5月13日からの3日間、東京ビッグサイトにて開催された「Japan IT Week 春 2015」。この大イベントを構成する専門展のひとつ、情報セキュリティEXPO【春】で、今回最大のキーワードとなっていたのが「マイナンバー」だ。制度の開始を10月に控え、企業でも現在、対応準備の真っただ中ではなかろうか。ひとつの番号に多くの個人情報が紐づくマイナンバーの導入となると、今、漏洩対策が特段の関心事となるのは当然だろう。

セキュリティ専門企業として、ソリューション開発やサービス提供をグローバル展開しているペンタセキュリティシステムズ株式会社(以下、ペンタセキュリティ)では、既存システムを改修不用で、かつ大幅なパフォーマンス低下もなしに暗号化できるソリューションや、専門のエンジニアがいなくても使いこなせるWAF(Web Application Firewall)などを展示し、注目を集めていた。

Japan IT Week 春 2015 情報セキュリティ EXPO【春】
イベント当日ブースの様子

マイナンバーにおけるコスト、パフォーマンスなどの課題をクリアした暗号化ソリューション

ペンタセキュリティシステムズ グローバルビジネス本部 日本セキュリティビジネス戦略部門 ゼネラルマネージャー 陳 貞喜 氏

ペンタセキュリティ・ブースに設けられたステージでは、同社・グローバルビジネス本部 陳 貞喜氏から、今、企業に必要とされるセキュリティ対策が語られた。「マイナンバーはDBの中で、個人のインデックスとして利用され、必然的に呼び出される頻度は高くなるでしょう。もし社内ネットワークにマルウェアが入り込んでいたら、流出や漏洩の危険性は大きなものとなります。それを防ぐには暗号化が重要です」(陳氏)

暗号化ソリューションで一般的なのは、アプリケーション側で暗号化・復号を行うもの。暗号化対象関連のクエリを修正する手間とコストがかかる上、既存システムにあとから追加構築が難しく、暗号化ソリューションを導入することを拒んでしまう原因でもあった。

こうした問題を解消するのが、ペンタセキュリティの暗号化モジュール「D’Amo(ディアモ)」だ。パッケージとして提供されている「D’Amo」を既存のDBに追加(アドオン)し、管理コンソールからポリシーを設定するだけで、暗号化や復号が可能となる。しかも指定したカラム単位での暗号化ができるため、パフォーマンスの低下も最小限ですむ。また設定や復号権限の管理のためには、分かりやすいGUIが用意されている。ブースでは暗号化・ 復号、権限設定などのデモンストレーションが行われ、セキュリティの専門知識がなくとも簡単に扱えることがアピールされていた。

なおDBにOSSのMySQLやMariaDBを利用している環境向けには、「D’Amo」と同等の機能を持った「MyDiamo(マイディアモ)」も用意されている。 これまでコストやパフォーマンス、専任スタッフの不足などの理由から、暗号化に二の足を踏んでいた企業にとって、「D’Amo」「MyDiamo」は頼りになる存在となるはずだ。

マイナンバーとセキュリティの関係性 - 多様化するアプリケーションにWAFは必須

マイナンバー制度スタートは、DBの暗号化を検討する機会であるとともに、従来のセキュリティを見直すきっかけにもなるだろう。

デモ画面:専門知識がなくても設定が簡単に行える

「企業のITシステムは、ネットワーク、システム、アプリケーションの3つのレイヤーにまとめられますが、そのすべてに適切な処置が施されていなければ安全と言えません。ネットワークには、ファイアウォールやIPS/IDS、システムには定期的なアップデートやアンチウィルスソフトの導入、という対策は殆どの企業が実行されているでしょう。ただ、アプリケーションのセキュリティまでは手が回っていないケースが多いようです」(陳氏)

Webサイトの閲覧だけでなく、スマートフォンをはじめとするデバイスへの対応など、日に日に多様化していくアプリケーションのセキュリティ対策は困難を極める。そこで必須となるのがWAFだ。ペンタセキュリティでは、攻撃ロジックを解析して不正を検知する第三世代のWAF機能に加え、情報漏洩防止、不正ログイン防止、Web改ざん防止などの機能がオールインワンになったソリューション「WAPPLES(ワップル)」を提供している。ペンタセキュリティの本社がある韓国では、すでに今年10周年もの歴史と多くの実績を持つソリューションだ。

ハードウェア、バーチャル、クラウド … ニーズにあわせて

「WAPPLES」は現在、利用環境に合わせ、ハードウェアアプライアンス型、バーチャルアプライアンス型の他、サイト閲覧ユーザからのアクセスを一旦クラウド上のWAFで受け、不正の検知やアクセス制御を行ってから、サイトへリダイレクトするサービスも用意されている。

クラウド型はペンタセキュリティが提供する「cloudbric(クラウドブリック)」以外に、パートナー企業が「WAPPLES」ベースで開発・提供しているサービスもあり、ニーズにあわせて選ぶことが可能だ。例えば株式会社大和ソフトウェアリサーチが提供しているクラウド型WAFサービス「SCSS-WAF」では、サイトのトラフィック量にあわせて、5つの価格帯からサービスタイプを選ぶことができる。ポリシー変更やレポート提出、コンサルティングなどはオプションとなっており、必要に応じて追加することも可能だ。すでに複数の国内大手流通・販売会社での導入実績があるという。

「ペンタセュリティでは、当社ソリューションの導入を検討していただけるお客様はもちろんですが、当社の技術を利用して、新ビジネス、新サービスを企画してくださる企業様からのお声がけもお待ちしています」(陳氏)

韓国で、日本のマイナンバーに類する「住民登録番号」が導入されてから50年余り。“国民総背番号制度”の課題を知りつくした韓国発のソリューションは、注目に値する。

ペンタセキュリティシステムズ
企業サイトはこちら