セキュリティの最終段階、DB暗号化で内部情報の流出を防止

DB暗号化は、今やDBセキュリティの中心軸となり、製品の選定基準も明確になった。運営しているDBが小型 ·小容量なら、国産にしろ外国産にしろさほど無理なく運営できるが、少なくとも24時間運営していて数千万件のデータがあり同時処理量も多ければ、必ず索引検索・無中断モードが要求される。最も重要なのは、DBサーバーまたはアプリケーションサーバーで使われる暗号化されない暗復号鍵がディスクに永久保存されていて、機密性を保障することができない製品で暗号化しても、全く意味がないということである。

 

DB暗号化は最終セキュリティである。すなわち内部者による流出、DB管理者権限でデータをエクスポートして流出したり、Root権限でファイルシステムを丸ごとバックアップして流出したりすることを防ぐ。当然、外部からの流出も遮断される。外部からの流出リスクは、頻度数は多いものの多くのネットワークレベルのセキュリティ製品とDB接近制御製品によって、ある程度防御できるが、内部者による流出は防ぐのが困難なため、ここでセキュリティ対象(内部者の範囲)は、管理者を必ず含まなければならない。
ただし、前提条件がある。それは、いかなる場合にもデータと暗復号鍵が一緒に流出することを防ぐために、暗復号鍵をディスク上に永久保存してはいけないということである。この要求条件は、国際的にFIPS-140-2 Level1の規定と国家情報院の暗号モジュール検証基準のVSL1規定に定められている。

 

この規定どおり作られた安全な製品かどうかは、DBサーバーを再起動した後に、鍵配布手続きなしに暗復号サービスが正常に行われるかを確かめてみるという簡単なテストによって確認することができる。鍵がディスクに永久保存されていることが確認されたら、暗号化した効果はほとんどないと考えるべきである。信頼できる製品であれば、暗復号権限を持った認可者の照会が要求された時にエラーが発生し、マネージャコンソールで鍵配布を行ってから正常なサービスが行われるはずである。

 

DB暗号化の原理

 

暗号アルゴリズムは標準化されているため、暗復号性能自体はほとんど同じようなものだろう。

 

もし将来、非常に速いCPUを数百個ずつ装着したDBサーバーがあれば、DB全体を暗号化することも可能だが、現実的にまだ不可能だ。そのため、制限的に選択して重要度の高いデータのみを対象にしなければならないのだが、「情報通信網法施行令」では、これを「住民番号、口座番号、パスワード」に決めておき、特にパスワードは復号化されないように一方向性アルゴリズムで暗号化することになっている。したがって、DB暗号化ソリューションはカラム単位で選択して暗号化できるようになっており、この時に選択できるアルゴリズムは、秘密鍵方式のAES、ARIA、SEED、TDES、DES等であり、パスワードのための一方向性アルゴリズムはSHA-1を使うという国家情報院の基準に基づく。

 

アルゴリズムが選定されれば、対象テーブルのカラムを指定して暗号化するのだが、この時に運営中のDBなら無中断モードが必要となる。なぜなら、数時間～数十時間が所要される暗号化の過程にも、DBサービスを中断することはできないからだ。CubeOneの場合、構築過程全体が一貫作業により自動的に行われ、無中断モードで作業が進み自動的に終わる。暗号化が完了してサービス要求が入れば、DBによって自動的に暗復号エンジンが作動するようになる。この時、接近制御(権限チェック)から実施して暗復号権限のある場合だけサービスし、権限のない場合は暗復号を拒否する。

 

同時に要求と結果をログで残す。ここで運営の可能性が分かれる要件が、まさにインデックスを暗号化したまま索引検索ができるかどうかである。施行令による法定暗号化対象である住民番号と口座番号は、検索キーとして使われるカラムでありインデックスが生成される。インデックスを通じてダンプにより流出が可能となるため、必ず暗号化すべできある。そして暗号化してソートされたインデックスをオプティマイザが使えるようにしなければならないが、この技術が容易ではないのだ。

 

CubeOneは無中断モードと暗号化されたインデックスの索引検索が可能なので、今まで多くの大容量DBMSを暗号化し運営させている。今後、DB暗号化にあたって性能問題は考慮すべき要素ではあるが、このために不可能な状況は絶対にないことが証明された。実際にCubeOneでオープンした多くの大容量DBが、ハードウェアの追加増設なしに運営されているからだ。

 

DB暗号化の技術

 

現在のDB暗号化製品の技術は、韓国製品が外国製品よりはるかに進んでおり、特に先に指摘した重要なコア技術は、外国製品にはない優れた機能である。このために、敢えて韓国製品を取り入れる義務がない民間企業のDB暗号化導入プロジェクトでさえ、外国製を抑え韓国製品が優れた性能と機能によって選ばれ、円滑に構築・運営を行っている。

 

つい最近開発された技術の中で、ユーザーに大変役立つ技術をいくつか挙げてみよう。部分暗号化技術、ハイブリッド負荷分散暗号化技術、デュアルシンクモード（Dual Sync Mode）などは、ユーザーから好評を得ている。まず部分暗号化技術は、カラム分離をしなくても、一定桁数以降だけ暗号化して、暗復号権限を持つユーザーに依頼しなくても業務が処理できる。すなわち、住民番号の性別の後ろの桁だけ暗号化することで、復号権限がなくても前方一致で索引検索が可能になる。ハイブリッド負荷分散技術は、多量のデータ入出力が要求されるアプリケーションが、DBと無関係にアプリケーションサーバーですばやく暗復号処理されるように、APIとDB内部に設置されたPlug-Inと連動して、Advanced Indexが利用できるようにする技術で、高速性能と索引検索という一石二鳥の優れた機能だ。また、この場合、区間暗号化まで可能という利点もある。デュアルシンクモードは、暗号化が完了した後の安定化期間中に、万一問題が発生したら、長時間かけて再び復号化しなくても、瞬間的に暗号化以前に戻すことができるようにする技術である。この技術は、運営者にとって保険のような安心をもたらす機能で、既に先の二つの技術と共に顧客会社に適用、運営されている。

 

以上のとおり、暗号化は今やDBセキュリティの中心軸になり、製品選定基準は明確である。運営しているDBが小型・小容量なら韓国製でも外国製でもさほど無理なく運営できるが、少なくとも24時間運営しており数千万件のデータがあって同時処理量も多ければ、必ず索引検索・無中断モードが要求されるだろう。

 

最も重要なことは、性能と機能だけで判断してはならない。DBサーバーまたはアプリケーションサーバーで使われる暗号化されない暗復号鍵がディスクに永久保存されて、機密性を保障することができない製品では、いくら暗号化しても意味がないという事実を念頭に置くべきである。

 

＜文 : チョ・ドンソブ　イーグローバルシステム取締役(alex@eglobalsys.co.kr)＞