IoTやブロックチェーンといったデジタル技術の浸透に伴い、様々な情報がインターネット上でやり取りされるようになりました。便利になる反面、ネットワーク上に流れる情報の安全性・信頼性を担保することはこれまで以上に重要となります。
本記事では、情報の保護や適切な利用に欠かせない、暗号鍵の管理について事例を紹介しつつ具体的な管理方法について紹介します。
そもそも暗号鍵とは?
暗号鍵とは、情報を暗号化するために使用される情報です。ただ、その使用方法によっては暗号化だけでなく、人/物の認証、情報の改竄検知等が可能になります。
例えば身近にあるIoT機器を想像してみてください。
AIスピーカー/TV/照明/自動車などを思い浮かべる人もいるでしょう。それら製品の多くは、昨今、メーカー側からインターネットを通じてソフトウェアが配信されています。
では、配信されたソフトウェアは本当に信頼できるものでしょうか?
インターネット経由で配信されており、途中でソフトウェアの内容が改竄されていたり、あるいは、メーカー側が提供している正規のソフトウェアではない可能性もあります。その結果、AIスピーカーが般若心経を唱えだしたり、TVに怖い映像が流れたり、照明が消えたり、自動車が意図と異なる動きをするような事態になるかもしれません。
そういった事が起こらないよう、暗号鍵による改竄検知、認証が必要になるのです。
IoTのイメージ図(NRIセキュアが作成)
また、近年では仮想通貨市場の隆盛を皮切りとして、仮想通貨を狙ったサイバー攻撃が増加しています。仮想通貨では、暗号鍵により自身の資金を管理する仕組みとなっており、当該暗号鍵が漏えいすると、勝手に資金を他のアドレスに移動させられてしまいます。
実際に仮想通貨取引所などでは、暗号鍵が漏えいした(悪意のある者に知られてしまった)結果、数十から数百億円規模の仮想通貨が不正取得され、市場に大きな影響を与えています。
本記事では、細かい仕組みについては触れませんが、暗号鍵管理の重要性を少しでも認識してもらえれば幸いです。
暗号鍵を管理する
暗号鍵には、個々に強度(その暗号鍵の推測されにくさ示す指標)があります。
一般的に、生成された単一の暗号鍵は永遠に使ってよいとされるものではなく、強度に応じた利用期間の設定や、危殆化(暗号鍵の漏えい等で解読される危険が生じること)した際の変更プロセスなど、暗号鍵にはライフサイクルを通じて運用を考えることが重要です。
各種基準やガイドラインにより定義が多少異なりますが、ここでは、そのライフサイクルを以下の6つ【生成・輸送・導入・利用・保管・廃棄】に分類します。
暗号鍵管理のライフサイクル(NRIセキュアが作成)
暗号鍵を利用する際には、各ライフステージに応じたセキュリティ対策を情報システムの設計時から意識し、運用を開始することがとても重要になります。中でも、6つのライフサイクルに共通して、特に重要となる概念がデュアルコントロールと知識分割です。
デュアルコントロール
デュアルコントロールとは、情報システムが保持する情報や機能の保護を目的に、単独ではアクセス・利用できないよう、複数の要素(通常は人)を必要とするリスク管理手法です。
例えば、端末にログインする際に複数人のログインパスワードが必要となる場合などが該当します。
※ 単にルールによって複数名での作業が義務づけられているだけではデュアルコントロールではないことに注意が必要です。
知識分割
デュアルコントロールと混同しやすく、かつ同等に重要な概念として知識分割というリスク管理手法があります。
知識分割とは、ある情報を個々には意味を成さないコンポーネント(要素)に分け、複数の担当者がその要素を別々に保持する手法です 。例えば、暗号鍵を複数に分割し、それぞれ別の担当者が保持する場合などが該当します。
暗号鍵管理の知識分割というリスク管理手法イメージ(NRIセキュアが作成)
デュアルコントロールと知識分割は、内部不正やオペレーションミスというリスクを低減する対策として有効であり、適切に実施できていれば、サイバー攻撃への耐性も自ずと高まります。
暗号鍵の管理事例
2つの重要な概念を学んだところで、これを応用した鍵管理の事例について見ていきましょう。
事例①:仮想通貨取引所
仮想通貨取引所では、多額の仮想通貨を保有しており、暗号鍵の管理が極めて重要となります。多くの取引所では、相次ぐ仮想通貨の漏えい事件をきっかけに、情報セキュリティを強化している状況ですが、その中には鍵管理に関する施策もあります。
その一つが、コールドウォレットの利用です。
コールドウォレットとはインターネットから切り離されたオフライン環境で安全に鍵を保管するウォレット形態のことで、ハッキングの脅威に晒されないというメリットがあります。
ただし、コールドウォレットを利用していれば安全というわけではありません。
コールドウォレットから暗号鍵が漏えいする事件も実際に発生しているため、オフライン環境であっても、マルウェアへの感染や内部不正を考慮したセキュアな運用が求められます。
ここで、先ほど説明したデュアルコントロールや知識分割が役立ちます。
コールドウォレットで管理する暗号鍵を、複数のコンポーネントに分け(知識分割し)、それぞれ別の担当者が保持します(※)。こうすることで、各々の担当者は知識分割により暗号鍵の全体像を把握することはできず、また、暗号鍵を利用するためには、コンポーネントを保持する担当者が一箇所に揃わなくてはなりません。暗号鍵を利用する際には自然と複数監視の目が光ることになり、単独での不正は抑止されます。
さらに、コンポーネント自体も二重鍵対応の金庫等に保管する、端末にログインする際には複数名のパスワードを求める等、幾重にもデュアルコントロールが適用される仕組みを構築し、仮想通貨が不正送金されるリスクを極小化している事例もあり、各取引所で工夫している様子が覗えます。
※仮想通貨では、マルチシグという機能をサポートしているものがあります。マルチシグとは複数の暗号鍵(コンポーネントではない)が揃わなくては送金できない仕組みで、デュアルコントロールを適用するのにとても有効な対策です(知識分割には該当しません)。上記では、マルチシグをサポートしていない仮想通貨も視野に入れた説明になります。
事例②:P2PE決済ソリューション
クレジットカード決済を安全に行うためソリューションにP2PEソリューションというものがあります。
P2PEとは、Point-to-Point Encryptionの略で、クレジットカード情報を読み取る端末から決済ネットワークに至るまで、クレジットカード情報を一気通貫で暗号化した状態で処理するソリューションです。
当該ソリューションを提供している企業のことをP2PEソリューションプロバイダー(以下、SP)と言い、SPではPCI P2PEという国際的なクレジットカード保護基準に準拠する必要があります。PCI P2PEでは、暗号鍵のライフサイクルを通じた管理要件を始め、端末への暗号鍵を埋め込む方法や施設の物理的な要件も詳細に定められています。そして、この基準の根幹にある考え方もデュアルコントロールと知識分割です。
例えば上記基準では、暗号鍵のライフサイクルのいかなる時点でも、個人が暗号鍵の内容(一部でも)を特定できるようなポイントが存在してはならず、それを実現するために、鍵自体を専用の機器によって(更に)暗号化することや、暗号鍵をコンポーネントに分割して保持することが求められています。
事例①でも述べたように、暗号鍵を生成する専用機器やコンポーネントへのアクセス、それを保管する部屋や金庫へのアクセス等、PCI P2PEでも鍵管理のあらゆる場面でデュアルコントロールが求められます。
また、PCI P2PEでは物理セキュリティについても具体的な要件を定めています。例えば以下の通りです。
- ・暗号鍵の管理を行う部屋は鍵管理専用の部屋とすること
- ・入退室する際には複数名による認証を必要とすること
- ・1人の人間が30秒以上部屋に滞在した場合には警報が鳴ること
- ・監視カメラはコンポーネントやパスワードの入力が映さないように設置し、24時間監視すること 等々
こういった点からも、私たちのクレジットカード情報を守る砦が、如何に厳重に管理されているか想像でき、私自身、1消費者としてはこのP2PEソリューションを利用している加盟店さんでの買い物は安心できます。
おわりに
暗号鍵管理は、情報システムの機密性・完全性・可用性を維持するために重要な役割を担っており、ライフサイクルを通じた適切な管理が求められます。
顧客の個人情報を適切に保護することは企業の信用に関わりますし、自動車や工場の製造ラインなどでIoTの技術を利用する場合、サイバー攻撃などによって外部からデバイスを不正にコントロールされるようなことがあれば、人命にも影響を及ぼしかねません。こうしたリスクを低減する上で、暗号化技術、延いては暗号鍵の管理は今後ますます重要になっていくことと思います。
NRIセキュアテクノロジーズでは、様々なシステムに関する鍵管理について知見を有しています。鍵の設計や運用にお困りのことがあれば是非ご相談ください。
