企業のビジネス活動においてICTの活用が重要となる一方、そこでは常に情報セキュリティの懸念がつきまといます。東芝では、セキュリティの担保に向けた基礎技術の研究からソリューションへの応用までを積極的に推進。暗号化データや鍵の効果的な運用・管理を実現する「再暗号化技術」や、オンラインでのセキュアな生体認証の仕組みを支える「ACBio※1」などをはじめとする先進の技術・ソリューションの提供で、ICTの活用やクラウド利用の安心・安全を支えています。
情報システムの活用スタイルとして定着しつつあるクラウド。今日では企業がシステム構築のプラットフォームにクラウドを第一の選択肢として検討する「クラウドファースト」という考え方が広く浸透してきています。一方、クラウドの活用には、その利便性の半面、常にセキュリティに関わる懸念がつきまといます。
情報セキュリティは、情報のCIAともいわれる「機密性」(Confidentiality)、「完全性」(Integrity)、「可用性」(Availability)の三要件≠ゥらなるといわれており、CIAに対応する技術要素として「暗号化」「認証」「アクセス制御」があります。ビジネスにおけるセキュリティリスクがますます高まってきていることから、これら技術要素の重要性がなお一層増大しています。
東芝では、セキュリティに関する基礎・基盤技術の研究からソリューションへの応用までを積極的に推進しています(図1)。その中で、長年にわたって取り組んでいる「暗号化」と「認証」の研究開発で、数々の先進的な技術やソリューションを生み出しています。
「暗号化」の研究開発の中で今注目を浴びているのが、クラウド向けの「再暗号化技術」です。企業がこれまでオンプレミス環境のストレージ上で保有してきた大量のデータを、IaaS※2などで提供されるオンラインストレージサービスへと移行する動きが活発化しています。データ容量の増大に合わせてオンデマンドで必要なだけストレージを調達し、使った分だけの料金で利用できるこうしたサービスは、その利便性に加えてコスト面での優位性もあり、利用者にとって非常に魅力的です。
その一方、重要なビジネスデータの保管を社外のサービスに委ねることには、セキュリティ上の不安を感じる方が多いのも事実。そうした問題を解消するための代表的な方法が、データの暗号化です。
一般に暗号化されたデータをクラウド上で共有する際、各メンバーに復号鍵を渡すとともに、個々の復号鍵に合わせた暗号化データを作成してクラウド上に置くという方法が採られます。そうした作業自体が非常に煩雑であり、さらに新規メンバーが追加されると、その都度、新規メンバーに配布された復号鍵に応じた暗号化データを作成する作業が発生します。その際、いったん復号するために平文の状態となるセキュリティリスクが生じます。
もちろん、こうした手間やリスクを回避するため、クラウド上でデータを共有するグループなどの単位で、復号鍵を共通化する方法もありますが、複数の人間で一つの鍵を使い回す運用は鍵情報が漏えいするリスクが高まるなど、やはり望ましいとはいえません。
これに対し再暗号化技術では、ある一つの鍵で暗号化されたデータと、再暗号化鍵をクラウド上に保持。所定のメンバーがデータにアクセスしてきた際、自動的にそのメンバー用の再暗号化鍵を使って、データを暗号化した状態のままメンバーが持つ復号鍵で解読できる暗号化データへと再度変換(再暗号化)。メンバーは、再暗号化されたデータをダウンロードして自分の鍵で復号します(図2)。この再暗号化技術により、クラウド上でデータを共有する運用を安全かつ簡素化し、暗号化データや鍵の管理に関わる問題を解消することができます。
![[写真] 斯波 万恵](assets/fig/003/pic01.jpg)
現在、東芝が実用化に向けて取り組んでいるのが、「量子暗号通信技術」です。これは、通信に用いられる光ファイバーの中を流れる光子の量子力学的な性質を利用したもので、外部から盗聴を受けると、暗号鍵の情報を乗せた光子の状態に変化が生じるため、盗聴の検知が可能です。検知時に通信を遮断すれば、暗号鍵の盗聴を確実に防ぐことができます。
この技術は、2003年から東芝の欧州研究所で基礎研究を開始し、2010年には世界最高速度毎秒1Mビットの量子暗号鍵送信を達成しました。現在、いくつかの実証試験に取り組んでおり、例えば東芝ライフサイエンス解析センターでは、暗号化されたゲノム解析データを7km先の東北大学 東北メディカル・メガバンク機構に送信する際の暗号鍵を送付する実証試験を実施し、運用時の通信速度の安定性や天候、温度、光ファイバーの状態など環境条件の影響についての検証を行っています。また、東京の大手町と小金井間の45kmの既設光ファイバーを利用して暗号鍵を送信するという実証試験では、34日間の安定稼働が確認され、1日あたり25・8ギガビットの鍵配信量を達成。実用化に向けた階段を着実に上りつつあります。
「認証」に関する東芝の取り組みに、オンライン生体認証ソリューションがあります。近年、生体認証は金融機関のATMで広く採用されている静脈認証をはじめ、企業内の情報システムなどでも指紋認証や顔認証などの活用が進みつつあります。しかし、クラウド上のサービスなどオープンなネットワーク上で生体認証を利用するには、個人のプライバシーの確保や認証結果の信頼性をはじめ、いくつかの解消すべき課題があります。
そうした要請に応えるべく東芝が開発したのが「ACBio」です。ACBioは、ISO/IEC24761として発行されている生体認証の国際標準規格です。この規格は、利用者の生体データというセンシティブな情報をネットワーク上に流すことなく、オンラインでの生体認証を実現するための処理内容を示すデータ構造を規定しています。ACBioにより、利用者はクラウドサービスを提供する事業者などに生体情報そのものは渡さず、生体認証機器での認証処理プロセスの内容やその結果を通知するだけで、それを受けた事業者側は通知内容の正当性を検証できます。
今後はその活用により、例えばクラウドサービスを提供する事業者と利用者の間で、ID管理やシングルサインオンによる認証を支援するIDaaS※3を提供する事業者が、クラウド事業者に代わって利用者への生体認証サービスを提供できるようにするなど、生体認証の分野における新たなサービスの創出をドライブする技術として、大きな期待が寄せられています。
そのほか東芝では、クラウドサービスにアクセスする時刻や場所、デバイス、ユーザー情報といったコンテクスト(状況)情報をセンシングし、独自の技術により個人を特定できない形でコンテクスト情報を収集しつつ、生体認証により確実に人の認証を行う「コンテクスチュアル認証」の研究開発なども推進しています。
今後も東芝は、インターネットやクラウドサービスの利用者とサービスを提供する事業者の双方にとって、安心・安全を担保するための先進的なセキュリティ技術やソリューションの提供に向け、常にチャレンジングな姿勢で臨んでいきます。
