デジタル・ガバメント向けBYOKサービス
クラウド上で鍵管理を行うBYOKの導入サービス
HSM 導入支援サービスとの組み合わせで全体最適なソリューションを提供
- デジタル・ガバメント向けBYOKサービス
- HSM導入支援サービス
各省庁のデジタル化推進の動き
政府・地方・民間すべての手続きの電子化を実現するべく、2018年1月に「デジタル・ガバメント実行計画」の初版が策定されました。その後、「デジタル手続法」や「政府情報システムの予算要求から執行の各段階における一元的なプロジェクト管理の強化について」の定めを経て、2019年12月に改定、閣議決定されました。
デジタル化3原則 ①デジタルファースト:個々の手続き・サービスが一貫してデジタルで完結する ②ワンスオンリー:一度提出した情報は二度提出することを不要とする ③コネクテッド・ワンストップ:民間サービスを含め複数の手続き・サービスをワンストップで実現する に沿い、行政サービスの100%デジタル化を目指すとしています。
Society5.0の実現おいても、特に行政のDX(デジタルトランスフォーメーション)は喫緊の課題であり、デジタル化3原則の徹底が必要とされています。
その中、新型コロナウィルス禍での行政手続きを通して顕著になったデジタル化の必要性。2021年5月12日にデジタル改革関連6法案が短期間で成立し、同年9月1日にはデジタル庁発足となります。
(参考) デジタル・ガバメント実行計画
情報セキュリティ対策と技術トレンドへの対応
デジタル・ガバメントの実現においては、従来のやり方をデジタルに置き換えるデジタイゼーションのみならず、デジタルを前提とした新たな社会基盤を構築するデジタライゼーションが求められます。データの標準化、情報システム間の互換性、スムーズな情報連携、高度な情報セキュリティ対策などがベースとなります。
特に情報セキュリティという点をクローズアップすると、「デジタル・ガバメント実行計画」や「政府機関等の情報セキュリティ対策のための統一基準群」の中では以下のように規定されています。
- 情報の改ざん、漏えい、不正使用等が行われないよう、サイバーセキュリティ戦略本部等が定める「政府機関等の情報セキュリティ対策のための統一基準群」に基づき、技術革新等に対応した情報セキュリティ対策を講ずること。
- 情報システムは、日々変化する技術トレンドに対応していくことが重要であり、その技術トレンドに対応した製品・技術の選定や情報セキュリティ対策の最新化、技術の継続的なバージョンアップが必要である。
- 情報システムで取り扱う情報の漏えい、改ざん等を防ぐための手段として、暗号と電子署名が有効であり、適切な実装が求められる。 暗号化機能・電子署名機能においては、暗号技術検討会及び関連委員会(CRYPTREC)により安全性及び実装性能が確認された「電子政府推奨暗号リスト」を参照した暗号アルゴリズムと暗号プロトコルの選定、運用時のアルゴリズムの危殆化とプロトコルの脆弱性への対応、関連する鍵情報の適切な管理を考慮することが必要である。
とりわけ、暗号や認証技術は、クラウド・バイ・デフォルト原則をふまえた情報システムの整備においては必要不可欠です。
さらに、量子コンピュータ時代も見据えて暗号技術を捉えると、準同型暗号のような高機能暗号技術や耐量子計算機暗号技術など次世代暗号方式の研究開発も進められています。
サイバーウェアが提供するサービス
そうした流れの中で、暗号技術のトレンドは、量子コンピュータ時代を見据えたアルゴリズムの変更や鍵長の拡大、鍵使用期間の短期化など、運用を柔軟に変更することができ、処理自体を安全な実行環境で行えることが求められると予想されます。
クラウドサービスにおいても、上記の要件を満たしたうえでデータを暗号化してセキュアに保護することは、今後のセキュリティ対策という観点で非常に有効な手段となります。 仮に暗号化されたデータの漏洩や、量子コンピュータによるアルゴリズムの解読リスクが発生した場合でも、暗号化した鍵が外部に流失することが困難なデバイスに保管されており、柔軟にアルゴリズムや鍵長を変更することができれば、データ流失リスクを最小限に抑えることが可能となります。暗号化を行っている鍵を安全に管理・運用することが最も重要となるのです。
また、最近では単に鍵を守るだけでなく、TEE(Trusted Execution Environment)やCodeSafe、Functionality Moduleと呼ばれるOSから物理的に隔離したHSM内部の環境などで独自に開発した認証処理や機密情報処理のクリティカルなロジックを実行する、セキュア実行環境の利用も注目を集めています。
サイバーウェアではプロフェッショナルサービスとして、お客様のニーズに合わせたソリューションを提供しております。 デジタル・ガバメント向けBYOKサービス HSM導入支援サービス セキュア実行環境の導入支援・モジュール開発サービス 鍵管理・暗号処理モジュール「IDEA HSM Access」
BYOKサービス導入事例
クラウドサービス利用者が管理した独自の暗号鍵をクラウド環境へ持ち込み、クラウド上のデータを暗号化するソリューションとしてBYOK(Bring Your Own Key)を利用するニーズが高まっています。BYOKは、クラウドサービス利用者が、安全なデバイスで管理・運用されたユーザー独自の暗号鍵をクラウド環境へ持ち込み、クラウド上のデータを暗号化することができます。
セールスフォース・ドットコムでのBYOK事例
セールスフォース・ドットコム(SFCD)から、オンプレサーバにHTTPSで鍵要求を行う。 オンプレの耐タンパ装置(HSM)から鍵を取出し、暗号化しJSON形式(JWE)でSFCDに送信する。 SFCDは受信した鍵を利用してデータベースの暗号化用の鍵として利用する。
アマゾンウェブサービスでのBYOK事例
オンプレの耐タンパ装置(HSM)から鍵を取出し、AWSの公開鍵で暗号化しEC2等に転送する。 転送した鍵はAWS Key Managementを利用してデータベースの暗号化用の鍵として利用する。
クラウド上のコンテナサービスとの連携事例
サービス利用者の文書へのデジタル署名要求をクラウドサービスに配置したコンテナが受信し、オンプレの耐タンパ装置(HSM)にデジタル署名要求を行う。(クラウドとHSM間はVPNによる通信) HSMでデジタル署名値を生成し、クラウドサービスを介してサービス利用者にデジタル署名が付与された文書を返却する。
データ連携基盤「X-Road」の活用
デジタル先進国エストニアで生まれ、現在フィンランドほか10数か国で導入されている、ファンダメンタルな暗号技術を高度統合したデジタル・ガバメントのデータ連携基盤「X-Road」があります。
エストニアでは2001年にX-Roadの運用が開始されました。全国民のデジタルIDの所有義務に始まり、電子投票、電子納税、e-ヘルス、e-レジデンシー、データ大使館、スマートシティなど、政府によるイニシアチブのもと、官民パートナーシップでシームレスな行政サービスを提供しています。
これらデジタル・ガバメントの信頼性を支えているのが、以下の3要素です。
- デジタルID
- X-Road
- KSI(Keyless Signature Infrastructure)ブロックチェーン
サイバーウェアでは、これまで数多くの実績を持つ暗号、電子署名、デジタルIDへの知見から、ブロックチェーンシステムに関するソリューションの提供や、X-Roadの導入・応用にも取り組んでいます。