ネットワークを通した OPAL HDD 集中管理と組込み機器への応用 ンサトンターナショナル株式会社相澤智樹 1
用語の説明 Active Directory Win2K 以降登場した ドメン制御の仕組み ユーザ グループ コンピュータなどを階層的な構造で管理 例えば会社の部や課などまとめて管理ができるなど ETS; Embassy Trust Suite Wave 社の PC( クラゕント ) 用の Windows 対応ソフトウェゕ ERAS; Embassy Remote Access Server Wave 社の Win2003,2008 対応サーバ用ソフトウェゕ Group Policy( グループ ポリシー ) ユーザができる操作や環境を設定できる 例えば自由にゕプリケーションのンストールができないなど TPM Wave Systems Corp& インサイトインターナショナル ( 株 ) 2
TPM とは TPM(Trusted Platform Module):TCG で策定された IC 何ができるか プラットフォームや機器の正当性 情報の保護 ゕプリケーションの改ざん検出 マルウェゕの検出など 3
TPM 搭載機能 1280byte 耐タンパー パッケージ 不揮発性メモリ プログラム コード Opt-In SHA Enable 揮発性メモリ Core RNG Hash プラットフォーム構成レジスタ (PCR) AIK 32byte 乱数生成 RSA エンジン 鍵生成 Trusted Boot RSA- 2048bit 4
Wave Systems Corp. 会社概要 セキュリティ ソフトウェアのマーケットに おいて15年以上の実績 Trusted Computingソリューションの リーディング プロバイダ Trusted Computing Groupの ボード メンバー 本社所在地 マチューセッツ州Lee市 全世界で100名以上の従業員 マサチューセッツ州 カリフォルニア州 ニュージャージー州の各州に拠点 1994年よりNASDAQ (WAVX)上場 5
ンサトンターナショナル ( 株 ) 商号 : ンサトンターナショナル株式会社 ( 略称 : ンサト )www.insight-intl.com 設立 :1984 年 :2010 年度 ( 第 27 期 ) 本社 : 東京都新宿区市谷田町 1-19 SPC 市谷ビル 3 階 TEL:03-5206-7850 FAX:03-5206-8147 事業内容 :PC 及び組込み向け SW/HW 開発関連会社 :Insight International Korea(2005 年 12 月設立 ) Insight International USA( 準備室 ) 6
ネットワークを通した OPAL HDD 集中管理 と組込み機器への応用 7
何が必要か エンドポント セキュリテゖを実現するためには! TPM OPAL HDD 指紋センサなどのハードウェゕデバスとセキュリテゖ用ラフサクル管理ソフトウェゕが必要! TCG OPAL HDD の制御 ; セキュリテゖ機能をニシャラズ 起動前認証のパスワードを管理 安全なドラブを証明するログの作成 データ保護によりコンプラゕンス 知的財産を確実に保護 電源投入からの TPM を使用しての集中管理 ; 2 要素以上のユーザ認証についてセキュリテゖを強化とコスト削減 ネットワークへゕクセス制御 その完全性を確認 8
ハードウェアベースのエンドポイント セキュリティについて データ保護の規則や法律は強力なセキュリティに対応するドライブが必要 データ侵害へは多額の費用負担及び企業メージの大幅ダウン ソフトウェゕの対策では不十分 例えば コールド ブート ゕタック データ保護は データ暗号以上に重要 データ保護 認証 ネットワーク ゕクセス制御 セキュリティ予算を大幅に増額することなく セキュリティ範囲の拡大 ハードウェゕでの実装は 構成や管理でよりコスト的に効果的 標準技術をベースとしたソリューションは多様なシステム全体にンターオペラビリテゖを確実にする このセキュリティ市場に対して企業からのポジティブな強い反応 ハードウェゕベースのエンドポント セキュリテゖ技術が標準に 主要なデータ ストレージとセキュリテゖ チップがすでに供給中 主要な PC メーカからセキュリテゖ対策製品を製造中 9
理想的なセキュリティネットワーク エンタープライズ向けセキュリティの拡大 ネットワーク アクセス制御 モバイル データの保護 強固な認証 Trustedプラットフォーム 10
セキュリティにおける最良要件 ; 提案 1 ハードウェア セキュリティは ; 1. 情報へのアクセス 2. 情報がどこへ伝わるか 3. 情報を保護 可能な限り 新しいPCを購入する際は TCG OPAL HDD 搭載を購入 TCG OPAL HDDでPCがゕクセスする秘密データを保護 ソフトウェゕのデジタル証明書からTPMへ変更 ハードウェゕで起動前及びWindowsの認証証明書を保存 リモート及び無線ゕクセスについてTPMで対応 制御不能なリムーバブル ストレージ デバスをTPMでブロック 11
セキュリティにおける最良要件 ; 提案 2 企業セキュリティ ソリューションは データ暗号より多くの管理が必要 エンドポイント セキュリティ デバイスとポリシー管理のシングル コンソール すべての TPM ベンダとともに管理ソリューションを選択 データの暗号化を行う鍵は 集中管理された場所から管理 12
セキュリティ提案要件 TCG OPAL HDD&TPM TPM リモート ゕクセスVPN 無線LAN Web ゕクセス 保存データ TCG OPAL HDD など バイオメトリクス 起動前認証 ローカル マシン ドメイン ローミング TPM PWD管理 フゔ ル/フォルダの暗号化 暗号化された電子メール スマートカード 起動前認証 ローカルマシン ドメイン 接触/非接触 機器の認証と完全性 強固なマシンID PCのヘルスチェック 13
データ保護ソリューションの要求: 異なる立場 異なる要求 コンプライアンス コンプライアンス コンプライアンス 経営部門 簡単 速い 視覚的 安全 低コスト 管理 ユーザ IT スタッフ 14
TCG OPAL HDD によるデータの暗号化 15
情報セキュリテゖのトレンド データ暗号化ソリューションはソフトウェアからハードウェアの構成へ ゕプリケーション レヤ OS 搭載 ハードウェゕで対応 ソフトウェゕ FDE Bitlocker & EFS ハードウェゕ暗号化ドラブ 強固な認証が急成長 予算の増額なしに強固な認証が必要 統合 / 内蔵型セキュリテゖの成長 TPM がパスワード OTP バオメトリックスの基本プラットフォーム ネットワーク ゕクセス制御ソリューション Trusted Network Connect (TNC), Cisco NAC 及び Microsoft NAP プラットフォーム認証とハードウェゕ ベースの信頼の基点 (Root Of Trust) の必要性 16
暗号化の必要性? データを暗号化しない 3 つの理由 : システム性能 69% 複雑さ 44% コスト 25% 17
情報セキュリテゖデータ保護の必要性 事実上 会社は盗難に対しての対応が不十分 PC のデバスに保存されている重要な情報は巨額の債務やリスクが発生する可能性がある 意図しない損失と不正使用 データへリゕルタム ゕクセスが必要となるモバル環境を必要とする人口が大幅に増大中 データの格納やゕクセスへ多彩なシステムを利用する多様な要因 データへの取得やゕクセス攻撃は悪評から利益確保へ 18
情報セキュリテゖ 法律とコンプライアンス コンプライアンスの規制 個人と秘密データの保護 内部セキュリティ ポリシー 会社の知的財産権の保護 19
データ保護における進化 : ハードウェゕ ソリューションへの移行 アプリケーションレイヤ ソフトウェア FDE OS 搭載 Windows7 BitLocker / EFS ハードウェア Hardware Integration 対応 Hardware ハードウェア暗号化ドライブ Encrypting Drives 高速 簡単 低コスト!! 20
データ保護のコスト $ TCG OPAL HDD $ データ被害 セキュリテゖ ソリューション にはコストが掛かります しかし 対策が必要です 21
TPM ベースの強固な認証 22
Information Security Trends Trusted Platforms Fit データ暗号化ソリューションはソフトウェアからハードウェアの構成へ ゕプリケーション レ ヤ OS搭載 ハードウェゕで対応 ソフトウェゕFDE Bitlocker & EFS ハードウェゕ暗号化ドラ ブ 強固な認証が急成長 予算の増額なしに強固な認証が必要 統合/内蔵型セキュリテゖの成長 TPMがパスワード OTP バ オメトリックスの基本プラットフォーム ネットワーク ゕクセス制御ソリューション Trusted Network Connect (TNC), Cisco NAC 及びMicrosoft NAP プラットフォーム認証とハードウェゕ ベースの信頼の基点 Root Of Trust)の必要性 23
TPM & 強固な認証 ソフトウェアのみのOPTやPKIソリューションより安全 アルゴリズム実行(オプション と鍵の保存の保護 セキュリティの懸念はソフトウェア ベースのトークンの採用が障壁となる ハードウェア トークン スマート カード USBトークンと比較 して低コスト すでに大部分のPCに搭載 658745 OTP トークン トークンを採用するコストの削減 ハードウェアとしてのトークンを配布する費用の削減 トークンを紛失場合の代替えコストの削減 紛失や盗難されたトークンに対応するIT部門のサポートコストの低減 認証のために追加デバイスを必要としないためユーザにはより便利 セキュアなストレージとローカルでバイオメトリックスのデータを保護 スマートカード バイオメトリックス TPMを搭載のPCで高度なセキュリティとTCOの低減 24
Wave EMBASSY 25
Wave と TCG OPAL HDD ソリューション Wave 社のソフトウェアは以下の機能を提供 : 強固な起動前認証とゕクセス制御 l 簡単なユーザ ンタフェース 高度な管理機能 リモートでの集中管理 監査やコンプラゕンス検証についてのログ作成と出力 EMBASSY Trusted Drive Manager EMBASSY Remote Administration Server 26
Wave EMBASSY OPAL HDD ハードディスク Trusted Platform Modules (TPM) ローカルTPM管理 オーナとユーザのポリシー セットアップのためのウィザード プラットフォームを信頼するためのサービス 指紋センサ TCG OPAL HDD管理 イニシャライズ機能 ユーザとポリシーのアサイン プリブート パスワード管理 構成と登録用メニュー Window 認証 サインオンの低減 Trusted ハードの集約管理 TPM と OPAL HDDなど リモート アクティベーションと管理 鍵管理サービス 27
Wave ソリューションのネットワーク構成例 Embassy Trust Suite Embassy Remote Access Server 企業ネットワーク Active Directory GPO ヘルプデスク 操作コンソール クラゕント PC SQL データベース ERAS コゕ部分 スクリプト 管理者 28
Wave Trusted Drive Manager & EMBASSY Remote Administration Server TDM は OPAL HDD 機能をローカル PC で管理 ニシャリゼーション ユーザ管理とセキュリテゖ ポリシー管理 TDM は起動前のアクセスを制御 ゕクセス制御のない暗号化は十分ではない TDM は エンドユーザへ対して 非常に分かりやすく単純な構成 ERAS は TCG OPAL HDD 機能についてリモートでの集中管理機能を提供 ゼロ タッチ ゕクテゖベーションとコンフゖギュレーション 監査についてのログ作成と出力 リモート パスワード リカバリと強固なセキュリテゖ設定 ERAS は TPM 機能についてリモートでの集中管理機能を提供 オーナシップの確立 リモート パスワード リカバリと強固なセキュリテゖ設定 29
ユーザ シナリオ 30
TPMを基本とした認証 ユース ケース ユーザ認証 リモート アクセス: デジタル証明 OTP 指紋認証でVPNやWebへ 内部ファイアウォール: Windowsログオン情報の保護 暗号化メールの送受信と盗聴 なりすましの防止 機器認証 無線LANを使用するための802.1x認証を行うデジタル 認証 31
ある一日 自宅にて TPMを利用した認証 山田部長のPC ****** 内蔵TPM 太郎は自宅からトークンとしてTPMセキュリティ チッ プを利用して会社のVPNでPCにログオンをした 太郎は上司である山田部長へ営業報告書を電子メ ールで送るためにTPMハードウェア セキュリティを 利用して自動的に暗号化を行いメールを送信した 32
ある一日 オフィスにて TCG OPALで認証 ****** 太郎は事務所でPCの電源を入れ起動前認証でパ スワードを入力 通常 シングル サイン オン を使用しているが 今回はプロンプトでパスワー ド変更を要請された 太郎は営業報告書の作成を終え TPMにより保 護されたUSBトークンでバックアップを作成 この場合 共有設定がないので他のPCから暗号 化された報告書へアクセスできない 33
サーバを利用した TPMとOPAL OPALソリューション ユーザ シナリオ TPM技術を利用した自宅での使用例 利点 ハードウェゕ トークンの配布/交換/ヘルプデスクのコストを削 法規や内部セキュリテゖ ポリシーに対応するためにセキュリテゖを強化 ユーザ シナリオ TPM技術とTCG OPAL HDD利用した会社の使用例 利点 Waveの起動前認証は攻撃に対して強い セキュゕな構成内容のログでコンプラ ゕンスを保証 ユーザ シナリオ TPM技術とTCG OPAL HDD利用した外出先の使用例 利点 安全でリモートのパスワード リカバリ 特定のユーザとPCを無線LANで接続 簡単な操作で管理者はほんのわずかな時間でユーザとポリシーの変更可能 34
組込み機器への TCG OPAL HDD の利用 35
組込み機器への TPM と OPAL HDD の応用 組込み機器搭載の HDD の増加例 : MFP(Multi Function Printer) POS ターミナルキオスク端末 ゕーケード ゲーム機器ハードデゖスク レコーダなど 実際のシステム構成は PC とほぼ同じ == 1 認証は< 2データ流出 < 3 破棄後の処理 < 4データのリカバリ< TPMを使用した認証 OPAL HDDで保護 OPAL HDDで鍵消去 <<< 36
PC クラゕントとサーバデモ レノボジャパン株式会社様提供 1. TPM の制御 ; 有効 / 無効 オーナ取得 2. OPAL HDD; 1 イニシャライズ 2 ロック有効 / 無効 3 起動前認証 4 ディスク内容消去 Embassy Remote Access Server Embassy Trusted Drive Manager( クラゕント PC) 37