クラウド利用における複数拠点の課題と「KMIP」という潮流

IT・IT製品TOP > Key Conductors > 亀田 治伸(日本セーフネット株式会社) > クラウド利用における複数拠点の課題と「KMIP」という潮流
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

クラウド利用における複数拠点の課題と「KMIP」という潮流

エンドポイントセキュリティ 2013/07/16

 第1章では基幹システムに必要なハードウェア暗号モジュールの概要、第2章ではハードウェア暗号モジュールを利用したクラウド利用の一例を説明させていただいた。本章ではハードウェア暗号モジュールの運用・管理における留意点をまとめさせていただく。

ハードウェア暗号モジュールに対する攻撃

 ハードウェア暗号モジュールに対する攻撃は、どのようなケースで成立するかをまず考える。第1章で述べさせていただいたように、外部からのネットワーク経由での攻撃は成立しない。となれば、デバイスを直接操作可能な人間、つまり管理者経由での攻撃がメインターゲットとなる。

 この攻撃は、例えばデバイスそのものをデータセンタから外部へ持ち出す…等が考えられる。このケースは、何がしかの理由でデバイスを起動できる管理者が、悪意の第三者に転じてしまったケースに発生しうるが、このようなことを防ぐため、実はハードウェア暗号モジュールには1人の人間だけでは起動できない仕組みが備わっている。
 本章の本題とは異なるため、詳細は省かさせていただくが、映画などでよくみる、戦略兵器の起動には2人の人間が同時に鍵を差し込む、といったものにイメージは近い。もちろんあそこまで大がかりな設備は全く必要ない。
 となると、管理者の任命と定期的な運用監査が必須となる。結局のところ、暗号デバイスやクラウド利用と言っても、データベースのシステム運用設計の管理者任命と性質は似ている。つまり、可能な限り管理者の人数を限定することが望ましい。

クラウド利用における複数拠点の課題

 第1章で説明させていただいた通り、暗号デバイスは従来“単一システムに一式”、もしくは“単一ネットワークに一式”存在していることが前提となっていた。
 一方、基幹システムをクラウド化させるということは、運用コストの圧縮だけではなく、OS/データに対して通常ハードウェア型サーバ運用よりはるかに高い移動性を与えることにメリットがあるため、暗号デバイスも同様にそれに追従しないとシステムの利点を妨げてしまう。これを解決する手法は大きく2つ存在している。

【1】 

 暗号デバイスをネットワーク越しの管理に最適化させ中央管理を可能とする

【2】 

 暗号デバイス自体を仮想化させる。(複数拠点での管理を避ける)

暗号デバイス自体の仮想化は次章の主題とさせていただく。

いったん、課題を整理させていただくと以下のようになる。

クラウド利用における複数拠点の課題

  暗号デバイスの運用には管理者の任命・管理が最重要課題となる。そして、なるべくその人数を限定したい。

  複数データセンタでシステムを運用する際に、複数データセンタに暗号デバイスを配置したケースにおいて、管理者まで複数拠点に配置を行いたくない。特に目の届きづらい、DRサイト、海外サイトへ、鍵にアクセス可能な人間の配置は避けたい。

  パブリッククラウドを利用する場合でも、パブリッククラウド事業者には暗号デバイスへのアクセス権を渡したくない。

 これを解決するための暗号デバイス相互運用プロトコルが存在する。KMIPというプロトコルである。これらのプロトコルは上記の問題を解決するだけではなく、複数のベンダからリリースされている暗号デバイスの中央一括管理を可能とする。

KMIPプロトコル

 KMIPプロトコルは、「Key Management Interoperability Protocol」の略である。日本語で言うと“鍵管理における相互運用性プロトコル”となる。実はこのプロトコルは暗号システムのクラウド利用に非常に向いているのが、当初の開発のきっかけはクラウドとはあまり関係がなかった背景をもつ。

 暗号デバイスは、鍵を別暗号デバイスへコピーしたり、特殊な方式でバックアップを取得したりすることが可能となっている。ただし鍵を単体で外に出力する機能は存在していないため、各ベンダが知恵を絞り独自暗号通信方式等を編み出しながら、バックアップを取得したり、別暗号デバイスへ鍵のコピーを行い、冗長構成を組めるようにする等の工夫を凝らしている。

 このため、暗号デバイスは同じベンダの製品でないと相互運用ができないことが、基幹システムに暗号デバイスを利用されているお客様にとっての課題となっていた。この課題を解決するため、暗号業界では各社が集まり、暗号システムの相互乗り入れプロトコルを開発した。それがKMIPプロトコルである。プロトコルの規格策定に初期フェーズで参画したベンダは以下の4社である。

● 

 HP

● 

 IBM

● 

 RSA(EMC)

● 

 Thales

更にその後、追加で以下のベンダが参加している。

● 

 Brocade

● 

 LSI

● 

 Seagate

● 

 Safenet

 いずれも暗号システム業界では名のしれた企業ばかりであり、逆の言い方するとこれらのベンダの暗号システムは今後相互運用性が確保されるため、企業にとって暗号システムの管理・運用が非常に楽になり、コスト効率も上がると言うことになる。一度ある会社の暗号デバイスを導入したら、延々と同じ会社のものを購入し続けなければならないということも将来的にはなくなる。
KMIPに対応している製品は、上記ベンダに加えて以下の企業がKMIPへの対応を表明しており、商品もリリースされ始めているため、今後ますます広まると思われる。

● 

 NetApp

● 

 Hitachi Storage

● 

 Intel

● 

 CISCO

● 

 Oracle

● 

 Microsoft

 それでは、ここでKMIPをクラウド対応基幹システムへ適応している、実際の事例を1つ紹介させていただく。
ただし、実際の会社名は記載できないことをご容赦いただきたいが、著名なIT系多国籍企業である。

■とある多国籍系企業の事例

本社/米国某所
事業/企業向けクラウドサービス(SaaS/IaaS)を展開
概要/SaaSシステムの課金部分及びアプリケーションライセンス管理部分に対して暗号処理を行っている。 APAC向けのクラウドサ
     ービス基盤はアジアの某国で展開されている。課金システム及びアプリケーションライセンス管理システムの暗号鍵は米国と
     同じものを使用しており、アジア某国のデータセンタに鍵アクセス権限を与えたくないため、管理者を配置していない。
ソリューション/
    
米国データセンタとアジア向けデータセンタの暗号デバイスをKMIPプロトコルで連携。鍵の管理、配布、定期交換及びアジア
     向けデータセンタの暗号デバイスの起動は全て、米国データセンタの管理者が米国データセンタ内の暗号デバイスの操作の
     みで実現。

 このようにKMIPプロトコルをうまく活用することで、暗号デバイスの管理工数を削減することができ、なおかつ企業としてのセキュリティを高めることができる。

 次章では、暗号デイバスそのものの仮想化についてまとめさせていただく。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30006464


IT・IT製品TOP > Key Conductors > 亀田 治伸(日本セーフネット株式会社) > クラウド利用における複数拠点の課題と「KMIP」という潮流

このページの先頭へ

キーマンズネットとは
日本セーフネット CDP事業部 サービスプロバイダ営業部 部長 長年セキュリティ系の事業に従事。特に認証と暗号化を専門としている。 最近は楕円曲線暗号とSAML POSTバインディングを個人的テーマとして研究中。JIPDEC 客員研究員として企業の電子商取引の安全化にも努めている。harunobu.kameda@safenet-inc.com

ページトップへ