- Column
- 金融業界におけるAI時代の技術実装の道筋
生成AI・量子コンピューターの時代にはDSPMによるデータの可視化と暗号鍵の管理が最重要に
「Fintech Business Informatics 2026」より、タレスDISジャパン サイバーセキュリティプロダクト事業本部 舟木 康浩 氏
- 提供:
- タレスDISジャパン
マルチクラウド環境で鍵の生成から破棄までを一元管理
暗号鍵の厳格な管理はデータ保護のためには不可欠だ。だが「クラウド全盛の今、それが一筋縄ではいかない事情がある」と舟木氏は指摘する。
例えばマルチクラウド環境では「暗号鍵が、どこで、どう管理されているかの把握が困難になりがちだ」(舟木氏)。そのため「鍵の生成から破棄までを自社でコントロールする『BYOK(Bring Your Own Key:独自の鍵の持ち込み)』や外部鍵管理システムの導入検討が急増している」(同)という。
そうした状況下でタレスのデータセキュリティプラットフォーム「CipherTrust Manager」は、DSPMの要件を満たしながら、鍵をオンプレミス、クラウド、仮想環境で統一したポリシーで管理し、暗号鍵とデータを分離して管理する(図2)。
加えて、データセキュリティリスクとコンプライアンスを継続的に監視・管理する「CipherTrust DSPM」を用意。さらに2023年に買収した米Impervaが持つ技術により強化したデータベース監査機能や、監視カメラなどの物理セキュリティとの連携を可能にする「タレスデータセキュリティファブリック」も提供する。
舟木氏は「これら製品の連携により、オンプレミスとクラウドを問わないハイブリッド環境におけるDSPMを確立する。正規ユーザーのアクセスであっても、不審な振る舞いを検知した瞬間にブロックするといった動的な防御が可能になる」と強調する。
耐量子計算機暗号への移行は“急がば回れ”の切り替え能力確保も有効
一方、量子コンピューターの脅威への対抗策である「PQC(Post-Quantum Cryptography:耐量子計算機暗号)」への移行について舟木氏は、金融庁の報告書『預金取扱金融機関の耐量子計算機暗号への対応に関する検討会報告書』を引用する(図3)。
同報告書は、2030年代半ばを目安にPQCを利用可能な状態にすることを推奨し、それに向けて不可欠な事前準備として次の2点の確立を求めている。
クリプトインベントリー(暗号資産の台帳化) :社内の全暗号情報を洗い出し、どこで、どのアルゴリズムが使われているかを管理する仕組み
クリプトアジリティ(暗号俊敏性) :システムを停止せず、別の暗号化技術に柔軟に切り替える能力
重要なシステムからの移行が原則だが舟木氏は「あえて重要度の低いデータから着手する『急がば回れ』の戦略も有効だ」と助言する。
具体的には、影響が小さい範囲で暗号化と鍵管理の運用サイクルを回し、システムを停止せずに暗号アルゴリズムを切り替えられるクリプトアジリティを組織として体得する。「その知見を持って重要システムへ適用すれば、結果として最短かつ安全な移行につながる」(同)というわけだ。
舟木氏は「タレスには20年以上にわたる暗号化技術の蓄積がある。現状の可視化からPQC移行計画の策定、実装までを包括的に支援できる」と力を込める。
