フィンランドSSH Communications Securityは、認証と暗号化によって安全なリモートアクセスを実現するミドルウエア製品「SSH」(Secure Shell)を開発/提供するベンダーである。SSHプロトコルは、任意のプロトコルをカプセル化する用途やファイル転送用途(SFTP)、遠隔ログイン用途(ssh)などで使われる。SSHの開発者で同社CEOであるTatu Ylonen氏に、リモートアクセスの製品動向を聞いた。
情報セキュリティとSSHの動向は。
SSHは情報システムに浸透しており、幅広く使われている。サーバーの80%がSSH化されているなど、情報システムを管理する上で中枢の役割を担っている。ところが、SSHの鍵(公開鍵/秘密鍵)がうまく管理されていない。従来はID/パスワードの管理がテーマとなっていたが、現在ではSSHの鍵管理がテーマになっている。特に、金融機関ではSSH鍵の管理は最優先事項だ。
ある大手の銀行では、調べてみたところ、500万個のSSH鍵が見つかった。このうち90%は使われていない不要の鍵だった。システム管理者が、個々のシステム管理用に作成した鍵だ。過去10年にわたって、データベースアクセスやバックアップなどの個々の運用のために作られ、増え続けてきた。
鍵の管理は面倒だ。しかし、鍵が盗まれると、データの漏えいやデータの改ざん、システムの破壊につながる。このため、鍵のライフサイクルを管理する仕組み作りが必要だ。「誰がどの鍵を使えるのか」などをコントロールできるようにしておかなければならない。
また、特権ユーザー(システム管理者)のアクセス履歴を残すことも重要だ。これには、SSHを用いた暗号化通信をインターセプトして内容を検閲するための仕組みが必要である。
こうした需要に応える形で、二つの製品を提供している。国内ではディアイティが2012年5月から出荷している鍵のライフサイクル管理ソフト「Universal SSH Key Manager」と、2012年10月から出荷している特権アクセス監視ソフト「CryptoAuditor」だ。
