情報セキュリティ上の脅威・攻撃は、人的要因を除けば、①コンピュータ及びネットワークの破壊・かく乱、②情報の盗難、③情報の改竄、④認証情報の偽使用によるなりすましの4つに絞られる。
これらのうち最も本質的な脅威・攻撃である②③④を、独自開発のエンド・トゥ・エンドプロテクションによって防御する。その結果、秘匿通信、データ保護、遠隔認証に加えて、価値の移転を可能にした。
「Crypto Cash」(金融)、「Crypto Communication」(通信)、「Secure Cloud Base」(クラウドコンピューティング)、「Crypto Sync Key」(IoT)、「Crypto Grid」(スマートグリッド)など、情報セキュリティが不可欠な基本製品/サービスを提供する。
<背景>
2009年1月9日のBBCニュースによれば、スイスダボス会議で世界有数のセキュリティ関係会社の代表が「Online Theft」が世界で1兆ドルあることを発表している。その金額は年々増加しており、未だ有効な対策が施されていない。
最近は、日本でもサイバー犯罪が報道されることが多くなり、事の重大さが認識されてきた。警察庁においてもサイバー対策を重視し、各都道府県警ではサイバー対策課を設けて対策にあたるなど、サイバー犯罪への対策が緊急課題となっている。サイバー犯罪とは、主にコンピュータネットワーク上で行われる犯罪の総称であり、ネットワーク上の不法取引やデータの大量配布による著作権侵害、法律に違反するデータの公開などを主として指す。米国をはじめとする諸外国では陸・海・空の三軍に加えて、サイバー軍の設立を開始している。サイバー空間での攻防はすでに国家安全保障上の問題と認識されているのである。一方、我が国では、サイバーセキュリティを包括的に扱う動きがようやく出てきたばかりだ。サイバー空間の攻防は極めて重要だが、他国に先駆けて情報セキュリティ全般を扱い、二度と膨大な損失を被ることの無い有効な対策を打つことを期待したい。なぜなら、国防以前の問題として、産業情報の漏洩は、直接的に国力低下の原因につながる国家安全保障上の重要問題だからだ。一つの工業製品を発売するため日本を含む先進国では、基礎研究から始まり、その応用研究、これらを利用した製品開発(設計図を含む)、製造技術開発(金型や製造ラインなど)に膨大な費用をかけている。これらの費用は、原則としてすべて新製品の付加価値を構成し、最終製品の発売にあたっては、その製品本来の製造コストに加えて、この研究開発に要するコストを上乗せして、新製品の価格が決定されている。そして従来はこの新製品が有する新規性、独自性、利便性ゆえに、類似の従来製品と比較して高価格であっても価格競争力を維持してきた。ところが近年、新製品と同じ付加価値を持つほぼ同等の製品が、発売日までほぼ同じ日に市場に出てくるという不可解な事態が発生するようになっている。そのため我が国の製造業者は、研究開発にかけた膨大なコストを乗せた分だけ価格が高い新製品を市場に供給することを余儀なくされ、いつの間にか日本の経済力は、世界第二位の地位までも奪われるに至ってしまった。その結果、①競争力の低下とシェアの縮小、②技術力が高価格につながらないことによる研究開発費の圧縮、③日本人技術者の減少および技術力の低下、と負の連鎖さえ見られる。
「世界の工場」と称される国々と比べても、日本のほうが製造効率は数倍高いので、製造コストについて日本の競争力が勝っているケースは少なくない。それに加えて、開発コストを適切に上乗せできるのであれば、日本の競争力は以前よりも高くなり得ると言っても良い。そのためそこでは産業情報の漏洩を防止する情報セキュリティ対策が不可欠である。
<情報セキュリティ上の脅威・攻撃>
コンピュータが単独で使用される場合、コンピュータそのものの破壊を狙った攻撃や不正利用、コンピュータの中の重要データを盗難改竄するなどの脅威・攻撃が知られている。コンピュータ同士がネットワークでつながると、コンピュータそのものに加えて、ネットワーク機器自体に対する脅威・攻撃やネットワーク上での重要データの盗難・改竄などの脅威・攻撃についても対処しなければならない。防御すべき場所がコンピュータ単体からネットワーク全体に広がったことで、途方もないコストをかけてあらゆる脅威・攻撃に備えなければならないという心理的圧力をコンピュータ管理者に与えている。その結果、ネットワークそのものの防御だけでも手いっぱいで、様々な対策システムが組み込まれ、多重にモニタリングを行い、新たなインシデントに対してできるだけ早い対処を行う事が、情報セキュリティの要のごとく考えられ、コンピュータ自体を含む全体の防御まではとても考慮できない状況となっている。次から次へと引き起こされる新たなインシデントに振り回され、情報セキュリティ対策に終わりはなく、技術者はただ最善を尽くすのみである。抜本的解決など最早夢物語と考え最初から諦めてしまうこともある。例えば、多くのサービスではネットワークセキュリティの抜本的解決のため公衆回線であるインターネットを利用せず専用線を利用する。銀行のATMが銀行外に設置してある場合があるが、銀行の建物から延びる通信線は当然のことながらほとんどが専用線である。しかしこのATMの為の専用線の多くは暗号化されておらず、また仮にされていても専用線の中にはATMに関係する情報だけが流れるので、期待効果とは逆に、情報盗難はより容易くなるという残念な結果となっている。専用線を使うだけではセキュリティは確保できないのである。このように情報セキュリティのソリューションは極めて複雑であり、多くの技術者が、どれだけの脅威があるのか、どこまでの対策を行ったら十分なのかと途方に暮れている。
ところが、JSSC情報セキュリティ研究部会において解析した結果、情報セキュリティ上の脅威・攻撃は、人的要因を除けば、①コンピュータ及びネットワークの破壊・かく乱、②情報の盗難、③情報の改竄、④認証情報の偽使用によるなりすましの4つに絞られるという意外な結論を得た。
<情報セキュリティ上の脅威・攻撃に対するソリューションは存在するか>
①コンピュータ及びネットワークのかく乱脅威・攻撃はシステム自体の冗長性を高めることで実質的被害を避けられる。コンピュータ及びネットワークを多重化し、ネットワークとの接続点を被害想定数より多くすれば、一部のシステムに障害が引き起こされても、全体としてみれば被害は最小限に抑えられる。
一方、②情報盗難、③情報改竄、④なりすましは、広義の中間者攻撃と考えられ、ネットワーク上だけでなく、コンピュータに不正に入れられたマルウエアや標的型メールによって、中間者に強制誘導されて引き起こされるものも多い。ネットワークのセキュリティを完璧にまで高めても、全体としては脆弱なままということである。このうち④については最近、特殊な認証情報を使うことで、中間者攻撃を防御できることが判明した。またそもそもネットワーク上を流れる情報のうちどの部分が認証情報か分からなければなりすましは難しい。認証以外のデータと混ぜたり、認証データをバラバラにして別のパケット内に混在させたりすることで、どこに認証データが存在するか分からなくすることができる。さらに認証情報を含めた全情報を暗号化して通信すれば(全情報暗号通信)、認証情報だけを取り出すことは不可能である。
残る②と③であるが、実は、情報の生成直後に完全暗号化し使用直前に復号化すればそのほぼ全てを防御できる。前述の通り、個人情報やクレジットカード情報が漏洩したという事件が絶えないが、完璧にこの対策を行えば、最早これらの問題は過去のものになる。この対策方法に必要なのは、①ネットワークを介して情報の送受信を行う情報生成者と使用者とでデータの送受信を行うために用いられるデータ(典型的には、暗号化、復号化に用いる変化する鍵)をシンクロさせること(Remote Synchronization)と、②両者間で用いる完全暗号(Complete Cipher)技術とを確立することである。それら技術は、高速に処理できることが実際の対策には必要であるが、すでに開発済みでありいつでも使用できる状態にある。
<エンド・トゥ・エンドプロテクションと応用>
わたしたちは、情報を送信する装置内で生成直後に完全暗号化し、その情報を受信する装置内で使用直前に復号化するソリューションを開発した。これを「エンド・トゥ・エンドプロテクション」と呼ぶ。このソリューションを構築できれば、送受信を行う装置内を含めて、使用されないときの情報はすべて暗号化されており、脅威・攻撃のうち②情報盗難、③情報改竄、④なりすましを防ぐことができる。①ネットワークのかく乱脅威・攻撃への対策を十分に行っていることを前提に考えるならば、ネットワーク機器やインフラなどはそれほどセキュリティを高めた製品でなくても、例えばダムルーターやダムスイッチでも、セキュリティ上問題はなくなる。
完全な情報セキュリティ対策に必要なのは、①適切な情報生成者と使用者をシンクロさせること(遠隔同期、Remote Synchronization)と、②両者間で用いる完全暗号(Complete Cipher)であり、その結果、エンド・トゥ・エンドプロテクションが可能になり、情報処理プロセスを透明化し、マルウエアを受け付けないコンピュータアーキテクチャを採用する機器と併せて使用すれば、現在の情報セキュリティ上のほとんどの問題を解決できる。
わたしたちはこれを利用して、完全な秘匿通信、情報保護、そして、より安全高速な価値交換システムを提供する。