Más contenido relacionado La actualidad más candente (9) Similar a セキュリティ認証も簡単に取得!すぐ出来るセキュリティツール「HyTrust」 ~PCIDSS・GDPRにも対応!~ (20) セキュリティ認証も簡単に取得!すぐ出来るセキュリティツール「HyTrust」 ~PCIDSS・GDPRにも対応!~16. 例)PCI DSS
・Payment Card Industry Data Security Standard
・クレジットカード会員の情報を保護することを目的に定められた、
クレジットカード業界の情報セキュリティ基準
・カード情報を「保存、処理、伝送」する事業者に必要
・仮想環境も適用対象に
Notas del editor それではお時間になりましたので、「セキュリティ認証も簡単に取得!すぐ出来るセキュリティツールHyTrust」と題しまして
セキュリティツールHyTrustについてご紹介させていただきます。
まずHyTrustについてですが、開発元はカリフォルニア州 マウンテンビューに位置しており、ベストオブVMワールドなどをはじめ、数多くのアワードを受賞した製品となっております。
具体的にはHyTRUST DCとHyTRUST CCという2種類のソフトウェアを使用したセキュリティソリューションの製品となっております。
ですので、 ほんじつのアジェンダとしてはデモを交えながらこれら2製品の紹介をさせていただきます。
また、セミナー最後には恒例のアマゾンギフト券があたるプレゼントクイズも実施させていただきますので、
ぜひ最後までご視聴いただればと存じます。 では早速ですがまず1つ目HyTRYST DCについてご紹介いたします。 まずこちらどういったものかと、簡潔に申し上げますと暗号化、キー管理により物理/仮想/クラウドなどあらゆる環境を保護できるソフトとなっております。
例えば、昨今情報漏洩等が頻発している影響で、機密データ等をクラウドに保存することをはばかられる方もいらっしゃるかと存じます。
HyTRYSTを導入することでAWSやAzure等のクラウド上のデータに対して暗号化を実施することができるため安心してクラウドに保存することが可能です。
また物理や仮想環境でも暗号化を適用することができるため、例えば物理環境ハードごと盗難されてしまったり、仮想ディスク情報を抜きだされてしまっても
中身のデータが暗号化されているため、情報漏洩を防ぐことが可能です。 この暗号化やキー管理のアーキテクチャとしてはHyTrust KeyControlサーバを構成することで実施します。
赤い鍵マークがついているのがKeyControlサーバでこちらがキー発行等の暗号化キーの管理を行います。
KeyControlサーバは物理マシンはもちろん、仮想環境のアプライアンスや、AWSのマーケットプレイスからEC2としてデプロイすることでクラウド上でも構成することが可能です。
そして、暗号化するマシンにはエージェントをインストールします。エージェントインストールは数秒で完了し、マシンデバイスごとに暗号化するため、
暗号化範囲としてはデータパーティションやWindowsのブート、Linuxのルート、スワップパーティション、ファイル、オブジェクトというように細かく暗号化ポリシーを設定できます。
これらの暗号化キー管理はKeyControlサーバが行いますので、KeyControlサーバ管理外のマシンからデータを抽出することや、認証できない環境でデータを閲覧することを防ぐことが可能です。 また、vSphere6.5ネイティブの暗号化機能との統合も可能です。
図のようにVmwareネイティブの暗号機能により仮想ディスクであるVMDKファイルが暗号化されています。
vCenter側ではVMDKを暗号化するためのネイティブのキーのみを保管しており、
HyTrsut側のキーによりこのネイティブの暗号化キーをさらに暗号化しております。
これによりHyTrustエージェントを仮想マシンにインストールせずとも暗号化することが可能となっております。
この暗号化機能を使用するためには、HyTrust KeyControlのようなKMSと呼ばれるキー管理サーバが必要となります。
このKMSはサードパーティ製のものを用意する必要があります。
そこで、VMwareはベンダーのKMSがVMware暗号化機能と連携して正常に動作することを検証するKMS認定資格試験を実施しています。
HyTrust DataControl(KeyControl)は、この認定試験に合格したVMware認定KMSの1つです!
さらにHyTrust DataControlの暗号化も使用することで、物理環境やクラウド環境のキー管理もKeyControlサーバが担うので、
HyTRUSTを導入するだけで一括であらゆる環境を保護することが可能です。
ちなみに、HyTrust DataControlのライセンス体系は暗号化する対象のマシン単位となっております。
では、ここでHyTrust DataControlのデモをお見せいたします。
暗号化を実施する手順として3つのステップで行います。
STEP1では暗号化キーの再発行等の管理を行うKeyControlサーバを構成します。
STEP2ではWebブラウザ経由でKeyサーバにアクセスし、暗号化するマシンのポリシーグループを作成します。
このポリシーは例えばIPアドレスが変更された場合に再認証が必要になる等の暗号化するマシンに対するポリシーとなります。
STEP3では、暗号化対象のマシンでエージェントをインストールし、Keyサーバと接続、暗号化するドライブ等を選択します。
今回のデモでは上記暗号化まで流れをご覧いただければと思います。
(デモ)
このようにHyTrustでは、GUIからマシンデバイス単位で暗号化を実施することが可能です。
次にHyTrust CloudControlについてご紹介いたします。
こちらはどういったものか、簡潔に申し上げますとVMwareのvSphere、NSXの仮想環境に対して
アクセス制御セキュリティポリシーを徹底できるソフトとなっております。
昨今は多くの企業様で仮想化インフラを主要でお使いいただいていることが多くなっておりますので、ハイパーバイザーが全権を支配しているといっても過言ではありません。
半面Rootなどの特権アカウントを乱用してしまうことで、仮想環境に簡単に侵入されてしまう危険性もはらんでいることが実態となっております。
HyTrustCCではセキュリティロールやコンプライアンスのテンプレートを多数ご用意しておりますので、手間なくコンプライアンス要件を満たす環境を作成でき、
仮想環境の不法侵入という危険性の排除を簡単に実施できるツールとなっております。 このアクセス制御のアーキテクチャとしてはHytRUSRUSTCCサーバを構成することで実施します。
ですので仮想環境上のVMへのログイン等は既存のネットワークに影響を与えずアクセスすることが可能です。
ただ、仮想環境インフラストラクチャに管理者としてログインする場合は、CLoudContorolのアプライアンスがプロキシとなり
そのプロキシ経由でアクセスするような構成をとることで、ロールによって実施できるオペレーションを制御できます。
そのため、管理者がすでに使い慣れているGUIやオペレーションには影響を与えずに、各種セキュリティの強化やそのポリシーの徹底を可能にします。 このCC経由でアクセスした場合に、実施可能な処理はオペレーション単位で設定することが可能です。
このような二次承認を利用することで、コンプライアンス要件にあわせた運用を行えます。 また不正証跡のログを記録することも可能です。
コンプライアンス(および高度セキュリティ)は誰がどのような処理を許可されたか、のみならず、誰が何を許可されなかったかも記録する必要があります。
例えば、
このようなフォレンジック機能により何が起きたのか、そして何が起きなかったのか、についての綿密かつ包括的な分析を提示します。 このようにして、アクセス制御セキュリティポリシーの徹底を行えるHyTrust CloudControlですが、
このポリシーを設定する上で便利なテンプレートが複数用意されております。
このテンプレートは実際のセキュリティ認証のコンプライアンスに沿って、作成されております。
対応しているセキュリティ認証としては、HIPAA、PCI DSS、COBIT、SOX、GDPRなどがあります。
この中のうち PCI DSSを例にとってもう少し詳しくお話しします。
PCI DSSはPayment Card Industry Data Security Standardの略称で、
クレジットカード会員の情報を保護することを目的に定められた、クレジットカード業界の情報セキュリティ基準です。
カード情報を「保存、処理、伝送」する事業者に必要となります。
このPCI DSSは6つの大きな目標と12個の要件で構成されております。
こちらがその一覧です。
カード会員のデータを保護するために、暗号化しましょうであったり、
アクセスを制限しましょうといったものがあります。
この12個の要件に対し、HyTrust CloudControlを導入することで、、、
赤字となっている部分が対応可能となります。
もちろんHyTrustですべてに対応可能になるわけではないですが、、、
5/12の要件に対応することができ、しかも対応するためのテンプレートポリシーも用意されているので、
PCI DSS適用の大きな助けになるかと思います。
またHyTRUSTCCのライセンス体系はアクセス制御を行うハイパーバイザーのCPUソケット単位となっております。
それでは実際にCCのデモをご覧いただければと存じます。