個人情報をはじめとした機密情報の漏洩対策としてデータ暗号化の適用範囲はますます拡がっています。
それにともない管理すべき暗号鍵の数も比例的に拡大してきていますが、データ暗号化による情報漏洩対策で残る最大のリスクは暗号鍵の誤使用と危殆化※1です。
このためPCIDSS※2など各種情報セキュリティガイドラインでは、暗号鍵へのアクセス制限、暗号鍵自体の「暗号化」や「定期更新」などが求められ、厳格に運用するには何らかの仕組みが不可避となってまいりました。
弊社ではこのような課題を解決するためCICLOCKⅡ本体機能に加え鍵管理機能を提供し、お客様のデータ暗号化による情報漏洩対策の残存リスクを確実にかつ効率的に低減していただくことを支援いたします。
- ※1 危殆化・・・紛失や漏洩などによりセキュリティ上の安全が脅かされ得る状態になること
- ※2 PCIDSS・・・クレジットカード会員データを安全に取り扱うことを目的に策定されたクレジットカード業界の情報セキュリティ基準
鍵管理機能のご利用効果
鍵管理機能の主なご利用効果は次のとおりです。
機密性の強化
- 鍵の登録・編集の際に、職務権限毎にユーザー登録することができ、システム的に職務分掌を確立することができます。
- 鍵情報やログ情報は全て暗号化して保存され、機密性を確保します。
- 暗号化/復号の処理の際、運用担当者に鍵値を隠蔽することができます。
鍵管理運用の効率化
- 複数の鍵を鍵管理ファイルとして管理する事で、鍵の更新・共有を簡便に行うことができます。
- 有効期間が異なる鍵を事前に登録できるため、鍵の世代管理が可能になります。
セキュリティガイドラインへの対応
- PCIDSSをはじめ各種情報セキュリティガイドラインへの対応など、情報セキュリティの向上を効果的に実現することができます。
鍵管理機能の概要
鍵管理機能は「鍵管理アシスト」を含め以下の3製品 ※1 により構成されています。
鍵管理アシスト ※2 |
鍵管理担当者のユーザー管理、暗号鍵(DEK ※3, KEK ※4)管理、操作承認申請管理、ログ管理等の暗号鍵統合管理機能 |
鍵管理アシスト/LT |
暗号鍵(DEK ※3, KEK ※4)管理機能を中心とした個別DEKファイル ※5 の企業間受け渡し支援機能 |
鍵管理オプション |
暗号鍵(DEK ※3)を暗号化状態で保存し、必要な暗号鍵は識別子で呼び出しCICLOCKⅡに連携する機能 |
※1
鍵管理機能はCICLOCKⅡ標準機能が導入されていることを前提として提供する機能です。
※2
鍵管理アシストは鍵管理オプションと連携してご利用いただきます。
※3
DEK・・・データを暗号化するための鍵(Data Encryption Key)
※4
KEK・・・DEKを暗号化するための鍵(Key Encryption Key)
※5
個別DEKファイル・・・相手先企業と共有するDEKを格納したファイル(あらかじめ共有しておいたKEKで暗号化)
鍵管理機能は、鍵管理アシスト(または/LT)と、鍵管理オプションの2つの製品を組み合わせて実現します。
鍵管理アシストと、鍵管理オプション、CICLOCKⅡ本体との関連を示すと、下図のようになります。
図をタップすると拡大表示できます。
鍵管理アシストの主な機能・特長は次のとおりです。
機密性の強化
- 5種類の権限で、それぞれに許された機能しか使えないよう制限します。
- 外部および権限を持たないユーザーに鍵情報を秘匿する鍵管理DB、ログファイル等を暗号化します。
- 特定作業に対し、他者の承認がないと作業が完結できないようにすることができます。
鍵管理運用の効率化
- 乱数による鍵の自動生成が可能です。
- 鍵管理アシスト間の鍵の共有においては、鍵を暗号化ファイルとして受け渡しができます。
セキュリティガイドラインへの対応
- 監査対応として、操作履歴や鍵情報の更新履歴、操作承認履歴をログとして記録します。
鍵管理オプションの主な機能・特長は次のとおりです。 ※1
機密性の強化
- 識別子と日付より鍵管理ファイルから有効な鍵を取得し、CICLOCKⅡへ鍵を連携します。
- 鍵リスト(CSVファイル形式)から鍵管理ファイルを生成することで、簡易的な鍵管理機能を提供します。
- 鍵管理ファイル内の鍵は暗号化して保存し、パスワードに紐づくマスターキーで暗号化します。
鍵管理運用の効率化
- 鍵に「識別子」と「有効期間」のタグを付加、鍵管理ファイルに登録することで、鍵の世代管理が可能となります。
※1
鍵管理オプションでは上記機能により鍵管理機能の一定範囲を実現できます。
図をタップすると拡大表示できます。
マイナンバーやクレジットカードのPIN等の機微な情報を取り扱う業務において可能な限り平文データをファイルとして保存しない、また、ファイルではなく伝送データの一部分のみを暗号化したい場合、これらはCICLOCKⅡの本体機能では対応できません。
このような要件に対応するため、ユーザーアプリケーション内にCICLOCKⅡの暗号化/復号機能を組み込み、きめ細かな制御ができるよう、サブルーチン(ライブラリ)として提供しています。
サブルーチン(ライブラリ)機能のご利用効果
サブルーチン(ライブラリ)機能の主なご利用効果は次のとおりです。
機密性の強化
- 中間ファイルを作成することなく、暗号化状態を維持したままファイル編集を行えるため、機密性を大幅に向上させることができます。
きめ細かな暗号制御
- 鍵に「識別子」と「有効期間」のタグを付加、鍵管理ファイルに登録することで、鍵の世代管理が可能となります。
サブルーチン(ライブラリ)機能の概要
サブルーチン(ライブラリ)の主な機能・特長は次のとおりです。
・ CICLOCKⅡの各種ファイルフォーマットに応じた暗号化/復号機能
サブルーチン (ライブラリ) 機能 ※1 |
CICLOCKⅡの暗号化/復号処理の中核部分をサブルーチン(ライブラリ)として提供するプログラム CICLOCKⅡの各種暗号ファイル形式に対応 |
※1
サブルーチン(ライブラリ)機能はCICLOCKⅡ標準機能が導入されていることを前提として提供する製品です。
図をタップすると拡大表示できます。