今、現実解が必要ではないでしょうか
先日、秘密分散法コンソーシアムから個人情報保護委員会様への、
確認内容等が情報公開されました。
(新たに出たQ&Aに関する確認事項で、高度な暗号化等に関する確認含む)
参考:
個人情報保護委員会様への確認事項のご紹介
2017年8月9日
http://www.sss-c.org/?p=612
流出等した瞬間は、未だ暗号化されたままの状態で、攻撃者等によって、
解読等されていないであろう。誰もが見読できる状態にはなっていないであろう。
と言う認識であることが分かり、安直に流出後も暗号化してあれば安全である。
ということを、個人情報保護委員会様が意図していないことが判明しました。
あくまで流出した「瞬間」ということで、その後は保証の範疇ではない。
ということです。ここは、暗号化してあれば大丈夫なんだと、
誤解しないよう十分留意しないといけません。
暗号化してあっても、法令の定義内の情報が流出した事実や、
流出後に被害が顕在化する可能性のある対策を組織として選択していた。
という事態にならないよう、被害を最小化すべく留意する必要があると考えます。
標的型攻撃や高度化する暗号解読手法、計算機能力の向上、
シンギュラリティ等、更に、繰り返し発生する情報漏えい等の事件、事故は、
既存のセキュリティ技術・手法だけでこれからの安全管理措置を適切に実施するには、
限界があることを如実に証明し、次世代に向けた警鐘を発し続けており、
個人情報保護委員会様の認識も恐らく同様なのではないかと考えます。
さて、一般論としてですが、
万が一の不正アクセス等で内部情報等が流出等した際にも、
法令違反にならない(そもそも被害が発生しない)仕組みは、
誰もが欲する理想のセキュリティの一つと考えます。
完璧な理想のセキュリティとは言い切れませんが、
現在自治体様等で、現実的な現場での被害最小化に向けた対処法として、
弊社秘密分散技術(電子割符)が利活用事例が出始めています。
なぜなら、弊社技術処理で生成された割符ファイルに関しては、
復元に至らない数の割符ファイル流出等であれば、
そもそも情報漏えいとして成立しないからです。
(何か電子ファイルが流出したという事実はありますが、原本情報に逆変換できません)
参考:
市民と電子自治体ネットワーク様との共催セミナーのご案内
2017年5月29日
「自治体情報セキュリティ対策と秘密分散技術」
〜強靭化対策後にも必要な現場における安全管理措置について〜
http://www.sss-c.org/?p=588
自治体様等が弊社技術を利活用する背景の一つは、
弊社と内閣官房情報セキュリティセンター(現:内閣サイバーセキュリティセンター)様との意見交換等にあり、その場で、
弊社商品名そのまま(GFI電子割符(R))ではなく、
一般名称として、「秘密分散技術」という新たな一般名称を決め、
「政府機関の情報セキュリティ対策のための統一基準(2005 年12 月版(全体版初版)」
(解説書)に、暗号とは異なるセキュリティ手法として、
秘密分散技術が記載公表された事実があるからです。
参考:
「政府機関の情報セキュリティ対策のための統一基準(2005 年12 月版(全体版初版)」
(解説書)
https://www.nisc.go.jp/active/general/pdf/k303-052c.pdf
その後も、要機密情報や要安定情報への安全確保の手法・技術として、
暗号化とは異なる手法・技術として、
対象情報を丸ごと(暗号・符号化による変換含む)管理するのではなく、
敢えて「分割」して運用管理することの有用性が記載されてきております。
当たり前ですが、割符ファイル状態で適切に管理していれば、
いきなり丸ごと情報が流出することはありません。
とは言え、どうでもよいから「分割」すれば良いのではなく、
しっかりと安全性を確保した分割手法が実装され、
割符ファイル単体から容易に原本情報が出てこないような技術でなければ、
法令対処等はできません。
そこで、秘密分散法コンソーシアムにおいて秘密分散技術(電子割符)は、
標準化に向けた準備活動の最中でありますが、
それでも秘密分散技術全体の標準化は未だ数年を要するものと考えられます。
参考:
秘密分散法コンソーシアム 公開資料
秘密分散技術(一般名称:電子割符)登録制度
秘密分散技術(一般名称:電子割符)登録制度 ‐ 事前チェックシート ‐ (初版)
ガイドライン
秘密分散技術(一般名称:電子割符)の説明書 ‐ 概要説明書 ‐ (初版)
http://www.sss-c.org/?page_id=488
他方、現状の組織における情報資産管理は、先般の個人情報保護法の改正や、
激甚災害対処(BCP)も含め、とにかく有用な手段は率先して利活用し、
被害を最小化する組織的な最善の努力(義務)をしなければならない状況です。
上記のように、秘密分散技術の標準化は未だ時間を要しますが、
万が一にも事故が発生したとしても被害を最小化することができる可能性のある、
安全管理措置の現実解として、
弊社GFI電子割符(R)はすでに存在しています。
標準化等が未だこれからだとしても、
現実に役立つ仕組みであれば、リスク最小化の具体策として、
現場で積極的に取り入れてみてはいかがでしょうか。
論より証拠、現場でのお話しを聞く度に感じることは、
「今、現場では安全管理措置の現実解が求められている。」
ということです。
最善の安全管理措置の現実解をお求めの方は、
1999年から、官民での安定した動作実績と複数回の外部評価があり、
更に取得済み特許等の知的財産の安全性も確保できている、
秘密分散技術標準化のリファレンス技術第一号(技術区分ーA)である、
弊社GFI電子割符(R)をご用命ください。
当該技術を適切に組織で利活用できるよう、弊社も一緒に知恵を出したいと存じます。
お気軽にお声がけください。
2017年08月23日
グローバルフレンドシップ株式会社
代表取締役社長 保倉 豊
本件に関し、ご質問等ありましたら、
まで、お問い合わせ下さい。
既公開の弊社最近の関連リリース
- [2017.08.09]
新たなライブラリ等ライセンス方針のお知らせ
http://www.gfi.co.jp/01news20170809_430.html - [2017.06.29]
ビッグサイト会場での弊社上映資料の開示です
http://www.gfi.co.jp/01news20170629_429.html - [2017.05.23]
三井物産セキュアディレクション様の長期運用テスト結果
http://www.gfi.co.jp/01news20170523_426.html - [2017.05.17]
新たな特許査定について
http://www.gfi.co.jp/01news20170517_425.html