは鍵交換のときはIT/情シス部門へPCを返却し、2〜3日かかる作業となるため、破損や故障がない限り鍵交換は行わない。一方サーバは無停止が前提となっているケースが多く、当該ソリューションはセクター単位で無停止鍵交換が可能となっている。

仮想化サーバ暗号ソリューション適応時の懸念点

 仮想化サーバを暗号化する際の懸念点を以下にまとめる。

パフォーマンスディスク全体を暗号化するため、パフォーマンスが全体的に劣化する

標準的なサーバスペックで10%〜15%ぐらいであるが、当然CPUリソース、ディスクI/Oに依存する。ディスクを丸ごと暗号化するため、アプリケーションパフォーマンスチューニング等で改善する余地がほとんどなく、ハードウェアリソースの増強のみがパフォーマンスを向上させる。

適応サーバの得手不得手

HDDを暗号化したノートPCでも、メールでのウイルスに引っかかると情報漏洩はしてしまう。これはメールソフトがOSに割り当てられた正当な権限で動作している最中に、その権限を(ある意味)のっと取られるためにおきる。当該ソリューションも同様でウェブサーバ等が乗っ取られた場合、ウェブサーバが動作している権限がアクセス可能な領域のデータは漏洩する。このため、ウェブやメールサーバ等外部との直接通信を行うサーバへの適応は優先順位を考える必要がある。

具体的には、まずは以下3つを優先させる必要がある。

 ネットワークレイヤでのアクセス制限

 WAF

 定期的なペネトレーションテスト

 一方、ストレージやバッチサーバ等、一般ユーザの外部からのアクセスを想定せず、尚且つ重要なデータを保存するサーバへの適応に適している。さらに暗号化されたインスタンスはその起動において、ハードウェアアプライアンスへの通信が必須となる点が強固なセキュリティとして成立するため、インスタンスの起動の防御という意味において、OSのバックアップイメージへの適応等も効果が高い。

 次回は、前回/今回と触れたハードウェア暗号化モジュールの“複数拠点”での分散運用についてまとめる。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30006452


IT・IT製品TOP > Key Conductors > 亀田 治伸(日本セーフネット株式会社) > 基幹システムのクラウド化と“仮想化サーバ暗号”の特徴と懸念点

このページの先頭へ

キーマンズネットとは
日本セーフネット CDP事業部 サービスプロバイダ営業部 部長 長年セキュリティ系の事業に従事。特に認証と暗号化を専門としている。 最近は楕円曲線暗号とSAML POSTバインディングを個人的テーマとして研究中。JIPDEC 客員研究員として企業の電子商取引の安全化にも努めている。harunobu.kameda@safenet-inc.com

ページトップへ