RSAセキュリティ
種類 | 子会社 |
---|---|
業種 | ネットワークセキュリティと認証 |
設立 | 1982年[1][2] |
創業者 | [1] |
本社 | 、 |
主要人物 | |
製品 | ネットワークセキュリティソフトウェア、二要素認証、GRC、不正防止、アイデンティティ&アクセス管理 |
従業員数 | 1,319人(2007年現在) |
親会社 | Dell EMC Infrastructure Solutions Group |
ウェブサイト |
www |
RSAセキュリティ(RSA Security LLC[4])は、アメリカ合衆国のコンピュータセキュリティおよびネットワークセキュリティに関するソフトウェアの開発会社である。通常はRSAの商号を使用している。
RSAは、共同設立者であるロナルド・リベスト(Ron Rivest)、アディ・シャミア(Adi Shamir)、レオナルド・エーデルマン(Len Adleman)の頭文字をとって命名されたもので、彼らが開発したRSA暗号と同様である[5]。
RSAの製品には、RSA BSAFE暗号化ライブラリやSecurID認証トークンなどがある。RSAは、アメリカ国家安全保障局(NSA)が開発したバックドアを製品に組み込んでいるとされている[6][7]。情報セキュリティに関するカンファレンスであるRSA Conferenceを毎年開催している。
RSAセキュリティは、1982年に独立企業として設立された。2006年にEMCコーポレーションに21億ドルで買収され、EMC内で事業部として運営された[8]。EMCは2016年にデル・テクノロジーズに買収され[9]、RSAはDell EMCインフラストラクチャソリューショングループの子会社となった[10]。
RSAはマサチューセッツ州ベッドフォードを拠点とし、ブラックネル(イギリス)とシンガポールに地域本部を、他に多数の国際事務所を置いている[11]。
RSAのスローガンは、"Business Driven Security"。
歴史
[編集]- 1982年 - 1977年にRSA暗号を開発したロナルド・リベスト、アディ・シャミア、レオナルド・エーデルマンがRSA Data Security(RSAデータセキュリティ)を設立[1][2]。
- 1995年 - 認証システム事業をベリサインに分社化し、新会社を設立。
- 1996年7月 - Security Dynamics Technologies Inc.がRSA Data Securityを買収。
- 1997年1月 - 最初のDESチャレンジを企画。DES暗号が初めて公に破られる。
- 1999年 - RSA Security Inc.に社名変更。
- 2001年2月 - 電子商取引のセキュリティを確保するためのデジタル証明書ベースの製品を開発し提供した非公開会社のXcert International, Inc.を買収。
- 2001年5月 - スマートカードやバイオメトリック認証製品を開発し非公開企業である3-G International, Inc.を買収。
- 2001年8月 - アイデンティティ管理製品であるClearTrustを開発した非公開会社Securant Technologies, Inc.を買収。
- 2005年12月 - 金融機関向けのオンラインセキュリティと不正防止ソリューションを専門とするイスラエルの非公開企業Cyotaを買収[12]。
- 2006年4月 - PassMark Securityを買収。
- 2006年9月14日 - RSAの株主が、EMCコーポレーションによる同社の21億ドルの買収を承認[8][13][14]。
- 2007年 - ハイデラバードに拠点を置く、ファイルとデータのセキュリティを専門とするインドの会社Valyd Softwareを買収。
- 2009年 - RSA Share Projectを開始[15]。このプロジェクトの一環として、RSA BSAFEライブラリの一部が無料で提供される。プロジェクトのプロモーションのため、1位の賞金が1万ドルのプログラミング競技会を開催した[16]。
- 2011年 - トロイの木馬やその他のオンライン攻撃によって侵害されたコンピュータ、情報資産、身元を特定するのを支援するCyberCrime Intelligence Serviceを導入[17]。
- 2016年9月7日 - マイケル・デルが主導した現金および株式取引によりデルテクノロジーズがEMCコーポレーションを買収したことにより、同社の子会社であるDell EMCインフラストラクチャソリューショングループの子会社となる。
SecurIDのセキュリティ侵害
[編集]2011年3月17日、RSAは二要素認証製品に対する攻撃を公開した。攻撃はSykipotの攻撃、2011年7月のSK Communicationsのハック、NightDragonシリーズの攻撃と似ていた[18]。RSAはこれを高度で執拗な脅威と呼んだ[19]。
NSAとの関係
[編集]RSAとアメリカ国家安全保障局(NSA)との関係は、長年にわたり変化している。ロイターのジョセフ・メン(Joseph Menn)[20]とサイバーセキュリティアナリストのジェフリー・カー(Jeffrey Carr)[21]は、両者がかつて対立関係にあったことに気づいた。初期には、RSAとその指導者は、強力な暗号の公共の利用の著名な主張者であった。そして、NSAとブッシュ・クリントン政権はその拡散を阻止しようとしていた。
For almost 10 years, I've been going toe to toe with these people at Fort Meade. The success of this company [RSA] is the worst thing that can happen to them. To them, we're the real enemy, we're the real target. We have the system that they're most afraid of. If the U.S. adopted RSA as a standard, you would have a truly international, interoperable, unbreakable, easy-to-use encryption technology. And all those things together are so synergistically threatening to the N.S.A.'s interests that it's driving them into a frenzy.—RSA president James Bidzos, June 1994[22]
ほぼ10年間、私はフォートミードでこれらの人々と足を踏み合おうとしている。この会社[RSA]の成功は、彼らにとって起こり得る最悪の事である。彼らにとって、我々は本当の敵、我々は本当の標的である。我々は彼らが最も恐れるステムを持っている。米国がRSAを標準として採用していれば、国際的で相互運用性があり、破壊されずに使いやすい暗号化技術を持つことになる。そしてそれらの全てのものは、相乗的にNSAの利益に脅威を与え、それが彼らを狂乱に追いやっている。—RSA社長 ジェームズ・ビゾス 1994年6月
1990年代半ば、RSAとビゾスは、米国政府が通信を解読できるようにするバックドアを備えた暗号チップであるクリッパーチップに対する「激しい」公然のキャンペーンを主導した。クリントン政権は電気通信会社にこのチップを使用させ、それを使用した製品の輸出制限を緩和した(この輸出制限により、RSAセキュリティはソフトウェアを国外に販売することができなかった)。RSAは、クリッパーチップに反対する自由主義者の市民らの運動に参加し、沈没しかけた帆船(クリッパー)の絵に"Sink Clipper!(クリッパーを沈めろ!)"という言葉が書かれたポスターを配布した[23]。また、RSAは、広く使われているDES暗号がNSAのような十分に資金を提供された団体によって破られていることを示すために、DESチャレンジを開始した。
2005年までRSAのエンジニアリング部門を率いていたVictor Chanによると、1999年にビゾスがCEOに就任した後、RSAとNSAの関係は対立から協調に変わったという。「私が参加したとき、ラボには10人がいて、我々はNSAと戦っていた。それは後に非常に異なる会社になった。[23]」例えば、2004年にRSAは、NSAが設計したDual_EC_DRBG乱数ジェネレータをBSAFEライブラリに使用する契約で、Dual_EC_DRBGの品質が悪く、おそらくバックドアが開けられているとの多くの示唆にもかかわらず、NSAから1,000万ドルを受け取ったと報告されている[24][25]。RSAは後に、Dual_EC_DRBGのクレプトグラフィー的なバックドアに関する声明を発表した。
We made the decision to use Dual EC DRBG as the default in BSAFE toolkits in 2004, in the context of an industry-wide effort to develop newer, stronger methods of encryption. At that time, the NSA had a trusted role in the community-wide effort to strengthen, not weaken, encryption. This algorithm is only one of multiple choices available within BSAFE toolkits, and users have always been free to choose whichever one best suits their needs. We continued using the algorithm as an option within BSAFE toolkits as it gained acceptance as a NIST standard and because of its value in FIPS compliance. When concern surfaced around the algorithm in 2007, we continued to rely upon NIST as the arbiter of that discussion. When NIST issued new guidance recommending no further use of this algorithm in September 2013, we adhered to that guidance, communicated that recommendation to customers and discussed the change openly in the media.—RSA, The Security Division of EMC[26]
より新しいより強力な暗号化方法を開発する業界全体の取り組みの中で、2004年に我々はBSAFEツールキットのデフォルトとしてDual EC DRBGを使用することを決定した。当時、NSAは暗号化を弱めるのではなく強化するコミュニティ全体の取り組みにおいて信頼された役割を担っていた。このアルゴリズムは、BSAFEツールキットで利用可能な複数の選択肢のうちの1つに過ぎず、ユーザーは常にニーズに合ったものを自由に選択できる。BSAFEツールキット内のオプションとして、このアルゴリズムを引き続きオプションとして使用した。それは、これがNIST標準として受け入れられ、FIPS準拠の価値があるためである。2007年にこのアルゴリズムについて懸念が表れたとき、我々は引き続きNISTをその議論の仲裁人として信頼した。2013年9月にNISTがこのアルゴリズムの使用を推奨しない新しいガイダンスを発行したとき、私たちはそのガイダンスを支持し、その勧告を顧客に伝え、その変化をメディアで公然と議論した。—RSA、EMCのセキュリティ部門
2014年3月、ロイター通信によって、NSAによって擁護された拡張乱数標準にRSAが適合させたと報道された。その後、暗号解析によって、拡張乱数が何らセキュリティを追加しないことが判明し、著名な標準化団体であるInternet Engineering Task Force(IETF)によって拒否された。しかし、拡張乱数は、Dual_EC_DRBGバックドアへの鍵を持つ攻撃者(おそらくNSAのみ)がNSAによるDual_EC_DRBGのバックドアを使用するのを数万倍高速にする。これは、拡張乱数の拡張されたノンスが、Dual_EC_DRBGの内部状態の一部を推測しやすくしたためである。Dual_EC_DRBGの出力のキャッシングは、RSAのJavaのバージョンのみが、拡張乱数を使用せずにクラックするのが難しかった。例えば、RSAのC言語のバージョンはすでに内部状態を決定するのに十分速いものだった。実際、RSAは、Dual_EC_DRBGのJava実装にのみ拡張乱数を実装していた[27][28]。
NSAのDual_EC_DRBGバックドアの疑惑
[編集]2004年から2013年にかけて、RSAはBSAFEツールキットとData Protection Managerというセキュリティソフトウェアを出荷した。このソフトウェアには、デフォルトの暗号論的擬似乱数生成器としてDual_EC_DRBGが含まれていた。これは後にNSAの盗聴用バックドアが含まれている疑いがかけられた。主張されているバックドアは、バックドアの秘密鍵を持っていたとされるNSAが、これらのツールで暗号化したデータを非常に簡単に解読できる。科学的に言えば、主張されているバックドアは、クレプトグラフィーを採用しており、本質的に、Adam YoungとMoti Yungによって1997年に発表されたディフィー・ヘルマンのクレプトグラフィー攻撃の一例である[29]。
製品
[編集]この節の加筆が望まれています。 |
RSAは、ハードウェアトークン、ソフトウェアトークン、および、1つのタイムコードを利用して何百ものテクノロジに二要素認証を提供するSecurID製品で最もよく知られている。2016年にRSAはSecurIDプラットフォームをRSA SecurID Accessとして再ブランド化した[30]。このリリースでは、SAML 2.0やその他のタイプのフェデレーションを使用して、リソースのシングルサインオン機能とクラウド認証を追加した。
RSA enVisionはセキュリティ情報イベント管理(SIEM)プラットフォームであり、「企業がコンプライアンスプロセスを簡素化するとともに、発生時にセキュリティをインシデント管理に最適化できるようにする」集中管理型ログ管理サービスを備えている[31]。2011年4月4日、EMCはNetWitnessを買収し、RSAグループに追加した。NetWitnessは、セキュリティインシデントを検出する完全なネットワークの可視性を得ることを目的としたパケットキャプチャツールだった[32]。このツールはRSA Security Analyticsとして再ブランド化され、RSA enVIsionとNetWitnessを組み合わせて、ログとパケットの取り込みを行ったSIEMツールとした。
RSA Archer GRC Platformは、ガバナンス、リスク管理、コンプライアンス(GRC)のビジネスレベルの管理をサポートするソフトウェアである。このプラットフォームにより、ユーザーは1行もソースコードを書くことなく、ソリューションを要件に適合させ、新しいアプリケーションを構築し、外部システムと統合することができる[33]。
関連項目
[編集]外部リンク
[編集]出典
[編集]- ^ a b c “Distributed Team Cracks Hidden Message in RSA's 56-Bit RC5 Secret-Key Challenge” (October 22, 1997). February 22, 2009閲覧。
- ^ a b Kaliski, Burt (October 22, 1997). “Growing Up with Alice and Bob: Three Decades with the RSA Cryptosystem”. April 29, 2017閲覧。
- ^ “Amit Yoran Named President at RSA”. December 29, 2014閲覧。
- ^ “RSA Security LLC Company Profile”. May 15, 2013閲覧。
- ^ “RSA History”. June 8, 2011閲覧。
- ^ “NSA infiltrated RSA security more deeply than thought - study”. Reuters. 2014年3月31日閲覧。
- ^ “RSA endowed crypto product with second NSA-influenced code”. Ars Technica. 2014年3月31日閲覧。
- ^ a b “EMC Announces Definitive Agreement to Acquire RSA Security, Further Advancing Information-Centric Security”. Rsasecurity.com (2006年6月29日). 2012年5月12日閲覧。
- ^ “Dell Technologies - Who We Are”. Dell Technologies Inc.. 9 September 2016閲覧。
- ^ “Dell Technologies Top FAQs”. 11 September 2016閲覧。
- ^ http://www.emc.com/corporate/about-rsa/index.htm
- ^ “RSA buys Cyota for $145 million”. 2017年8月2日閲覧。
- ^ “EMC Newsroom: EMC News and Press Releases”. Emc.com. 2012年5月12日閲覧。
- ^ “EMC Completes RSA Security Acquisition, Announces Acquisition of Network Intelligence”. Rsasecurity.com (2006年9月18日). 2012年5月12日閲覧。
- ^ “RSA Share Project”. 4 January 2013閲覧。
- ^ “Announcing the RSA Share Project Programming Contest” (24 Mar 2009). 4 January 2013閲覧。
- ^ “RSA CyberCrime Intelligence Service”. rsa.com. 2013年12月19日閲覧。
- ^ “Command and Control in the Fifth Domain”. Command Five Pty Ltd (February 2012). February 10, 2012閲覧。
- ^ “RSA hit by advanced persistent threat attacks”. Computer Weekly (March 18, 2011). May 4, 2011閲覧。
- ^ Joseph Menn. “Exclusive: Secret contract tied NSA and security industry pioneer”. 2017年8月2日閲覧。
- ^ Carr, Jeffrey. (2014-01-06) Digital Dao: NSA's $10M RSA Contract: Origins. Jeffreycarr.blogspot.dk. Retrieved on 2014-05-11.
- ^ Steven Levy (12 Jun 1994). “Battle of the Clipper Chip”. New York Times. 8 Mar 2014閲覧。
- ^ a b Menn, Joseph (December 20, 2013). “Exclusive: Secret contract tied NSA and security industry pioneer”. Reuters. San Francisco December 20, 2013閲覧。
- ^ Green, Matthew. (2013-12-28) A Few Thoughts on Cryptographic Engineering: A few more notes on NSA random number generators. Blog.cryptographyengineering.com. Retrieved on 2014-05-11.
- ^ Bruce Schneier. “The Strange Story of Dual_EC_DRBG”. 2017年8月2日閲覧。
- ^ RSA. “RSA Response to Media Claims Regarding NSA Relationship”. 8 Mar 2014閲覧。
- ^ Menn, Joseph (31 March 2014). “Exclusive: NSA infiltrated RSA security more deeply than thought - study”. Reuters 4 April 2014閲覧。
- ^ http://dualec.org/
- ^ A. Young, M. Yung, "Kleptography: Using Cryptography Against Cryptography" In Proceedings of Eurocrypt '97, W. Fumy (Ed.), Springer-Verlag, pages 62–74, 1997.
- ^ “RSA Changes the Identity Game: Unveils New RSA SecurID® Suite”. www.rsa.com. 2017年6月6日閲覧。
- ^ “RSA Envision”. EMC. 19 December 2012閲覧。
- ^ “Press Release: EMC Acquires Netwitness”. www.emc.com. 2017年6月6日閲覧。
- ^ “RSA Archer Platform”. EMC. 13 November 2015閲覧。