pr

データセキュリティ製品「SecureZIP」 ZIPでできるセキュリティ対策が システム開発を変える！

　データセキュリティに対するニーズは高まっているが、それがSIer（システムインテグレーター）のビジネスに直結しているかというと、そうでもない。「ユーザーのセキュリティに対する要求は高いが、見合った予算が出てこない」という話をよく聞く。ネットワーク、サーバ、クライアントといったインフラごとにセキュリティ強化を提案していくのも大事だが、もっと包括的で手軽なデータセキュリティソリューションがあれば、ユーザーも納得しやすいはず。

　その条件に合うのが「SecureZIP」だ。誰もが知るファイル圧縮規格「ZIP」に高度な暗号化・認証機能を加えた製品で、WindowsからUNIX、メインフレームまでの各種サーバプラットフォームで活用できる。コマンドラインインターフェイスなのでサーバアプリケーションとの連携も容易である。

　データ自体を暗号化してしまえば、インフラに依存せず、データがどこにあっても、たとえファイルが流出したとしても、一定のセキュリティレベルを保てる。これこそ、究極のデータセキュリティソリューションといえるかもしれない。

		汎用的に使えるデータセキュリティが必要

　データの不正利用や漏えいを防ぐ「データセキュリティ」は、企業の情報管理において不可欠な要素となっている。これは、企業へITサービスを提供するSIerにとってはビジネス機会だが、一方で悩ましい面もある。

　情報インフラや利用シーンへ包括的にセキュリティを適用しようとすると際限がない。ファイアウォールなどによるネットワーク保護、アクセス管理は当然として、データを格納するファイルサーバ、データベースサーバへの対策、データの移動・出力監視、ICカードなどによる入退室管理。全体のセキュリティポリシーを決め、そのチェック体制も整えなければならない。これらをすべてビジネスとして提供できるならSIerにとっても喜ばしいだろうが、往々にして十分な予算と時間が与えられず、「シンプルな運用」という制約もユーザーから課される。その上で確実なセキュリティを求められる……。

　SIerとすれば、どのような環境・制約のユーザーへも適用でき、汎用的かつ低コストで導入が手軽、ほかの方法と組み合わせるのも容易なデータセキュリティソリューションを用意しておきたいだろう。そんな都合のよい仕組みがあるのかといぶかしむかもしれないが、灯台もと暗し、それは身近にある。ファイル圧縮形式の業界標準ZIPの活用である。

		最新暗号技術対応で「2010年問題」にも対応

　ZIPについては、あらためて説明する必要はないだろう。Windows、Mac OS Xが標準の圧縮形式として採用しており、誰もがファイルの受け渡しで使ったことがあるはず。また、インストーラやアーカイブのファイル形式としてZIPを使うソフトウェア製品も多い。そして、ZIP規格の開発元であり、商用ZIPソフト「PKZIP」で知られる米PKWARE社が、“次世代ZIP”としてデータセキュリティ向けに提供するのがSecureZIPである。

　SecureZIPは圧縮・展開、アーカイブのみならず、高度な暗号化、認証に対応する次世代の最新ZIP規格を採用した製品だ。圧縮した後に暗号化を行い（そのため暗号化効率が高い）、セキュアなデータコンテナを作成する。暗号化・認証にはパスフレーズとデータ真正性も保証されるデジタル証明書を使用。「AES」や「3DES」などの暗号アルゴリズムに対応するほか、署名アルゴリズム「SHA-2」をサポート。これにより、いわゆる2010年問題（※）にもSecureZIPで対応できるのだ。米国の情報規格「FIPS140」に準拠する動作モードも搭載しており、高度なセキュリティが要求される環境にも十分に対応可能だ。

※　米国政府が、これまでの暗号技術（SHA-1や3DESなど）を2010年までに除外し、より安全性の高い技術（AESやSHA-2など）のみにすると発表したことを指す。

　ZIPというとデスクトップツールの印象が強いが、デスクトップ向けの「SecureZIP for Windows」だけでなく、WindowsおよびLinux、Solaris、AIX、HP-UXの各種UNIXサーバで使える「SecureZIP for Server」が用意されている。さらに、IBMのメインフレーム「System z」、ミッドレンジサーバ「System i」に向けた製品もある。Windows専用の暗号化ツールは数多く出回っているが、SecureZIPのようにクロスプラットフォームで活用できるものは珍しい。これはSIerから見て大きな魅力だろう。

		サーバ環境で使える暗号化機能付きZIP

　SecureZIP for Serverは、既存システムへも容易に組み込める。コマンドラインインターフェイスで提供されるため、スクリプトなどで圧縮・暗号化（展開・復号）といった操作が簡単にできるのだ。

コマンド実行例

　SecureZIPのコマンドラインプログラムは、パイプ処理にも対応している。暗号化システムにおいては、処理の都合上、データを復号してディスクへ書き込んだ一時ファイル（tmpファイル）が弱点になる場合がある。だがSecureZIPを使えば、展開・復号したデータを連携アプリケーションへ直接流し込み、処理結果を再び圧縮・暗号化してディスクへ書き込むことができる。つまり、暗号化されていないデータをディスク上に書き込まない（残さない）セキュアなプロセスも実装できるのだ。

データ処理時にパイプ（｜）を使ってSecureZIPを経由させれば、ディスク上に非暗号化データを書き込む必要がなくなる

　何よりSecureZIPが便利なのは、肝心のデータを直接保護しているので、インフラに依存しないデータセキュリティが実現する点だろう。データをいったん暗号化してしまえば、その所在が公衆WAN上だろうが、普通のディスクやテープの上だろうが、中央制御されていないクライアントやリムーバブルメディアの上だろうが（極論すれば外部に流出しても）、常に一定のセキュリティが保たれる。セキュアな環境にデータを閉じ込めておく必要がなく、インフラ自体へのセキュリティ投資も抑えられるのである。情報漏えい対策上、いまやどこも「データ持ち出し禁止」が合言葉になっているが、SecureZIPを使えば「データを社外に持ち出せる」ソリューションをユーザーに提案することもできるだろう。

　また、データセキュリティというと暗号化による“秘匿性の確保”が注目されがちだが、考慮すべき点はほかにもある。データが改ざんされていないという“完全性の確認”や、確実に復号して再利用できるという“可用性の確保”についても忘れてはならない。可用性の確保については、Enterprise版の「マスターキー」機能が有効だ。「パスワードを忘れてしまいデータを復号できない」といったトラブルをよく耳にするが、マスターキー機能を使えばこうした場合にも対処できる。ヒューマンエラーは避け難い問題だが、SecureZIPを利用することにより、データセキュリティ環境にさらなる確実性を付加することができるのだ。

		多拠点通信や機密データ完全秘匿に適用

　実際、SecureZIPは企業システムの中でいかようにでも使える。ある企業では、メインフレーム上のマスターデータベースからデータをバッチ処理で引き出す際、SecureZIPでいったんデータを圧縮・暗号化する。これを業務サーバへ転送してから展開・復号し、処理を行っている。

SecureZIP活用イメージ。メインフレームで管理しているマスターデータをSecureZIPで圧縮・暗号化してから業務サーバやデスクトップへ転送する《クリックで拡大》

　SecureZIPを利用するとデータ圧縮で通信効率が高まり、データ暗号化でネットワークのセキュリティ状態に関係なく安全に転送できるという。それほどのリアルタイム性は求められないが、機密性の高いデータの大量転送がクロスプラットフォームで発生するシーンで効果を発揮しそうだ。

　何も大規模な利用でなくとも、機密性の高い製品設計データや財務データ、顧客の個人情報を拠点間でやりとりする際、SecureZIPを標準形式とするという手もあるだろう。それにより、やりとりする通信手段が何であっても、一定のセキュリティを確保できる。社内外を問わず、セキュリティ水準を統一するのが難しい多数の相手と機密データをやりとりする場合に使える。

　また、いかなる場合でも暗号化した状態で記録しておくべきデータというものもある。顧客の個人情報などもその1つである。そうしたデータの場合、前述したアプリケーション連携を利用すると、生のデータがディスク上にさらされることがなくなる。海外では実際、クレジット業界のセキュリティ国際標準「PCI DSS（Payment Card Industry Data Security Standard）」に応じ、SecureZIPで保護している金融機関があるという。

　もちろん、SOX法対応などのコンプライアンスの面からもオフィス文書やログファイルに適用する価値は十分にあるだろう。文書管理システムやログ管理システムへSecureZIPを組み込めば、自動的に暗号化した状態で文書やログを保存できる上、デジタル証明書を活用すれば、文書やログの真正性も保証される。データ圧縮でディスク容量が節約できるというメリットもある。

		互換性優先の暗号化モードでB2Cにも適用可能

　SecureZIPは、多くの個人会員を抱えるB2Cシステムでも使える。あるサービス会社では、会員向けに毎月郵送していた使用履歴情報をWebダウンロードに切り替える際にSecureZIPを採用。使用履歴を集計するアプリケーションと連携させ、個別に圧縮・暗号化したデータファイルを会員サイトへアップロードするようにした。既存システムをほとんど改修することなく、郵送に要していた多額のコストをバッサリ削減できたという。

　ここで疑問がわくだろう。ZIPのメリットは高いレベルの標準性にあるが、SecureZIPで圧縮・暗号化したファイルは、一般のZIPソフトでは開けない。これについては、案件の要件に応じてセキュリティ強度と互換性のバランスを変えることで対応できる。セキュリティを重視する場合は、SecureZIPのデスクトップ向け製品を配布するという方法がある。ただし、VIP向けサービスならばともかく、多数の会員に対しては難しい。互換性を重視する場合は自己展開ファイルを利用したり、暗号化レベルを96ビットへ落とすことで一般のZIPソフトとの互換性を優先したりすることも可能だ。このように、必要に応じてセキュリティレベルを選択できる柔軟性があることもSecureZIPの魅力の1つである。

　ZIPは身近なデスクトップツールであり、それが企業システムのサーバ環境に組み込めるというイメージはあまりなかったかもしれないが、実はこれほど汎用的かつ手軽に使えるデータセキュリティ技術も珍しい。SIerならソリューションの1つとしてモノにしておきたいところだ。

関連リンク：
	ピーケーウェア・ジャパン株式会社 http://www.pkware.co.jp/
	SecureZIP製品概要 http://www.pkware.co.jp/security/

提供：ピーケーウェア・ジャパン株式会社
企画：アイティメディア 営業本部
制作：＠IT 編集部
掲載内容有効期限：2008年12月26日