セキュリティ
技術解説
連載 :
  社外持ち出し前提の情報漏えい対策

新暗号化技術を用いたセキュリティ製品開発の背景

2010年11月29日(月)
Kevin Lee
このエントリーをはてなブックマークに追加

一般的なDRMメーカーの悩み

ところで、企業で利用されているオフィスソフトや設計ソフトなどのアプリケーションと、そのデータのコントロールはさまざまです。透過式暗号化を実現するためには、それぞれのアプリケーションにおけるアクセス方法に合わせて、おのおの異なったコントロール方法を採用しなければなりません。この問題は以前からずっとDRMメーカーを悩ませています。

ユニークなアプリケーションで作られたデータを暗号化するためには、膨大な費用と人的なコスト投入が避けられません。しかも、そのアプリケーションがバーションアップしたら、新たに開発し直すことが必須となっています。この繰り返しによる開発資源投入は企業の競争力低下につながります。

パラメータ方式の採用

製造業向け自動化システム関連の雑誌で、コンピュータ数値制御(CNC)についての記事を目にした時、その答えを見つける事ができました。各々のアプリケーションごとに設定を行うのではなく、CNC同様に「パラメータ」方式を採用すれば、様々なアプリケーションで汎用的に利用する事ができ、ひとつの暗号化製品で対応可能となるため、その維持コストを大幅に削減できるのではないか?と考えたのです。

各種アプリケーションにはその動きをコントロールするためのポイントがいくつか(当初は16個でしたが、現在は36個)存在します。そのポイントをまず洗い出しました。このポイントの組み合わせをパラメータとして構成する事で、暗号・復号化の有無を決定し、実行します。実装時には環境に応じた微調整を繰り返した結果、最適な設定をパラメータの変更のみで行う事が可能になります。また、実装後にはその結果をログに残す事ができるので、後日その設定をコピーして他のアプリケーションに適用したり、微調整をすることが可能です。これらは技術者のみならずユーザも設定できる設計であり、その環境に応じパラメータを自ら調整できます。

ウイルスのパターンシグネチャーにも似ているパラメータを、弊社製品TotalFileGuardではIGR(Information Guarding Rule)と呼んでいます。
図2:IGR(Information Guarding Rule)による暗号化の流れ(クリックで拡大)

ファイル運用権限の管理

製品化した後、いくつかの導入現場から、「権限管理がほしい」という要望がありました。従来のDRMコントロールについては不満も多く聞いており、その欠点を繰り返さずかつ管理の利便性を追求するために、「自動化」「ファイルの流れ」「コントロール」の三角関係でどうバランスを取るかについて、1年を費やしました。各現場を訪問し、ファイルの運用管理についての実態を把握し、さまざまなアイデアを試すため技術的な問題を克服しながら最適な解決方法をあきらめずに探しました。

2004年当時のアジア圏のとある国では、官公庁の公文書管理機関にまで訪問し、その経緯を調査しました。それほど遠くない昔ですが、各参謀機関の軍官は、長官がサインした公文書を公文書管理機関に預けて保存していて、後日参照する必要がある場合、各自の業務範囲内で関連したファイルに関して閲覧のみ可能(持ち出し不可)で、長官には全部署のものを借読する権限が与えられていました。そしてその借読権限を管理する部署も存在していて、そのメカニズムはまるでDRMそのものの様でした。

ところが、コンピュータで文書ファイルを管理するようになっても、紙文書の時代と公文書自体の業務フローは変更されずに、ファイルの形式が紙のみからデジタルと紙の併存になっただけという状態でした。しかし、情報漏えいの可能性は、ファイルが1から複数になることで生じます。国家安全機密情報にかかわるファイルはすき間なく管理されているはずでしたが、まれに情報漏えいの事件が報道されていました。複製を容易に生成できるデジタル文書こそ、アクセス権限管理を一層厳格化する必要があったのです。

シンプルなセキュリティシステムを目指して~TotalFileGuardが実現したこと

政府や民間企業に関係なく組織が巨大であればあるほど、権限管理の複雑化とそれに伴うセキュリティリスクが高まっていきます。この悩みの解消には意外なところにヒントがありました、出張などでホテルにチェックインする際の、速やかなオペレーションフローです。フロントのスタッフが簡単な操作で、ICカードにより部屋の利用をコントロールでき、その設計は簡潔でありながら柔軟性があります。

ホテルのセキュリティ例:

  1. ICカードが複製されるリスクがない
  2. 有効期間が制限され、ICカードの紛失や盗難時には、直ちにフロントに通報されるため、部屋に侵入されるリスクは低い
  3. 部屋のクリーニング・スタッフはひとつのICカードで、業務範囲内の部屋に自由に出入り可能
  4. ICカードを部屋に忘れてしまった場合、すぐ新しいICカードを再発行可能
  5. 専門的なICカード管理センターは不要

「このシンプルなシステムこそTotalFileGuardの設計思想にぴったりだ!」と、その時の感動は未だに鮮明に覚えています。

そのヒントから「キーコントロール」と「権限管理」をキーに組み込み、TotalFileGuardで「暗号化を意識させない操作」や「自由なファイル交換」、「高度なセキュリティ」等の、既成概念では実現が難しかった課題をクリアすることができました。柔軟なアプリケーション対応と操作の利便性によりその開発と管理コストの削減、高い費用対効果を生みだしました。この技術をベースに世界初となるクラウドでのDLP/DRM技術の応用も実現しました。

以下に紹介するのは、Secward社の開発した新しいDLP/DRM技術がもたらすメリットです。

  • アプリケーションのファイル形式に依存しない
  • ファイルを生成するアプリケーションにも依存しない
  • 部署および利用者ごとに管理権限の付与が可能
  • 暗号化されていることを意識することのない操作感
  • 従来のDRMでは対応できなかった、オフライン時の使用を実現
  • ファイルの新規作成から削除(後)までの全過程においてその保護を行うことが可能

つまり、その名の通りトータルでファイルをガードするのが「TotalFileGuard」の最大の特徴です。

このエントリーをはてなブックマークに追加
セキュリティ / 情報漏えい対策 / 暗号化 / 透過式暗号化 / TotalFileGuard / DRM
著者
Kevin Lee
米国Secward Technologies, Inc. 共同創設者&CEO(最高経営責任者)

半導体企業や通信企業、郵便局、通信企業といった多くのSOCデザイン・導入経験から、セキュリティ製品やセキュリティアプリケーション、企業ごとの異なるセキュリティ要件などに関する豊富な知識をもとに、同社を設立。現在は、透過型暗号化製品「TotalFileGuard」を日本をはじめ2バイト言語圏を中心に台湾、中国にて事業を展開。
Secwardジャパン株式会社のURL: http://www.secward.com/Jp/
Secwardジャパン株式会社の問い合わせ先: mailto:sjp_mktg@secward.com

連載バックナンバー

セキュリティ技術解説

継続可能な情報漏えい対策

2010/12/10
続きを読む
セキュリティ技術解説

新暗号化技術を用いたセキュリティ製品開発の背景

2010/11/29
続きを読む
セキュリティ技術解説

暗号化技術の変遷と最新のトレンドを知る

2010/11/22
続きを読む

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています

全文検索エンジンによるおすすめ記事

Topへ戻る
Copyright © 2004-2024 Impress Corporation. An Impress Group Company. All rights reserved.