暗号化対策を行えばデータは安全？

セキュリティにおける暗号技術は広く有効な手段として利用されており、暗号化対策を導入した企業が増えています。

しかし、暗号化の際に必要とされる、“暗号鍵”の管理は見落としがちです。

もし暗号鍵が盗まれた場合、暗号化していた重要なデータを悪用される危険性があります。企業の機密情報の流出やクレジットカード偽造による被害など、企業や団体にとって非常に大きな影響を与えます。そのため、暗号化を行うだけではなく、暗号鍵を安全に管理することがデータ保護において重要なポイントです。

対策はどのように？

データを安全に守るためには、データを暗号化し、その際に利用する暗号鍵に対して強固なアクセス制限（職務分掌）を行うことで、特定の管理者しか暗号鍵へアクセスできない仕組みを作ることが効果的です。ハードウェアセキュリティモジュール（HSM）を用いて暗号化したデータと暗号鍵を分離し、暗号鍵を堅牢なハードウェアで守ることで、暗号鍵が外部に流出することを防ぐことが可能です。

HSMって一体なに？- 暗号鍵の金庫

ハードウェアセキュリティモジュール（Hardware Security Module）の略。鍵のライフサイクル（生成/保管/配布/利用/廃棄）を管理し、暗号処理のすべてを耐タンパ―性^※1のある安全なHSM内で行うことができます。また、各種認定（FIPS140-2 Level2/3、Common Criteria）を取得しています。マクニカでは国内/海外ともにHSMシェアTOP 2社のGemalto（旧SafeNet）、Thales製品を取り扱っており、官公庁、金融、エンタープライズ、決済ネットワークなど多数実績があります。

※1 耐タンパ―性：①物理的あるいは②論理的に内部の情報を読み取られることに対する困難さ。HSMでは筐体を開けるとデータが消える仕組みや、職務分掌機能などでデータを安全に保護しています。

通常の暗号化

通常は、ホストサーバのメモリー内で暗号鍵を展開し、暗号/復号処理を行い、暗号鍵はホストサーバ内で暗号化したデータと一緒に保管しています。すると、不正アクセス者からの攻撃を受けてしまった場合、暗号データと暗号鍵を一緒に盗まれ簡単に解読されてしまい、せっかくの暗号化が無駄になってしまいます。

HSMによる暗号化＆鍵管理

不正アクセス者からの暗号データの解読を防ぐためには、暗号データと暗号鍵を分離し、HSMで鍵管理を行うことが有効です。ハードウェア内部に鍵を保管し、厳重なアクセス制御を行います。HSMは鍵をHSMの外に出す仕組みを持たない^※2ため、暗号鍵が盗まれることはありません。

※2 Thales製品の場合はマスターキーをHSMの外部に出さない。