暗号化とは、情報を“解読が難しい文字列”に変換する方法だ。(続きはページの末尾にあります)
Microsoftが提供しているフルディスク暗号化機能「BitLocker」に「Direct Memory Access」や「Azure Active Directory」などの新機能が加わった。Windowsを利用する企業にとってどんなメリットがあるのだろうか。
クラウドではセキュリティ対策として、自前の暗号持ち込み(Bring Your Own Encryption=BYOE)が大切だ。米Forrester Researchのアナリスト、ジェームズ・スタテン氏が解説する。
ノートPCのセキュリティ対策の筆頭級だと評価される「HDD暗号化」だが、十分に普及しているとはいえないのが現状だ。理由は、HDD暗号化製品の導入や管理の複雑さにある。
社外に持ち出したノートPCの情報漏えいを防ぐ有効な手段となるのがHDD暗号化だ。本稿は、HDD暗号化の最新動向をまとめた3つのホワイトペーパーを紹介する。
まずはどの程度のセキュリティが必要なのかを見極めた上で、ハードウェアとソフトウェアの暗号化製品の中から適切なものを選ぶといい。
米国政府文書に要求されるのと同じ暗号化技術を使用してPCデータを暗号化し、米国2カ所のデータセンターに毎日自動バックアップを行う「DataShelter」の提供を開始した。
暗号化技術は長い間、軍隊や政府を中心に機密情報を保護するために使われてきた。現代では、暗号化は情報を利用するときと送受信するときの両方で使用されている。データ暗号化の関連用語である「保存データ」(Data at Rest)は、コンピュータや記憶装置に保存されているデータのことを指す。「転送中のデータ」(Data in Motion)は、ネットワークを移動中のデータのことを指す。
暗号化はさまざまな状況で使われる。エンドユーザーがATMで取引をしたり、スマートフォンでオンラインショッピングをしたりするたびに、暗号化技術で送信データが保護される。ユーザー企業は、データに不正アクセスされた際に、機密情報の漏えいを防ぐために暗号化を利用している。情報漏えいは企業の財務や評判を著しく損なう可能性があるためだ。
暗号化は、さまざまな種類のIT資産や個人情報を保護するための重要な役割を果たしている。暗号化技術の主な機能は次の通り。
暗号化の主な目的は、システムで保存しているデータや、ネットワークで転送中のデータを保護し、情報漏えいを防ぐことだ。個人情報や企業経営に関わる機密情報、軍事機密など、幅広いデータの保護に暗号化技術は利用されている。データを暗号化することで、企業は情報漏えいによる高額な罰則や訴訟、収益の減少、評判の低下といったリスクを回避することができる。
暗号化は単にデータを保護するためだけでなく、機密データの暗号化を義務付ける法規制の要件を満たすためにも使用される。暗号化によって、権限のない第三者や脅威者がデータにアクセスしても、そのデータを理解できないようにする。例えばクレジットカードの業界団体であるPCI SSC(Payment Card Industry Security Standards Council)が定めた規格「Payment Card Industry Data Security Standard」(PCI DSS)は、クレジットカードの加盟店に対し、顧客のクレジットカードのデータを、静止時および公衆ネットワークを介して送信する際の両方で暗号化することを義務付けている。
暗号化は、権限のない人間が機密データを解読できないようにする。データの所有者が自分の情報にアクセスできないようにすることもできる。一方で暗号化キーを紛失または破壊した場合、データの所有者はそのデータから永久に締め出されるリスクがある。サイバー攻撃者がデータそのものではなく、暗号鍵を狙うリスクもある。暗号文を復号するための暗号鍵は必ず存在しており、攻撃者はその場所を探す良いアイデアを持っているからだ。暗号鍵を手に入れれば、データを解読するのは簡単だ。
暗号鍵管理の安全性を高める方法は幾つかある。いずれもバックアップやリストア(復旧)のための作業に、複雑な工程を追加することになる。そのため暗号鍵の管理を厳重にすればするほど、大規模な災害が発生した場合にサーバから暗号鍵を取り出して新しいサーバに複製するといった、システムの復旧作業にかかる時間が長くなる可能性がある。
暗号鍵の管理システムを導入するだけでは十分ではない。IT担当者は、暗号鍵管理システムを保護するための包括的な計画を立てなければならない。この計画には暗号鍵を他のデータとは別のサーバでバックアップを取ったり、大規模な災害が発生した場合にバックアップサーバから暗号鍵を迅速に取り出せるような仕組みを用意したりすることなどが含まれる。
暗号化のもう一つの課題は、サイバー犯罪者が暗号化を自分たちの目的に利用できるということだ。これはランサムウェア(身代金要求型マルウェア)攻撃の増加につながっている。犯罪者は機密データにアクセスし、独自のアルゴリズムで暗号化した後、被害組織が身代金を用意するまでデータを人質に取る。
暗号化システムの主な構成要素として、データと暗号化エンジン、暗号鍵管理の3つが挙げられる。これらの構成要素を別々のサーバで実行することで、システム全体が危険にさらされる可能性を低減する。ノートPCといった端末用の暗号化システムの場合は、3つのコンポーネント全てが同じ端末で動作する場合もある。
暗号化システムを導入すると、データは暗号化されていないか、暗号化されているかのどちらかの状態になる。暗号化されていないデータは平文と呼ばれ、暗号化されたデータは暗号文と呼ばれる。暗号化アルゴリズムは、データの暗号化と復号に使われる。暗号化アルゴリズムとは、特定のルールとロジックに従ってデータを暗号化する数学的手法だ。
暗号化エンジンは暗号化アルゴリズムを使い、データを暗号化する。暗号化アルゴリズムには複数の種類があり、複雑さや復号の難易度が異なる。暗号化エンジンは、出力される暗号文が一意であることを保証するために、アルゴリズムと組み合わせて暗号鍵を使用する。
データが平文から暗号文に変換されたら、適切な暗号鍵を使用することによってのみ解読できる。この鍵は暗号化アルゴリズムの種類によって、データの暗号化に使われた鍵と同じ鍵であったり、別の鍵であったりする。暗号化と復号に同じ鍵を使う場合は共通鍵暗号方式、別の鍵を使う場合は、公開鍵暗号方式と呼ぶことがある。
暗号化されたデータを権限のないサイバー攻撃者が傍受すると、攻撃者はデータを暗号化するためにどの暗号が使われ、データを復号するためにどの鍵が必要かを推測しなければならない。この情報を推測するのに時間と困難が伴うからこそ、暗号化は役立つセキュリティ対策手段になる。
ITmediaはアイティメディア株式会社の登録商標です。
