暗号化とは、情報を“解読が難しい文字列”に変換する方法だ。(続きはページの末尾にあります)
メールの本文や添付ファイルを暗号化する「メール暗号化ソフトウェア」が進化している。導入のしやすさや安全性に配慮したお勧め製品5種を、6つの視点で評価した。
一般ユーザー向けクラウドストレージサービスとして広く使われている「Dropbox」のビジネス向け機能が大幅に強化された。使い勝手や管理機能はどう向上したのか。詳しく説明する。
複数のクラウドサービスのデータ暗号化機能を持つ「CipherCloud」。Salesforce CRMやChatterの添付ファイルを暗号化してAmazon S3へ保管することも可能だ。製品の特徴を紹介する。
BYODが進む中で、社内外のファイルの受け渡しに便利なDropboxの利用が増えている。一方、セキュリティ面でその利用に慎重な姿勢を示す管理者も多い。米Dropboxは企業導入を促進するためにセキュリティ強化に乗り出した。
暗号鍵管理機能をSaaSとして提供し、導入を容易にしたクラウド向け暗号化サービスが、トレンドマイクロの「Trend Micro SecureCloud」である。その特徴を紹介する。
クラウドに安全にファイルを保存するのに役立つのが「クラウド向け暗号化製品」だ。DropboxなどのクラウドストレージやAmazon EC2向け製品が充実しつつある。最新動向をまとめた。
HDDを丸ごと暗号化する「HDD暗号化製品」。本稿はHDD暗号化製品の運用支援機能とセキュリティ機能に焦点を当て、各製品の機能を比較する。
ノートPCの盗難・紛失時の情報漏えい対策に最適な「HDD暗号化」製品。本稿は、HDD暗号化製品の選定ポイントや導入・運用時の注意点を解説する。
HDD暗号化を実現するのはWindows標準機能の「BitLocker」だけではない。充実するHDD暗号化製品の選定ポイントを解説する。
暗号化技術は長い間、軍隊や政府を中心に機密情報を保護するために使われてきた。現代では、暗号化は情報を利用するときと送受信するときの両方で使用されている。データ暗号化の関連用語である「保存データ」(Data at Rest)は、コンピュータや記憶装置に保存されているデータのことを指す。「転送中のデータ」(Data in Motion)は、ネットワークを移動中のデータのことを指す。
暗号化はさまざまな状況で使われる。エンドユーザーがATMで取引をしたり、スマートフォンでオンラインショッピングをしたりするたびに、暗号化技術で送信データが保護される。ユーザー企業は、データに不正アクセスされた際に、機密情報の漏えいを防ぐために暗号化を利用している。情報漏えいは企業の財務や評判を著しく損なう可能性があるためだ。
暗号化は、さまざまな種類のIT資産や個人情報を保護するための重要な役割を果たしている。暗号化技術の主な機能は次の通り。
暗号化の主な目的は、システムで保存しているデータや、ネットワークで転送中のデータを保護し、情報漏えいを防ぐことだ。個人情報や企業経営に関わる機密情報、軍事機密など、幅広いデータの保護に暗号化技術は利用されている。データを暗号化することで、企業は情報漏えいによる高額な罰則や訴訟、収益の減少、評判の低下といったリスクを回避することができる。
暗号化は単にデータを保護するためだけでなく、機密データの暗号化を義務付ける法規制の要件を満たすためにも使用される。暗号化によって、権限のない第三者や脅威者がデータにアクセスしても、そのデータを理解できないようにする。例えばクレジットカードの業界団体であるPCI SSC(Payment Card Industry Security Standards Council)が定めた規格「Payment Card Industry Data Security Standard」(PCI DSS)は、クレジットカードの加盟店に対し、顧客のクレジットカードのデータを、静止時および公衆ネットワークを介して送信する際の両方で暗号化することを義務付けている。
暗号化は、権限のない人間が機密データを解読できないようにする。データの所有者が自分の情報にアクセスできないようにすることもできる。一方で暗号化キーを紛失または破壊した場合、データの所有者はそのデータから永久に締め出されるリスクがある。サイバー攻撃者がデータそのものではなく、暗号鍵を狙うリスクもある。暗号文を復号するための暗号鍵は必ず存在しており、攻撃者はその場所を探す良いアイデアを持っているからだ。暗号鍵を手に入れれば、データを解読するのは簡単だ。
暗号鍵管理の安全性を高める方法は幾つかある。いずれもバックアップやリストア(復旧)のための作業に、複雑な工程を追加することになる。そのため暗号鍵の管理を厳重にすればするほど、大規模な災害が発生した場合にサーバから暗号鍵を取り出して新しいサーバに複製するといった、システムの復旧作業にかかる時間が長くなる可能性がある。
暗号鍵の管理システムを導入するだけでは十分ではない。IT担当者は、暗号鍵管理システムを保護するための包括的な計画を立てなければならない。この計画には暗号鍵を他のデータとは別のサーバでバックアップを取ったり、大規模な災害が発生した場合にバックアップサーバから暗号鍵を迅速に取り出せるような仕組みを用意したりすることなどが含まれる。
暗号化のもう一つの課題は、サイバー犯罪者が暗号化を自分たちの目的に利用できるということだ。これはランサムウェア(身代金要求型マルウェア)攻撃の増加につながっている。犯罪者は機密データにアクセスし、独自のアルゴリズムで暗号化した後、被害組織が身代金を用意するまでデータを人質に取る。
暗号化システムの主な構成要素として、データと暗号化エンジン、暗号鍵管理の3つが挙げられる。これらの構成要素を別々のサーバで実行することで、システム全体が危険にさらされる可能性を低減する。ノートPCといった端末用の暗号化システムの場合は、3つのコンポーネント全てが同じ端末で動作する場合もある。
暗号化システムを導入すると、データは暗号化されていないか、暗号化されているかのどちらかの状態になる。暗号化されていないデータは平文と呼ばれ、暗号化されたデータは暗号文と呼ばれる。暗号化アルゴリズムは、データの暗号化と復号に使われる。暗号化アルゴリズムとは、特定のルールとロジックに従ってデータを暗号化する数学的手法だ。
暗号化エンジンは暗号化アルゴリズムを使い、データを暗号化する。暗号化アルゴリズムには複数の種類があり、複雑さや復号の難易度が異なる。暗号化エンジンは、出力される暗号文が一意であることを保証するために、アルゴリズムと組み合わせて暗号鍵を使用する。
データが平文から暗号文に変換されたら、適切な暗号鍵を使用することによってのみ解読できる。この鍵は暗号化アルゴリズムの種類によって、データの暗号化に使われた鍵と同じ鍵であったり、別の鍵であったりする。暗号化と復号に同じ鍵を使う場合は共通鍵暗号方式、別の鍵を使う場合は、公開鍵暗号方式と呼ぶことがある。
暗号化されたデータを権限のないサイバー攻撃者が傍受すると、攻撃者はデータを暗号化するためにどの暗号が使われ、データを復号するためにどの鍵が必要かを推測しなければならない。この情報を推測するのに時間と困難が伴うからこそ、暗号化は役立つセキュリティ対策手段になる。
ITmediaはアイティメディア株式会社の登録商標です。
