暗号化すべきデータかどうかを見極めるSMBのための暗号化プランニング

SMBにも効果的な暗号化が求められるようになっている。暗号化ツールは適切に導入すればメリットはあるが、使い方を誤ればリスクも大きい。

[Mike Rothman，TechTarget]

　暗号化はカエサルの時代からあり、当時はローマの将軍の間で通信の秘密を守るのに単純な暗号が使われていた。その後多くが変化したが、すべてが変わったわけではない。

　暗号化はデータ保護に欠かせない存在だ。多くの組織、特に大企業ではいまも暗号を使って重要データを保護している。インターネットを使っている何億もの人々が自覚なしに暗号を使っているという事実を、カエサルは誇りに思うに違いない。

　問題は、暗号化が常に必要かどうかということだ。まず自問してみるといい。自分が何をしようとしているのか、自社の事業内容は何なのか。よく知られているところでは医療や金融機関は長年、暗号化を利用している。米HIPAA法（Health Insurance Portability and Accountability Act：医療保険の相互運用性と説明責任に関する法律）、包括的な金融制度改革法（Gramm-Leach-Bliley Act）といった法律は、これを義務付けるものだ。暗号化は適切に使えば確かに個人情報を守ることができ、こうした法律の精神に沿ったものになる。

　しかし新しい規制も導入されている。クレジットカード決済を受け付けるなら、Payment Card Industry Data Security Standard（PCI DSS：PCIデータセキュリティ基準）について知っておく必要がある。これは決済情報と顧客の個人情報の保護を義務付けるもので、一歩先を行って非常に多くの場面で暗号化の利用を義務付けている。

　では、SMBはいつどこで暗号化を適用すべきだろうか。

　適切な場面を選び不要な場面を避ければ、かなりの時間と予算が節約できる。核心となる概念は何千年も前からあったにしても、実装面ではいまでも多少課題が残る。残念ながら、暗号化ツールの多くは、SMBが効果的に利用するには、まだあまりに複雑だ。

　さらに悪いことに、使い方を誤れば相当なリスクもある。会社のデータを大量に暗号化した後で手違いがあり、暗号鍵を紛失または盗まれるようなことがあれば、経営が立ち行かなくなる。鍵がなければデータも開けない。単純なことだ。もちろん、鍵を取り戻してデータ損失を免れる手段は存在するが、この心配をしておく必要があることに変わりはない。

初歩の初歩

関連ホワイトペーパー

暗号化 | SMB | コンプライアンス | 情報流出