RSAセキュリティ(RSA Security LLC[4])は、アメリカ合衆国のコンピュータセキュリティおよびネットワークセキュリティに関するソフトウェアの開発会社である。通常はRSAの商号を使用している。
RSAは、共同設立者であるロナルド・リベスト(Ron Rivest)、アディ・シャミア(Adi Shamir)、レオナルド・エーデルマン(Len Adleman)の頭文字をとって命名されたもので、彼らが開発したRSA暗号と同様である[5]。
RSAの製品には、RSA BSAFE暗号化ライブラリやSecurID認証トークンなどがある。RSAは、アメリカ国家安全保障局(NSA)が開発したバックドアを製品に組み込んでいるとされている[6][7]。情報セキュリティに関するカンファレンスであるRSA Conferenceを毎年開催している。
RSAセキュリティは、1982年に独立企業として設立された。2006年にEMCコーポレーションに21億ドルで買収され、EMC内で事業部として運営された[8]。EMCは2016年にデル・テクノロジーズに買収され[9]、RSAはDell EMCインフラストラクチャソリューショングループの子会社となった[10]。
RSAはマサチューセッツ州ベッドフォードを拠点とし、ブラックネル(イギリス)とシンガポールに地域本部を、他に多数の国際事務所を置いている[11]。
RSAのスローガンは、"Business Driven Security"。
歴史
- 1982年 - 1977年にRSA暗号を開発したロナルド・リベスト、アディ・シャミア、レオナルド・エーデルマンがRSA Data Security(RSAデータセキュリティ)を設立[1][2]。
- 1995年 - 認証システム事業をベリサインに分社化し、新会社を設立。
- 1996年7月 - Security Dynamics Technologies Inc.がRSA Data Securityを買収。
- 1997年1月 - 最初のDESチャレンジを企画。DES暗号が初めて公に破られる。
- 1999年 - RSA Security Inc.に社名変更。
- 2001年2月 - 電子商取引のセキュリティを確保するためのデジタル証明書ベースの製品を開発し提供した非公開会社のXcert International, Inc.を買収。
- 2001年5月 - スマートカードやバイオメトリック認証製品を開発し非公開企業である3-G International, Inc.を買収。
- 2001年8月 - アイデンティティ管理製品であるClearTrustを開発した非公開会社Securant Technologies, Inc.を買収。
- 2005年12月 - 金融機関向けのオンラインセキュリティと不正防止ソリューションを専門とするイスラエルの非公開企業Cyotaを買収[12]。
- 2006年4月 - PassMark Securityを買収。
- 2006年9月14日 - RSAの株主が、EMCコーポレーションによる同社の21億ドルの買収を承認[8][13][14]。
- 2007年 - ハイデラバードに拠点を置く、ファイルとデータのセキュリティを専門とするインドの会社Valyd Softwareを買収。
- 2009年 - RSA Share Projectを開始[15]。このプロジェクトの一環として、RSA BSAFEライブラリの一部が無料で提供される。プロジェクトのプロモーションのため、1位の賞金が1万ドルのプログラミング競技会を開催した[16]。
- 2011年 - トロイの木馬やその他のオンライン攻撃によって侵害されたコンピュータ、情報資産、身元を特定するのを支援するCyberCrime Intelligence Serviceを導入[17]。
- 2016年9月7日 - マイケル・デルが主導した現金および株式取引によりデルテクノロジーズがEMCコーポレーションを買収したことにより、同社の子会社であるDell EMCインフラストラクチャソリューショングループの子会社となる。
SecurIDのセキュリティ侵害
2011年3月17日、RSAは二要素認証製品に対する攻撃を公開した。攻撃はSykipotの攻撃、2011年7月のSK Communicationsのハック、NightDragonシリーズの攻撃と似ていた[18]。RSAはこれを高度で執拗な脅威と呼んだ[19]。
NSAとの関係
RSAとアメリカ国家安全保障局(NSA)との関係は、長年にわたり変化している。ロイターのジョセフ・メン(Joseph Menn)[20]とサイバーセキュリティアナリストのジェフリー・カー(Jeffrey Carr)[21]は、両者がかつて対立関係にあったことに気づいた。初期には、RSAとその指導者は、強力な暗号の公共の利用の著名な主張者であった。そして、NSAとブッシュ・クリントン政権はその拡散を阻止しようとしていた。
For almost 10 years, I've been going toe to toe with these people at Fort Meade. The success of this company [RSA] is the worst thing that can happen to them. To them, we're the real enemy, we're the real target. We have the system that they're most afraid of. If the U.S. adopted RSA as a standard, you would have a truly international, interoperable, unbreakable, easy-to-use encryption technology. And all those things together are so synergistically threatening to the N.S.A.'s interests that it's driving them into a frenzy.—RSA president James Bidzos, June 1994[22]
ほぼ10年間、私はフォートミードでこれらの人々と足を踏み合おうとしている。この会社[RSA]の成功は、彼らにとって起こり得る最悪の事である。彼らにとって、我々は本当の敵、我々は本当の標的である。我々は彼らが最も恐れるステムを持っている。米国がRSAを標準として採用していれば、国際的で相互運用性があり、破壊されずに使いやすい暗号化技術を持つことになる。そしてそれらの全てのものは、相乗的にNSAの利益に脅威を与え、それが彼らを狂乱に追いやっている。—RSA社長 ジェームズ・ビゾス 1994年6月
1990年代半ば、RSAとビゾスは、米国政府が通信を解読できるようにするバックドアを備えた暗号チップであるクリッパーチップに対する「激しい」公然のキャンペーンを主導した。クリントン政権は電気通信会社にこのチップを使用させ、それを使用した製品の輸出制限を緩和した(この輸出制限により、RSAセキュリティはソフトウェアを国外に販売することができなかった)。RSAは、クリッパーチップに反対する自由主義者の市民らの運動に参加し、沈没しかけた帆船(クリッパー)の絵に"Sink Clipper!(クリッパーを沈めろ!)"という言葉が書かれたポスターを配布した[23]。また、RSAは、広く使われているDES暗号がNSAのような十分に資金を提供された団体によって破られていることを示すために、DESチャレンジを開始した。
2005年までRSAのエンジニアリング部門を率いていたVictor Chanによると、1999年にビゾスがCEOに就任した後、RSAとNSAの関係は対立から協調に変わったという。「私が参加したとき、ラボには10人がいて、我々はNSAと戦っていた。それは後に非常に異なる会社になった。[23]」例えば、2004年にRSAは、NSAが設計したDual_EC_DRBG乱数ジェネレータをBSAFEライブラリに使用する契約で、Dual_EC_DRBGの品質が悪く、おそらくバックドアが開けられているとの多くの示唆にもかかわらず、NSAから1,000万ドルを受け取ったと報告されている[24][25]。RSAは後に、Dual_EC_DRBGのクレプトグラフィー的なバックドアに関する声明を発表した。
We made the decision to use Dual EC DRBG as the default in BSAFE toolkits in 2004, in the context of an industry-wide effort to develop newer, stronger methods of encryption. At that time, the NSA had a trusted role in the community-wide effort to strengthen, not weaken, encryption. This algorithm is only one of multiple choices available within BSAFE toolkits, and users have always been free to choose whichever one best suits their needs. We continued using the algorithm as an option within BSAFE toolkits as it gained acceptance as a NIST standard and because of its value in FIPS compliance. When concern surfaced around the algorithm in 2007, we continued to rely upon NIST as the arbiter of that discussion. When NIST issued new guidance recommending no further use of this algorithm in September 2013, we adhered to that guidance, communicated that recommendation to customers and discussed the change openly in the media.—RSA, The Security Division of EMC[26]
より新しいより強力な暗号化方法を開発する業界全体の取り組みの中で、2004年に我々はBSAFEツールキットのデフォルトとしてDual EC DRBGを使用することを決定した。当時、NSAは暗号化を弱めるのではなく強化するコミュニティ全体の取り組みにおいて信頼された役割を担っていた。このアルゴリズムは、BSAFEツールキットで利用可能な複数の選択肢のうちの1つに過ぎず、ユーザーは常にニーズに合ったものを自由に選択できる。BSAFEツールキット内のオプションとして、このアルゴリズムを引き続きオプションとして使用した。それは、これがNIST標準として受け入れられ、FIPS準拠の価値があるためである。2007年にこのアルゴリズムについて懸念が表れたとき、我々は引き続きNISTをその議論の仲裁人として信頼した。2013年9月にNISTがこのアルゴリズムの使用を推奨しない新しいガイダンスを発行したとき、私たちはそのガイダンスを支持し、その勧告を顧客に伝え、その変化をメディアで公然と議論した。—RSA、EMCのセキュリティ部門
2014年3月、ロイター通信によって、NSAによって擁護された拡張乱数標準にRSAが適合させたと報道された。その後、暗号解析によって、拡張乱数が何らセキュリティを追加しないことが判明し、著名な標準化団体であるInternet Engineering Task Force(IETF)によって拒否された。しかし、拡張乱数は、Dual_EC_DRBGバックドアへの鍵を持つ攻撃者(おそらくNSAのみ)がNSAによるDual_EC_DRBGのバックドアを使用するのを数万倍高速にする。これは、拡張乱数の拡張されたノンスが、Dual_EC_DRBGの内部状態の一部を推測しやすくしたためである。Dual_EC_DRBGの出力のキャッシングは、RSAのJavaのバージョンのみが、拡張乱数を使用せずにクラックするのが難しかった。例えば、RSAのC言語のバージョンはすでに内部状態を決定するのに十分速いものだった。実際、RSAは、Dual_EC_DRBGのJava実装にのみ拡張乱数を実装していた[27][28]。
NSAのDual_EC_DRBGバックドアの疑惑
2004年から2013年にかけて、RSAはBSAFEツールキットとData Protection Managerというセキュリティソフトウェアを出荷した。このソフトウェアには、デフォルトの暗号論的擬似乱数生成器としてDual_EC_DRBGが含まれていた。これは後にNSAの盗聴用バックドアが含まれている疑いがかけられた。主張されているバックドアは、バックドアの秘密鍵を持っていたとされるNSAが、これらのツールで暗号化したデータを非常に簡単に解読できる。科学的に言えば、主張されているバックドアは、クレプトグラフィーを採用しており、本質的に、Adam YoungとMoti Yungによって1997年に発表されたディフィー・ヘルマンのクレプトグラフィー攻撃の一例である[29]。
製品
この節の加筆が望まれています。 |
RSAは、ハードウェアトークン、ソフトウェアトークン、および、1つのタイムコードを利用して何百ものテクノロジに二要素認証を提供するSecurID製品で最もよく知られている。2016年にRSAはSecurIDプラットフォームをRSA SecurID Accessとして再ブランド化した[30]。このリリースでは、SAML 2.0やその他のタイプのフェデレーションを使用して、リソースのシングルサインオン機能とクラウド認証を追加した。
RSA enVisionはセキュリティ情報イベント管理(SIEM)プラットフォームであり、「企業がコンプライアンスプロセスを簡素化するとともに、発生時にセキュリティをインシデント管理に最適化できるようにする」集中管理型ログ管理サービスを備えている[31]。2011年4月4日、EMCはNetWitnessを買収し、RSAグループに追加した。NetWitnessは、セキュリティインシデントを検出する完全なネットワークの可視性を得ることを目的としたパケットキャプチャツールだった[32]。このツールはRSA Security Analyticsとして再ブランド化され、RSA enVIsionとNetWitnessを組み合わせて、ログとパケットの取り込みを行ったSIEMツールとした。
RSA Archer GRC Platformは、ガバナンス、リスク管理、コンプライアンス(GRC)のビジネスレベルの管理をサポートするソフトウェアである。このプラットフォームにより、ユーザーは1行もソースコードを書くことなく、ソリューションを要件に適合させ、新しいアプリケーションを構築し、外部システムと統合することができる[33]。
関連項目
- セキュリティトークン
- RSA素因数分解チャレンジ
- RSA秘密鍵チャレンジ
- SecurID
外部リンク
出典
Wikiwand in your browser!
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.