個人情報をはじめとした機密情報の漏洩対策としてデータ暗号化の適用範囲はますます広がっています。
それにともない管理すべき暗号鍵の数も比例的に拡大してきていますが、データ暗号化による情報漏洩対策で残る最大のリスクは暗号鍵の誤使用と危殆化※1です。
一方、PCIDSS※2を始めとする各種情報セキュリティガイドラインでは、暗号鍵のリスクを回避するため、従来の「暗号鍵管理の職務分掌」「暗号鍵へのアクセス制御」「ログによる不正イベントの監査」等に加え、「暗号鍵の知識分割」「暗号鍵の安全移送」「暗号鍵の暗号強度強化」等、より厳格な暗号鍵管理が求められています。
弊社ではこのような要求に応えるためCICLOCKⅡ本体機能に加え鍵管理機能を提供し、お客様のデータ暗号化に対する情報漏洩対策において、残存リスクの確実かつ効率的な低減を支援いたします。
- ※1 危殆化・・・紛失や漏洩などによりセキュリティ上の安全が脅かされ得る状態になること
- ※2 PCIDSS・・・クレジットカード会員データを安全に取り扱うことを目的に策定されたクレジットカード業界の情報セキュリティ基準
鍵管理機能の利用効果
鍵管理機能の主な利用効果は次のとおりです。
機密性の強化
- 暗号鍵の登録・編集の際に、職務権限毎にユーザー登録・運用することができるため、暗号鍵管理の属人化・単独犯行を回避できます。
- 鍵情報や取得したログ情報は全て暗号化して保存されるため、機密性を確保します。
- 運用担当者は、暗号鍵値を目にすることなく暗号化/復号処理を実行するため、鍵管理担当者と権限分掌することができます。
- 公開鍵暗号方式で暗号鍵をデータ交換先に渡せるため、悪意の第三者からの脅威から回避し、安全に暗号鍵の交換ができます。
鍵管理運用の効率化
- 暗号鍵の増加により管理が煩雑になった場合でも、多数の暗号鍵を一元管理できるため、管理負担を軽減することができます。
- 有効期間が異なる暗号鍵を事前に登録できるため、最低限の作業負担で暗号鍵の世代管理が可能になります。
セキュリティガイドラインへの対応
- PCIDSSをはじめ各種情報セキュリティガイドラインへの対応など、情報セキュリティの向上を効果的に実現することができます。
鍵管理機能の概要
鍵管理機能は「鍵管理アシスト」を含め以下の3製品 ※1 により構成されています。
| 鍵管理アシスト ※2 |
鍵管理担当者のユーザー管理、暗号鍵(DEK ※3, KEK ※4, P-KEK ※5)管理、操作承認申請管理、ログ管理等の暗号鍵統合管理機能 |
| 鍵管理アシスト/LT |
暗号鍵(DEK ※3, KEK ※4, P-KEK ※5)管理機能を中心とした個別DEK, KEKファイル ※6※7 の企業間受け渡し支援機能 |
| 鍵管理オプション |
暗号鍵(DEK ※3)を暗号化状態で保存し、必要な暗号鍵は識別子で呼び出しCICLOCKⅡに連携する機能 |
※1
鍵管理機能はCICLOCKⅡ標準機能が導入されていることを前提として提供する機能です。
※2
鍵管理アシストは鍵管理オプションと連携してご利用いただきます。
※3
DEK・・・データを暗号化するための鍵(Data Encryption Key)
※4
KEK・・・DEKを暗号化するための鍵(Key Encryption Key)
※5
P-KEK・・・KEKを公開鍵暗号方式で暗号化するための鍵(Public Key for KEK)
※6
個別DEKファイル・・・相手先企業と共有するDEKを格納したファイル(KEKで暗号化)
※7
個別KEKファイル・・・相手先企業と共有するKEKを格納したファイル(P-KEKで暗号化)
鍵管理機能は、鍵管理アシスト(または/LT)と鍵管理オプションの2つの製品を組み合わせて実現します。
鍵管理アシストと鍵管理オプション、CICLOCKⅡ本体との関連を示すと、下図のようになります。
図をタップすると拡大表示できます。
鍵管理アシストの主な機能・特長は次のとおりです。
機密性の強化
- 5種類の権限で、それぞれに許された機能しか使えないよう制限します。
- 外部および権限を持たないユーザーに対し、鍵情報を登録する鍵管理DBやログファイル等を暗号化することにより秘匿します。
- 特定作業に対し、他者の承認がないと作業が完結できないようにすることができます。
鍵管理運用の効率化
- 乱数による暗号鍵の自動生成が可能です。
- 鍵管理アシスト間の暗号鍵の共有においては、任意の暗号鍵を暗号化ファイルとして受け渡しができます。
- 人事異動等による各権限者の交代時は、旧権限者が管理する暗号鍵を任意の権限者に一括して移譲することができます。
セキュリティガイドラインへの対応
- 監査対応として、操作履歴や鍵情報の更新履歴、操作承認履歴をログとして記録します。
鍵管理オプションの主な機能・特長は次のとおりです。 ※1
機密性の強化
- 識別子と日付により鍵管理ファイルから有効な鍵を取得し、CICLOCKⅡへ鍵を連携します。
- 鍵リスト(CSVファイル形式)から鍵管理ファイルを生成することで、簡易的な鍵管理機能を提供します。
- 鍵管理ファイル内の暗号鍵は暗号化して保存し、パスワードに紐づくマスターキーで暗号化します。
鍵管理運用の効率化
- 暗号鍵に「識別子」と「有効期間」のタグを付加、鍵管理ファイルに登録することで、暗号鍵の世代管理が可能となります。
※1
鍵管理オプションでは上記機能により鍵管理機能の一定範囲を実現できます。
図をタップすると拡大表示できます。
マイナンバーやクレジットカードのPIN等の機微な情報を取り扱う業務において可能な限り平文データをファイルとして保存しない、また、ファイルではなく伝送データの一部分のみを暗号化したい場合、これらはCICLOCKⅡの本体機能では対応できません。
このような要件に対応するため、ユーザーアプリケーション内にCICLOCKⅡの暗号化/復号機能を組み込み、きめ細かな制御ができるよう、サブルーチン(ライブラリ)として提供しています。
サブルーチン(ライブラリ)機能の利用効果
サブルーチン(ライブラリ)機能の主な利用効果は次のとおりです。
機密性の強化
- 中間ファイルを作成することなく、暗号化状態を維持したままファイル編集を行えるため、機密性を大幅に向上させることができます。
きめ細かな暗号制御
- 暗号鍵に「識別子」と「有効期間」のタグを付加、鍵管理ファイルに登録することで、暗号鍵の世代管理が可能となります。
サブルーチン(ライブラリ)機能の概要
サブルーチン(ライブラリ)の主な機能・特長は次のとおりです。
・ CICLOCKⅡの各種ファイルフォーマットに応じた暗号化/復号機能
サブルーチン
(ライブラリ)
機能 ※1 |
CICLOCKⅡの暗号化/復号処理の中核部分をサブルーチン(ライブラリ)として提供するプログラム
CICLOCKⅡの各種暗号ファイル形式に対応 |
※1
サブルーチン(ライブラリ)機能はCICLOCKⅡ標準機能が導入されていることを前提として提供する製品です。
図をタップすると拡大表示できます。
