クラウド上で鍵管理を行うBYOKの導入サービス
HSM 導入支援サービスとの組み合わせで全体最適なソリューションを提供
政府・地方・民間すべての手続きの電子化を実現するべく、2018年1月に「デジタル・ガバメント実行計画」の初版が策定されました。その後、「デジタル手続法」や「政府情報システムの予算要求から執行の各段階における一元的なプロジェクト管理の強化について」の定めを経て、2019年12月に改定、閣議決定されました。
デジタル化3原則 ①デジタルファースト:個々の手続き・サービスが一貫してデジタルで完結する ②ワンスオンリー:一度提出した情報は二度提出することを不要とする ③コネクテッド・ワンストップ:民間サービスを含め複数の手続き・サービスをワンストップで実現する に沿い、行政サービスの100%デジタル化を目指すとしています。
Society5.0の実現おいても、特に行政のDX(デジタルトランスフォーメーション)は喫緊の課題であり、デジタル化3原則の徹底が必要とされています。
その中、新型コロナウィルス禍での行政手続きを通して顕著になったデジタル化の必要性。2021年5月12日にデジタル改革関連6法案が短期間で成立し、同年9月1日にはデジタル庁発足となります。
(参考) デジタル・ガバメント実行計画
デジタル・ガバメントの実現においては、従来のやり方をデジタルに置き換えるデジタイゼーションのみならず、デジタルを前提とした新たな社会基盤を構築するデジタライゼーションが求められます。データの標準化、情報システム間の互換性、スムーズな情報連携、高度な情報セキュリティ対策などがベースとなります。
特に情報セキュリティという点をクローズアップすると、「デジタル・ガバメント実行計画」や「政府機関等の情報セキュリティ対策のための統一基準群」の中では以下のように規定されています。
とりわけ、暗号や認証技術は、クラウド・バイ・デフォルト原則をふまえた情報システムの整備においては必要不可欠です。
さらに、量子コンピュータ時代も見据えて暗号技術を捉えると、準同型暗号のような高機能暗号技術や耐量子計算機暗号技術など次世代暗号方式の研究開発も進められています。
そうした流れの中で、暗号技術のトレンドは、量子コンピュータ時代を見据えたアルゴリズムの変更や鍵長の拡大、鍵使用期間の短期化など、運用を柔軟に変更することができ、処理自体を安全な実行環境で行えることが求められると予想されます。
クラウドサービスにおいても、上記の要件を満たしたうえでデータを暗号化してセキュアに保護することは、今後のセキュリティ対策という観点で非常に有効な手段となります。 仮に暗号化されたデータの漏洩や、量子コンピュータによるアルゴリズムの解読リスクが発生した場合でも、暗号化した鍵が外部に流失することが困難なデバイスに保管されており、柔軟にアルゴリズムや鍵長を変更することができれば、データ流失リスクを最小限に抑えることが可能となります。暗号化を行っている鍵を安全に管理・運用することが最も重要となるのです。
また、最近では単に鍵を守るだけでなく、TEE(Trusted Execution Environment)やCodeSafe、Functionality Moduleと呼ばれるOSから物理的に隔離したHSM内部の環境などで独自に開発した認証処理や機密情報処理のクリティカルなロジックを実行する、セキュア実行環境の利用も注目を集めています。
サイバーウェアではプロフェッショナルサービスとして、お客様のニーズに合わせたソリューションを提供しております。 デジタル・ガバメント向けBYOKサービス HSM導入支援サービス セキュア実行環境の導入支援・モジュール開発サービス 鍵管理・暗号処理モジュール「IDEA HSM Access」
クラウドサービス利用者が管理した独自の暗号鍵をクラウド環境へ持ち込み、クラウド上のデータを暗号化するソリューションとしてBYOK(Bring Your Own Key)を利用するニーズが高まっています。BYOKは、クラウドサービス利用者が、安全なデバイスで管理・運用されたユーザー独自の暗号鍵をクラウド環境へ持ち込み、クラウド上のデータを暗号化することができます。
セールスフォース・ドットコム(SFCD)から、オンプレサーバにHTTPSで鍵要求を行う。 オンプレの耐タンパ装置(HSM)から鍵を取出し、暗号化しJSON形式(JWE)でSFCDに送信する。 SFCDは受信した鍵を利用してデータベースの暗号化用の鍵として利用する。
オンプレの耐タンパ装置(HSM)から鍵を取出し、AWSの公開鍵で暗号化しEC2等に転送する。 転送した鍵はAWS Key Managementを利用してデータベースの暗号化用の鍵として利用する。
サービス利用者の文書へのデジタル署名要求をクラウドサービスに配置したコンテナが受信し、オンプレの耐タンパ装置(HSM)にデジタル署名要求を行う。(クラウドとHSM間はVPNによる通信) HSMでデジタル署名値を生成し、クラウドサービスを介してサービス利用者にデジタル署名が付与された文書を返却する。
デジタル先進国エストニアで生まれ、現在フィンランドほか10数か国で導入されている、ファンダメンタルな暗号技術を高度統合したデジタル・ガバメントのデータ連携基盤「X-Road」があります。
エストニアでは2001年にX-Roadの運用が開始されました。全国民のデジタルIDの所有義務に始まり、電子投票、電子納税、e-ヘルス、e-レジデンシー、データ大使館、スマートシティなど、政府によるイニシアチブのもと、官民パートナーシップでシームレスな行政サービスを提供しています。
これらデジタル・ガバメントの信頼性を支えているのが、以下の3要素です。
サイバーウェアでは、これまで数多くの実績を持つ暗号、電子署名、デジタルIDへの知見から、ブロックチェーンシステムに関するソリューションの提供や、X-Roadの導入・応用にも取り組んでいます。