シマンテックの認証局「Vault」、1100 万ドルをかけたジェームズ・ボンド並みのセキュリティ ※ この記事は UBM 社の許可を得て日本ベリサインが作成した下記 URL の翻訳記事です。 Symantec's Certificate Authority 'Vault': $11M Worth Of James Bond-Like Security http://www.crn.com/news/security/240005644/symantecs-certificate-authority-vault-11m-worth-of-james-bond-like-security.htm Ken Presti, CRN 2012 年 8 月 16 日 10:00 AM ET まるで先進セキュリティの実質的な見本のように設計された、シマンテック（NSDQ:SYMC）の認証局 Vault は、今日の電子商取引業界になくてはならない電子証明書を保護するための、最先端のセキュリティ対策の集合体である。CRN 主催の「認証局 Vault ツアー」が始まる前から、それが極めて厳重なセキュリティという点で、怪物的な存在であることは明らかだった。まず、記者団の代表者が、ベルトに取り付けたリールケースから社員バッジを引っ張り出し、施設の入り口に備え付けられている電子読取装置にカードをタッチしたが、何も起こらなかった。シマンテック社内の他の場所なら、そのバッジは万能の働きをしたかもしれない。しかし、この得体の知れない、案内表示のない建物は違っていた。この建物には、シマンテックの PKI や電子証明書に関連した最も高度な、最重要機密であるインフラの大部分が保管されている。ここに保管されている情報に値が付けられるとすれば、それらを盗み出そうと考える犯罪者の想像の中ではじかれる数字に過ぎないだろう。そのような試みは、これまで一度もなかったし、このツアーの目的も、それが一体なぜなのかを CRN が検証することにあった。インターホンから警備員の声が鳴り響き、記者団の代表者は、我々が何者で、なぜそこにいるのかを詰問された。最終的に我々は小さなロビーに通された。4 つの室内ドアがあり、そのうち 3 つのドアには、外部ドアと同様にカードキーと暗証番号がなければ開かない電子ロックが付いていた。4 番目のドアは、冒頭で行われる概要説明を行うスタッフで占められた、普通の会議室に通じていた。サイドテーブルの小さなトレイには軽食が用意されていた。我々は内心、このサンドイッチには小型の追跡デバイスがひそんでいて、これから一生、我々の居場所を送信し続けるのではないか、と危惧した。我々が目撃しようとしているのは、トム・クランシーの小説の内容を彷彿とさせるものだったが、サンドイッチはローテクであって欲しい。何はともあれ、ローテクなサンドイッチであることは確信できた。電子商取引がはじめて一般に利用されるようになって以来、ここまで成功を収めてきたのは、電子証明書によるところが大きい。電子証明書は、買い手が正真正銘、実際に取引をしようとしている会社に決済情報を送信していることを、立証できるように設計されているからである。買い手と売り手の間に入りこめるなら、豊富な情報を得て、文字通り豊富な富に転換できる。より高度なセキュリティだからこそ、シマンテック（NSDQ:SYMC）の証明書サービスに委託するオンライン販売業者や他の組織の信頼を得るためには、電子証明書キーの開発もキーの保管も非常に重要な機能であり、実際のセキュリティだけでなく、外見上もセキュリティの信頼性を体現していなくてはならない。昨年、ある競合認証局が現場でセキュリティ上のトラブルを起こし、その後間もなく破産申請した。ひとたび信頼を失えば、回復するのは至難の業となる。「PKI サービスプロバイダというビジネスモデルを通して、当社はお客様に対して、重要なセキュリティ機能を外注するよう依頼していることになるのです」と語るのは、前職である米国海軍の任期中に暗号技術の専門家となったシニアマネージャの Ralph Claar 氏である。「そのため、お客様のデータや情報を十分に保護できるという高い信頼を獲得する必要があります。だからこそ、非常に強い、堅ろうなセキュリティインフラが必要とされるのです」と続けた。データセンターは 13 カ所にあり、1 日平均 45 億回の証明書検証クエリーを 24 時間 365 日体制でチェックする。メンテナンスのためデータセンターは個別にオフラインになるが、ネットワーク全体の稼働時間は 2004 年以来 100 パーセントを維持している。ネットワーク運用センターでは、社内システムだけでなく、インターネットの健全性も監視している。世界のどこかで機能停止があれば、シマンテックのネットワーク運用センターが捕捉し、シマンテックがサポートしているサービス全体を監視する一方で、ISP のサービス停止について顧客からの問い合わせに回答する。マウンテンビュー（カリフォルニア）には、デラウェアにある一次施設のバックアップ施設が存在する。シマンテックでは、ネットワーク全体のディザスタリカバリシステムも収容するこの建物のセキュリティに、1100 万ドル以上を投じた。この建物のセキュリティとしては、カメラ、カードキーと暗証番号、ファイアウォール、IDS システム、バイオメトリクス読取装置、警備員の配置、壁に埋め込まれた鉄格子（コンクリートの床板から実際に屋根まで伸びている。したがって、壁に穴を掘るという試みは無駄である）などがある。サーバーラックは、軍レベルのロックと、6 名だけに知らされている数字の組み合わせで守られている。停電対策として、ディーゼル発電機が常に待機状態だ。冗長システムにも、さらに冗長システムが用意されているようである。トラストサービスインフラ運用部門の運用責任者である Hans Gustavson 氏はこう語る。「さまざまなデバイスやシステムからのイベントデータを集結させ、それらのイベントを関連付けて、環境内の異常や権限のない活動を見つけるためのソリューションも用意しています」冗長性がカギを握る Gustavson 氏によれば、「可用性とパフォーマンスを維持するための要件に直結するものは冗長性」だそうだ。「極めて重要なサービスであるという特性ゆえに、当社では 100 パーセントのサービス稼働時間を維持するよう、常に努力しています。だからこそ、機械や電気や建物といった面のみならず、ネットワーク、コンピュータ、ストレージといった面でも、これ程までの冗長性が実装されているのです。計画済みのメンテナンスであるか、計画外の問題であるかに関係なくサービスを維持するため、当社ではこのようなソリューションをすべて実装しました」施設内部に近づくにつれ、セキュリティ上の予防措置は一層厳重さを増した。データセンターや、いわゆる「キーセレモニールーム」などの最高機密エリアまで来ると、カードキーと暗証番号を補完するものとして、指紋読取装置と虹彩スキャナーが加わった。さらに、入室するためには、複数の権限保持者がチェックインしてからでないとドアが開かない。データセンターに入室する権限のある従業員は、デフォルトでは、キーセレモニールームに入室する権限を持たない。入室するには、特にその場所の権限を持つ従業員の随行が必要だ。逆もまた同様である。この種の人間ファイアウォールを確立することで、内部関係者によるあらゆる不正行為のリスクが軽減する。内部関係者による潜在的な脅威に伴うリスクをさらに軽減するためには、そうした場所に入る従業員をバックグラウンドで継続的にチェックし、チェック状況を常に保つことが必要だ。「政府機関でもなければできないような厳格さです」と Gustavson 氏は語った。「民間の組織としてできる、最も厳格なバックグラウンドチェックです」キーセレモニールームと呼ばれている理由は、顧客を招き入れ、オンライン証明書をサポートするためのキー（秘密鍵）を作成する場所だからだ。 Claar 氏は、「実際にキーが作成され、CA（認証局）作成、つまりルート証明書の作成にかかわるライフサイクルにおけるすべてのイベントが行われる場所です」と説明してくれた。「ですから、キー生成に使用されるコンピュータに悪質なコードがインストールされるようなことは、絶対にあってはいけません。すべては整合性を保証するために存在します」顧客立ち合いのもと、非常に長い、詳細なスクリプトが作成される。このスクリプトには行単位で従わなければならない。また、その間室内にいる人間、キーそのもの、コンピュータ画面のショットなど、イベント全体が数台のカメラによって記録される。「すべては、必要な場合に法廷に提出できるよう計画されたものです」と Claar は言う。「もっとも、それが必要になったことは今まで一度もありませんが」金庫室セレモニールームの内側から続いている別室には、いくつもの金庫があり、実際のキーデバイスが保管されている。金庫内部は、周囲のものすべてが全焼したとしても摂氏 60 度未満を保つように設計されている。キーセレモニールームと同様、この金庫室もまた、権限のあるスタッフが最低 2 名いないと入室できないようになっている。人数は、システムが厳格に追跡している。このツアーには権限のある 3 名が同席してくれたが、2 名が金庫室に入ろうとしたときにアクセスが拒否された。なぜなら、2 名が去れば、セレモニールームに残るのが１名だけになってしまうからだ。ルートキーと中間キーを取り出すには、まるで子どものおもちゃのようなカラフルなプラスチック鍵がいくつも必要だ。これらの鍵は、顧客企業のさまざまな担当者と、シマンテック（NSDQ:SYMC）が保持している。中間キーとルートキーを取り出すには、これらの鍵のうち少なくとも 3 つが必要になる。厳重な記録プロセスは、新しいデバイスの追加、デバイスの除去など、実質的にすべての機能で行われる。また、権限のある担当者が機密エリアを立ち去るときは、チェックインしたときと同様の手順によって、チェックアウトする必要がある。一連の手順を踏まないと、警備員に通知が送られる。警備員は、ビデオの記録をチェックする。なぜなら、警備員にはその部屋に入る権限がないからだ。既製の装置を使用して素早く簡単に物理システムを交換するために、コンピュータやネットワークに使用されるハードウェアは、特に変わりばえするものではない。しかしセキュリティとソフトウェアは、通常の販売業者から提供されるものとはかなり異なる。この施設で使用するハードウェアはすべて、NIST（アメリカ国立標準技術研究所）で承認されていなければならない。 Claar 氏は次のように総括した。「何を使うかではなく、どう使うかが重要なのです」発行： 2012 年 8 月 16 日