HadoopディストリビュータのClouderaが,Hadoopエコシステムのセキュリティ戦略を進めている。同社は先月,ビッグデータの暗号化とキー管理の新興企業であるGazzangを買収した。この取引はClouderaをセキュリティ面で強化すると同時に,Gazzangの技術チームが先鞭をつけた,Hadoopセキュリティの卓越した中心的存在の創造にもつながるものだ。
2010年にテキサスで創業したGazzangは社員数40名程の,Clouderaのコミュニティでは名の通った存在だ。同社の技術は2012年にClouderaの認証を受けている。その主力商品であるzNcryptとzTrustee – 現在はCloudera Navigator EncryptとCloudera Navigator Trusteeと呼ばれる – はすでに,Clouderaのビッグデータプラットフォームの最新版であるCloudera Enterprise 5用のパッケージとしてダウンロード入手可能であり,Fortune 100企業を含む200社以上の有償ユーザも存在する。
今回の買収でClouderaは,Gazzangの技術を同社のEnterprise製品ラインに,これまでより緊密に統合できるようになる。HIPAA-HITECH(健康保険)やPCI-DSS(支払用カード),FERPA(教育)などの公的規制,あるいはEUデータ保護条例を遵守する法的義務を負った企業に対する,統合ソリューションの提供が可能になるのだ。
技術的観点から見たNavigator Encryptは,eCryptfs(エンタープライズレベルの暗号化ファイルシステム),dm-crypt(ディスク暗号化)などのオープンソース技術を活用して,ブロックレベルのTDE(Transparent Data Encryption)や,特定のシステムプロセスへのアクセス制限を目的としたプロセスベースのアクセス制御を提供している。ファイルシステムのレベルで動作し,IntelのAES-NI(Advanced Encryption Standard New Instructions)をサポートすることにより,HDFSファイル,HBaseレコード,Hiveメタデータ監査ログ,その他すべてのファイルをオン・ザ・フライで暗号化および複合化すると同時に,パフォーマンスへの影響を最小限に留めている。
Gazzangでマーケティングおよびアライアンスのディレクタを務めていたDavid Tishgart氏がClouderaのブログで説明しているように,最新の業界標準であるAES-256暗号化で機密情報を暗号化するだけでは,主要なコンプライアンスを十分に満足することはできない。加えて鍵管理やアクセス制御,プロセスやドキュメントなどに関する考慮も必要である。Navigator Trusteeはこのような目的のための製品だ。ユニバーサルキーマネージャで暗号化オブジェクト(SSL証明書,SSH公開鍵および秘密鍵,Java KeyStoreなど)の保管と管理を行うとともに,オブジェクトの承認や有効期限,失効,参照制限といった,幅広いセキュリティルールを施行することが可能になる。オブジェクトやリクエスト,ポリシに関するすべてのアクティビティを追跡するための詳細なログ取得や,レポート機能も提供する。
Hadoop Summit 2014でのプレゼンテーションにおいてClouderaは,コンプライアンスを考える上で特に考慮すべき6つのポイントを強調した。
- 暗号化プロセス(アルゴリズム,キー長)は,NISTの特別刊行物800-111に一致しているか?
- 暗号化キーは,暗号化されたデータとは別のデバイスあるいは場所に保管されているか?
- どのような認証およびアクセス管理が適用されているか?
- 何らかの違反があった場合,免責を主張できる方法でデータは確保されているか?
- 暗号モジュールはFIPS 140-2認定を満たしているか?
- コンプライアンスの範疇に入る可能性のあるデータは,すべて機密データとして考慮されているか?
アリゾナで情報セキュリティに関する調査指導を行うSecurosisのCTOを務めるAdrian Lane氏は,今回の買収に関して,ブログ記事で次のようにコメントしている。
暗号化とキー管理をプラットフォームにバンドルすることは,デプロイが迅速かつ容易になるという面で,ユーザにメリットがあります。どのような買収にもある程度のリスクとデメリットはありますが,今回の買収にはそれほど多くのデメリットが存在しないため,批判をするのは難しいでしょう。Clouderaとしては巧妙な買収ですね。
今回のClouderaの発表は,Hadoopエコシステムのセキュリティ不足という悪評への対処策として,2013年にローンチされたIntelのProject RhinoとClouderaのApache Sentry (この2プロジェクトは後に合併した),2014年5月のHortonworksによるXA Secure買収などに続くものだ。