クラウドの暗号化を改善するためのベスト・プラクティスとは?

Best Practices for Improving Cloud Encryption

2022/01/14 SecurityBoulevard — エンタープライズにおけるクラウドの採用が増大するにつれて、クラウド・セキュリティが最重要課題となっている。年々、クラウド・セキュリティへの脅威は増加しており、企業はオンプレミスからクラウドへの移行を再考し、クラウド・セキュリティを向上させる方法を検討している。クラウド・セキュリティを強化する1つの方法は、クラウドの暗号化を改善することだ。

大半のクラウド・サービス・プロバイダーは、一次暗号化機能を搭載し、暗号化キーをユーザーに渡している。データを復号化するには、渡された鍵を使用する必要があるが、この鍵を紛失してしまうと、大切なデータも失ってしまう可能性がある。

データの暗号化は3つの段階で行われる。具体的に言うと、転送中/静止中/使用中という段階になる。

  • 移動中のデータ:ある場所から別の場所へとデータが移動するときには、転送中または移動中のデータとなる。データの暗号化は、データがクラウドに送信される前に行われる。エンドポイントでは、データが到着するときに、認証/復号化/確認が行われる。移動中のデータは、情報が2つのサービス間を移動する間に、第三者が通信をハイジャックした場合にデータを保護する。
  • 保存中のデータ:この段階での暗号化により、データが保存されている間のデータセキュリティが確保される。多くの場合、ソフトウェアの内部に保存され、サードパーティ/デバイス/ユニットにより処理される。具体的な保存先としては、モバイル・デバイス/ネットワーク接続ストレージ/ハードドライブ/データベースサーバー/物理ストレージシステムなどがある。通常、クラウド・サービス・プロバイダーは、データ暗号化にAESを使用する。
  • 使用中のデータ:このフェーズでは、サーバーがる計算を実行するために使用するデータが、暗号化により保護される。この状態では、データがサイバー攻撃や脅威にさらされ易くなっている。使用中のデータは、他の2つの段階と比較して、暗号化が難しくなる。

    一言で言えば、保存中のデータは、あらゆる種類のリスクや脆弱性から完全に保護されている。複数のアプリケーションを使用している場合、移動中および使用中のデータ
    は深刻なリスクにさらされる。

    クラウド・データを暗号化する際に、組織が直面する問題は数多くありますが、いくつかのベスト・プラクティスを用いてクラウドの暗号化を改善することで、データを安全に保つことができる。

クラウド・データを暗号化する際のセキュリティ問題

最近の Gartner は Is the Cloud Secure? において、クラウド上のデータを暗号化するための、強固なセキュリティ・プランを起草/実施する必要があると企業に警告している。企業がデータの暗号化に失敗した場合、その規模に関わらず、財務上/評価上の損害に直面する。クラウド・データを暗号化する際には、クラウド・ストレージのセキュリティに関する、いくつかの問題が発生する。以下に、それらの問題の一部を紹介する。

  • パスワードと暗号化セキュリティ・キー:パスワードの盗難や侵害が生じると、大切なデータが永久に失われてしまう可能性が生じる。ユーザーが所有するデバイスを用いる場合、解読しやすいパスワードを設定することが起こりやすい。それにより、ハッカーが用いる高度なツールや、クレデンシャル・スタッフィング、ブルートフォースなのど攻撃により、データへの不正アクセスが生じてしまう。信頼性の高いセキュリティ・キーまたはパスワード・マネージャーを使用すると、データ侵害の可能性が低くなる。
  • クラウドのクレデンシャル:クラウド・データを暗号化するには、他のチーム・メンバーとの高度な協力が不可欠となる。しかし、それが難しい場合もある。たとえば、社員が機密情報を含む重要なファイルを共有する場合、そのファイルを暗号化してから送信しなければならない。しかし、IT 部門のスタッフは、暗号化してから復号化することを面倒に思い、これらのステップを省略してファイルを送信する。この抜け道がハッカーを呼び込み、結果的にデータ漏洩につながってしまう。
  • 不正なデバイス:データへのアクセスに使用するデバイスが、脆弱性の原因となる。リモートワークや BYOD ポリシーは、より大きなリスクをもたらす。

クラウド暗号化の改善

クラウド・プロバイダーの標準的な暗号化機能は、データ・セキュリティを保証するほど強固ではない。クラウドの暗号化機能を向上させるための、追加措置を検討する必要がある。

対称型暗号化

クラウドにおけるデータの安全性を確保するために、対称鍵で暗号化します。この方法では、現在の鍵でデータを復号化した後に、新しい鍵で再暗号化する。しかし、データ量が増えると、復号化と再暗号化の両方の処理が難しくなる。また、それは時間のかかる処理であり、シーケンスのスケジュールが長くなることに加えて、計算能力のコストも増加する。

再暗号化

復号化と再暗号化は、暗号化に使用されたキーを変更するための重要なステップとなる。それにより、データの永続的なセキュリティが保証される。PCI-DSS (Payment Card Industry Data Security Standard) などのセキュリティ基準は、この暗号化方式に基づいている。

エンベロープ暗号

前述のとおり、単純な対称暗号化ではコスト増が生じる。鍵を変更する際のコストを削減するために、デジタル・エンベロープ技術に似た、エンベロープ暗号を使用することが可能だ。CMIK でデータを直接に暗号化/復号化するのではなく、データの鍵をエンベロープに封入することで、暗号化されたデータを保存/転送/利用することが可能になる。しかし、エンベロープ暗号には大きな欠点がある。それは、エンベロープ中のデータが変化しないということを、確実に保証できないという点だ。共通鍵を持っている人が、知らないうちにデータを復号化/再暗号化し、本質的な問題を引き起こすことになる。

ハッシュ化によるエンベロープ暗号化

エンベロープ暗号化の安全性を高めるために、暗号化されたデータのハッシュをエンベロープに追加する。ハッシュとは、膨大な量のデータを一定の大きさに調整し、復号後の認証のために、比較する記号を作るものだ。ハッシュを使ったエンベロープ暗号化は、パスワードを破って復号化されたデータへのアクセスを許さないため、データの完全性を高められる。

クラウド暗号化を改善するための他の方法について

上記の手順とは別に、クラウド暗号化を改善するためのヒントを、いくつか紹介していく。

クラウド・データウェアハウスへの投資

クラウド・データウェアハウスへの投資は、クラウド環境におけるセキュリティの脅威を最小限に抑えるための、もう一つの方法となる。クラウド・データウェアハウスは、データのバックアップを定期的に作成し、より優れた災害復旧オプションを提供する。さまざまなクラウド・データウェアハウス・ソリューションには、クラウド・ベースのデータを保護するための多様な内部統制が存在する。高度なセキュリティ・ツールと暗号化により、重要なビジネス・データを外部の脅威から保護する。また、ほとんどのクラウド・データウェアハウスには、MFA や VPN などのプライバシー保護のための特別なツールが含まれており、クラウド・データの漏洩の可能性を制限する。

ローカルデータのバックアップ

クラウド上のデータを保護するためには、データを正しくバックアップしておく必要があります。元のデータが永久に削除されたり盗まれたりした場合でも、データにアクセスできるように、常に複数のデータのコピーを用意しておきましょう。

多要素認証の導入

企業は、クラウド利用者に対して、MFA によるデバイス保護を指示する必要がある。MFA は、ハッカーなどの権限を持たない者が、クラウド・アプリケーションや重要なビジネス・データにアクセスできないようにするための、最も安価で最も効果的なセキュリティ方法の1つである。

社員教育プログラム

ハッカーは、フィッシングなどの様々なソーシャル・エンジニアリング技術を使って従業員を騙し、ログイン情報を盗み出す。サイバー・セキュリティは共有の責任であることを、従業員たちが理解し、組織のセキュリティを危険にさらす悪意のアクティビティを検知できるようにするために、毎週または毎月といった頻度で、トレーニング・プログラムやセミナーを実施する必要がある。

クラウド上のデータを保護する上で、暗号化は重要な役割を果たしており、効果的な暗号化を実践することで、クラウド環境内でのデータの安全性を確保することが可能となる。

クラウドの暗号化というテーマですが、移動中/保存中/使用中のでーたという切り分けを行った上で、クラウド・データを暗号化する際の問題点/改善点などを列挙しています。1月3日に「データ・プロテクション:データの発見/分類/保護とコンテキストを考える」をポストしましたが、そこでは制限付き/プライベート/パブリックにデータを切り分けた上で、適切に管理すべきだと述べられています。ただし、それ以前に、データの発見という難関を乗り越える必要があります。まずは、そこから考えるべきなんでしょうね。なお、トレーニングに関しては、2021年12月の「ETH Zurich フィッシング大規模調査:従業員に対するトレーニングには効果が無い」という記事もありますので、よろしければ ご参照ください。

%d bloggers like this: