第2回 ソフトウェアによる暗号化手法の知っておくべき特性


日本シーゲイト株式会社
2008/7/14
機密データを保護するための手法を追う連載第2回では、さまざまなベンダからソリューションが提供されている「ソフトウェアによる暗号化手法」にフォーカスします(編集部)

 データはいつ、どこで暗号化されているのか

 コンピュータのハードディスクには、通常何らかの機密データが保存されています。これらのデータのセキュリティを確保することはビジネス上最優先事項とされてきました。本連載では、データの保護について理解を深め、また適切なソリューションを選定する際に役立つよう、この重要な主題に関する記事を掲載していきます。第1回では、ハードディスクへのアクセスを抑制する手法の長所と短所に焦点を絞り、いわば玄関の鍵に当たる部分を取り上げました。

 シリーズ第2回では、保護における次の層、つまりディスクドライブにあるデータの実際の暗号化に焦点を絞ります。

 機密データを暗号化する意味を再確認する

 OSやBIOSが提供するパスワードを利用した管理方法では、機密データの基本的な保護は行えますが、残念ながら比較的簡単に破られてしまいます。例えば、OSやBIOSだけがパスワードで守られている場合、ハードディスクを取り外して、IDとパスワードが判明しているシステムに取り付けるだけで、その保護を破ってハードディスクのデータにアクセスすることが可能です。

 一方、暗号化を適切に実装すれば保護性能が格段に向上します。実データが暗号化されているため、攻撃者がハードディスクを別のシステムに取り付けたとしても、実データはまったく読めません。従って、アクセス制御による防御が破られたとしても、ハードディスクのデータは保護されたままです。

 データを暗号化するもう1つの大きな理由は、保存先のストレージデバイスを破棄する場合でも、データは保護されるということです【注】。PCやサーバを最終的に処分したり、用途を変更して再利用する場合でも暗号化されたデータを第三者が解読することは困難であるため、全データの上書き消去やデバイスの物理的な破壊にかかるコストを節減できます。

【注】
ストレージデバイスの廃棄および再利用は、企業により制定されているガイドラインで方法が指定されている場合があります。以下の記事も参考にしてください。

 ISMSで考える運用管理のヒント(2)
そのメディア、そのまま捨てて良いのでしょうか?
http://www.atmarkit.co.jp/fsecurity/rensai/isms_hint02/isms_hint01.html

Security&Trustウォッチ(50)
せめて、ハードディスクの最期はこの手で……
http://www.atmarkit.co.jp/fsecurity/column/ueno/50.html

 そしておそらく企業組織にとって最も重要な点は、機密データの暗号化を必須とする法規制が多数あるということです。コンプライアンス違反は組織の存亡にかかわります。機密データが保存された1台のノートPCの盗難が、簡単に数百万ドルの損害になってしまう現実があるのです。

 ソフトウェアベースの暗号化ソリューションの概要

 今回の記事のテーマであるソフトウェア暗号化は、大きく2つのカテゴリに分かれます。1つは対象となるデバイスにあるデータをすべて暗号化しておくデバイスレベルシステム、もう1つは特定のファイルやフォルダ単位で暗号化するファイルレベルのシステムです。それぞれに長所と短所があります。

●デバイスレベルの暗号化システムとは

 デバイスレベルの暗号化システムは、ハードディスクやUSBメモリといった特定のデバイスに対して暗号化を行います。暗号化処理は、一般的にデバイスのドライバ内で行われ、ユーザーは個別に暗号化されているかどうかを気にする必要はありません。ユーザーによる認証が完了すると、デバイスに書き込まれるデータはすべて自動的に暗号化され、またデバイスから読み出されるすべてのデータは同じく自動的に復号されます。正しいIDとパスワードで認証が完了しないかぎり復号は機能せず、データは暗号化されたままで、デバイスから意味ある情報としては読み取れません。ただし、暗号化がデバイス自身に依存するため、そのデバイス外でコピーしてほかのメディアまたはシステムに保存したデータは、意識的に何らかのプロセスでデータをあらためて暗号化しないかぎり保護されません。

 デバイスレベルの暗号化ソリューションを提供するフルディスク暗号化(FDE:Full Disk Encryption)製品は、1990年代前半にソフトウェアでは実現していましたが、最近になってソフトウェア以外のデバイスレベルの暗号化製品が台頭してきました。これら新世代のデバイス暗号化製品は、USBメモリ、CD、DVDなどのメディアに保存されたデータを暗号化します。

●ファイルレベルの暗号化システムとは

 ファイルレベルの暗号化システムはアプリケーション層で動作します。つまり、アプリケーション内で個々のファイルが作成されるときに暗号化されることが特徴です。ハードディスクなどのメディアに保存されたそれぞれのファイルは暗号化された状態です。暗号化はアプリケーションで行われるためデバイスに依存せず、そのためデータはどこに移動しても保護されたままです。この方法で暗号化されたファイルは保存場所を問わず、またネットワーク経由でも安全に送信できます。

 ファイルレベルの暗号化システムにはさまざまな形態があります。手動で指定したファイルを暗号化するユーティリティもあれば、ほかのアプリケーションと密接に統合されたものもあります。例えば、Microsoft Officeのプラグインとして実行し、「社外秘」のような特定の単語や、クレジットカード番号、社会保障番号などのデータが含まれるファイルのみを自動的に暗号化するように設定することもできます。また、特定のフォルダを機密ファイル用として指定し、そのフォルダに保存されるファイルをすべて暗号化するよう設定することもできます。

 ファイルレベルの暗号化システムも、個別のユーティリティとして長い間利用されていました。現在では、一括管理やグループ間での安全なファイル共有が可能なエンタープライズ版が台頭しつつあります。

 
1/3

Index
ソフトウェアによる暗号化手法の知っておくべき特性
Page1
データはいつ、どこで暗号化されているのか
機密データを暗号化する意味を再確認する
ソフトウェアベースの暗号化ソリューションの概要
  Page2
暗号化ソリューションの主要な特性
ソフトウェアによる暗号化を検討する理由
  Page3
ソフトウェアによる暗号化の短所
デバイスレベルとファイルレベル、どちらを選ぶべきか
コストに見合う暗号化手法を取り入れよう

データを守るためにできること バックナンバー


データを守るためにできること 連載インデックス

TechTargetジャパン

Security&Trust フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT 新着記事

キャリアアップ

- PR -
@IT Sepcial
→ @IT Special ヘ

イベントカレンダー

PickUpイベント

- PR -
もっと見る
- PR -

お勧め求人情報

ホワイトペーパーTechTargetジャパン

@IT Sepcial
→ @IT Special ヘ
ソリューションFLASH