シンガポール--(BUSINESS WIRE)--(ビジネスワイヤ) -- アジア太平洋全域におけるID、認証情報、アクセス管理の大手ソリューションプロバイダーであるi-Sprintイノベーションズは、OpenSSLの暗号化バグ「ハートブリード(Heartbleed)」の最近の発覚について、またこのバグやその他同様のSSL関連の脆弱性を回避する方法について洞察を提供しています。
ハートブリード・バグの発生は、私たちが直面し続けているセキュリティー上の脅威をあらためて思い起こさせます。このバグのために、インターネット上のあらゆる人々が、OpenSSLソフトウエアの脆弱性があるバージョンによって保護されているシステムのメモリーを読むことができます。これにより、サービスプロバイダーの特定やトラフィック、ユーザー名、パスワード、実際のコンテンツの暗号化に使用される秘密鍵が漏洩します。攻撃者には、通信の傍受、サービスとユーザーからの直接的なデータの盗み取り、なりすましが可能になります。
このバグは2年以上前からソフトウエアに存在しており、主要なセキュリティー専門家によって「破局的」と評されています。直接的な解決策は、影響を受けたシステムを特定し、パッチを適用してSSL認証情報を更新することです。また、ユーザーにパスワードを変更し、漏洩した情報の悪用を追跡するよう通知する必要があります。
たとえこのバグに今日パッチを当てたとしても、同種のバグが再び現れないという保証や未発見のままソフトウエア中に潜んでいることはないという保証はありません。同様の影響力を持つこのような脆弱性は将来、別のSSLのライブラリーやアプリケーション製品から生じる可能性があります。
これはまた、セキュアソケットレイヤー(SSL)が、データの機密性とオンライン取引の完全性を保護するのに十分であるのか否かという問題にもつながります。企業はどのようにしてウェブサービスを経由した将来のデータ漏洩リスクを管理し、データが傍受される心配がないことを顧客に納得させることができるでしょうか。そのような事態のリスクを緩和するために、何か手段を講じることが可能だったのでしょうか。
SSL暗号化が破られた場合でも機密データが暴露されないようにするには、企業はパスワードと機密のデータ取引を守るためのエンドツーエンドの暗号化(E2EE)のような強力なデータ保護を必要としています。E2EEにより、機密データは、脆弱なウェブサーバーやアプリケーションサーバーのメモリー内でさえ暗号化されたままに保たれます。E2EEはハートブリードと同種のバグに対する保護を提供するとともに、ソフトウエア開発者やデータベース管理者のような内部関係者が機密データを偶然または故意に漏洩できないようにします。事実、シンガポール金融管理局(MAS)と香港金融管理局(HKMA)は、金融機関に対し、電子バンキングサイトでパスワードと重要な取引データを保護するためにE2EEを採用するよう命じています。
多くの金融機関のように、企業は同様の暗号化のためのベストプラクティスを採用し、通信チャンネルではSSLによる保護だけでなくパスワードと機密データの暗号化も行うべきです。サーバー側へ送信する前の入力時点(ユーザーのデスクトップ/スマートフォン)で暗号化ライブラリーと鍵データを使用してデータを暗号化することで、これは可能になります。このようなデータは、ウェブサーバーやさらにはアプリケーションサーバーまで暗号化されたままになります。データはアプリケーションサーバーで復号されることがありますが、パスワードは暗号化が保たれ、ハードウエアセキュリティーモジュール(HSM)内で検証されます。HSMは不正防止機能付きハードウエアを使用する暗号デバイスであり、FIPS規格を満たすよう作られています。したがって、パスワードは入力時点から比較時点まで暗号化されています。そのため、ハートブリードと同種の脆弱性が緩和されるほか、イントラネット上の伝送中や記憶領域内でパスワードに平文でアクセスできる人はなくなり、内部者による不正からも保護されます。
つまり、効果的なデータ保護には、階層化されたセキュリティー・ソリューションと適切なプロセスの組み合わせが必要です。SSL保護のみを頼りにする代わりに、企業は将来のウェブサーバーの脆弱性から機密情報を守るために、アプリケーション層でE2EEソリューションを実装することを検討すべきです。
ハートブリードに関する疑問や保護対策については、www.i-sprint.comをご覧いただくか、enquiry@i-sprint.com宛てにi-Sprintまでご連絡ください。
i-Sprintのソリューション
i-Sprintは、グローバル金融サービスの規制要件を上回るよう設計されているセキュリティー製品、知的財産、特許の独自ブランドを擁しています。急成長するID、認証情報、アクセス管理(ICAM)市場を活用するため、i-SprintはID保護、クラウド保護、モバイル保護、データ保護のための製品で革新的な製品機能を積極的に提供しています。
当社の世界屈指のセキュリティー・ソリューションには、インターネット・バンキングへの便利で(シングルサインオン)安全なアクセスを実現する実績ある安全なE2EE認証およびデータ保護があります。また当社のソリューションは、多くの国々の規制機関によるインターネット・バンキングに関する安全指針を満たし、その結果、大部分のインターネットおよびモバイルの銀行業務ソリューションにおけるセキュリティー上の課題を克服しています。i-Sprintは、銀行グレードの多目的かつ強力な認証(生体認証、多要素認証など)およびトークン管理プラットフォームを、共通のセキュリティー・プラットフォームをベースとする複数のアプリケーション提供環境(モバイル、ウェブ、クラウド)向けに用意しています。
本記者発表文の公式バージョンはオリジナル言語版です。翻訳言語版は、読者の便宜を図る目的で提供されたものであり、法的効力を持ちません。翻訳言語版を資料としてご利用になる際には、法的効力を有する唯一のバージョンであるオリジナル言語版と照らし合わせて頂くようお願い致します。
