クレデンシャル管理システムとは何ですか?
組織が機密データに対するアクセスを制御するには、ユーザークレデンシャルが必要となります。すべてのシステムと情報を保護するためには、適切なクレデンシャル管理システムを導入することが不可欠です。顧客や社員に増減があった場合や役割に変更があった場合、あるいはビジネスのプロセスやポリシーが変わった場合などに、管理者はクレデンシャルの作成や取り消しを行う必要があります。また、プライバシーに関する規制や各種セキュリティ要件の厳格化により、各組織は、オンラインユーザーや内部特権ユーザーのIDを検証する能力を実証するように求められています。
クレデンシャル管理に関する課題
- 攻撃者がクレデンシャル管理システムを制御できるようになると、クレデンシャルを発行して内部特権ユーザーになりすます可能性があります。攻撃者がこのような特権を持つと、システムを侵害しても検出されなくなります。
- クレデンシャル管理プロセスが侵害されると、クレデンシャルを再発行する必要性が生じます。これは、コストと時間のかかるプロセスになる可能性があります。
- クレデンシャル検証のペースは大きく変化することがあります。場合によっては、クレデンシャル管理システムの性能特性を容易に上回り、ビジネスが継続できなくなるおそれがあります。
- ビジネスアプリケーションのオーナーは、セキュリティや信頼モデルに対する関心を高めており、クレデンシャル管理がコンプライアンスを阻害する弱点だと判明する可能性があります。
ハードウェアセキュリティモジュール(HSM)
クレデンシャル管理プラットフォームを純粋にソフトウェアベースのシステムに導入することは可能ですが、このアプローチは本質的に安全性が劣ります。認定HSMの暗号化境界の外側で処理されるトークン署名や暗号化鍵は、トークン署名や配布プロセスを悪用する攻撃に対して、きわめて脆弱です。貴重な暗号化データを保護し、FIPS認定のハードウェア保護を実現するうえで、HSMは、優れた実績を誇る監査可能な唯一の方法です。
企業は、HSMを活用することで、以下が可能になります。
- 慎重に設計した暗号化境界内でトークン署名鍵を保護し、職務分離を適用した強固なアクセス制御メカニズムを採用することで、承認されたエンティティだけが鍵を使用できるようにする
- 高度な鍵管理、ストレージ、冗長性機能を活用して可用性を確保する
- 厳格化する企業要件を満たす高度な性能を実現し、さまざまなデバイスや場所からリソースにアクセスできるようにする
タレスのクレデンシャル管理ソリューション
- タレス HSM(ハードウェア セキュリティ モジュール)シリーズ
タレスはHSMの世界トップベンダーとして、汎用、決済用など様々なFIPS140-2準拠HSMシリーズを提供しています。タレスのHSMは世界の金融取引の80%を保護し、政府における個人情報保護の信頼の基点として採用されています。
- 汎用HSM (Luna HSM シリーズ)
タレスのLuna HSMは安全な暗号化処理、鍵の生成と更新・保護を実現する強化された耐タンパ環境を提供します。3種類のFIPS 140-2認定フォームファクタで利用可能なLuna HSMは、以下のようなさまざまな展開シナリオをサポートします。
- ルート鍵と認証局(CA)用の鍵を生成・保護し、さまざまなユースケースでPKIをサポート
- アプリケーションコードに署名することで、ソフトウェアが安全で改ざんされておらず、本物であることを確認
- IoTアプリケーションやその他のネットワーク展開用の独自の電子デバイスを認証するためのデジタル証明書を作成
- CipherTrust Manager (暗号鍵管理)
CipherTrust Manager(CM:暗号鍵管理)は、FIPS 140-2に準拠した仮想アプライアンスと物理アプライアンスの両方で使用でき、最高レベルの信頼の基点を確保して暗号鍵の安全な保管を実現します。これらのアプライアンスは、オンプレミスの物理インフラストラクチャや仮想インフラストラクチャのほか、パブリッククラウド環境に展開することができ、コンプライアンス要件、規制上の義務、データセキュリティに関する業界のベストプラクティスに効率的に対応します。
- 統合暗号・暗号鍵管理プラットフォーム (CipherTrust Data Security Platform)
クラウドやデータベース、ストレージ、サーバーなど様々な場所に散財する機密情報の暗号化を統合管理するプラットフォームです。その核となる暗号鍵管理アプライアンス(CipherTrust Manager)はFIPS140-2に準拠した、仮想アプライアンスと物理アプライアンスで暗号化、トークン化の暗号鍵を保管管理します。
- タレスデータセキュリティポートフォリオ
タレスは、クラウド、オンプレミスを含むあらゆるハイブリッドIT環境における機密データを、検出・保護・制御の一連のサイクルによって保護します。データそのものを暗号化やトークン化によって秘匿化するため、例えデータ流出やハッキングが行われても、情報の価値は保護されます。