連載
» 2008年07月14日 00時00分 公開

データを守るためにできること(2):ソフトウェアによる暗号化手法の知っておくべき特性 (1/3)

機密データを保護するための手法を追う連載第2回では、さまざまなベンダからソリューションが提供されている「ソフトウェアによる暗号化手法」にフォーカスします(編集部)

[日本シーゲイト株式会社]

データはいつ、どこで暗号化されているのか

 コンピュータのハードディスクには、通常何らかの機密データが保存されています。これらのデータのセキュリティを確保することはビジネス上最優先事項とされてきました。本連載では、データの保護について理解を深め、また適切なソリューションを選定する際に役立つよう、この重要な主題に関する記事を掲載していきます。第1回では、ハードディスクへのアクセスを抑制する手法の長所と短所に焦点を絞り、いわば玄関の鍵に当たる部分を取り上げました。

 シリーズ第2回では、保護における次の層、つまりディスクドライブにあるデータの実際の暗号化に焦点を絞ります。

機密データを暗号化する意味を再確認する

 OSやBIOSが提供するパスワードを利用した管理方法では、機密データの基本的な保護は行えますが、残念ながら比較的簡単に破られてしまいます。例えば、OSやBIOSだけがパスワードで守られている場合、ハードディスクを取り外して、IDとパスワードが判明しているシステムに取り付けるだけで、その保護を破ってハードディスクのデータにアクセスすることが可能です。

 一方、暗号化を適切に実装すれば保護性能が格段に向上します。実データが暗号化されているため、攻撃者がハードディスクを別のシステムに取り付けたとしても、実データはまったく読めません。従って、アクセス制御による防御が破られたとしても、ハードディスクのデータは保護されたままです。

 データを暗号化するもう1つの大きな理由は、保存先のストレージデバイスを破棄する場合でも、データは保護されるということです【注】。PCやサーバを最終的に処分したり、用途を変更して再利用する場合でも暗号化されたデータを第三者が解読することは困難であるため、全データの上書き消去やデバイスの物理的な破壊にかかるコストを節減できます。

【注】 ストレージデバイスの廃棄および再利用は、企業により制定されているガイドラインで方法が指定されている場合があります。以下の記事も参考にしてください。
ISMSで考える運用管理のヒント(2)
そのメディア、そのまま捨てて良いのでしょうか?

http://www.atmarkit.co.jp/fsecurity/rensai/isms_hint02/isms_hint01.html
Security&Trustウォッチ(50)せめて、ハードディスクの最期はこの手で……
http://www.atmarkit.co.jp/fsecurity/column/ueno/50.html

 そしておそらく企業組織にとって最も重要な点は、機密データの暗号化を必須とする法規制が多数あるということです。コンプライアンス違反は組織の存亡にかかわります。機密データが保存された1台のノートPCの盗難が、簡単に数百万ドルの損害になってしまう現実があるのです。

ソフトウェアベースの暗号化ソリューションの概要

 今回の記事のテーマであるソフトウェア暗号化は、大きく2つのカテゴリに分かれます。1つは対象となるデバイスにあるデータをすべて暗号化しておくデバイスレベルシステム、もう1つは特定のファイルやフォルダ単位で暗号化するファイルレベルのシステムです。それぞれに長所と短所があります。

デバイスレベルの暗号化システムとは

 デバイスレベルの暗号化システムは、ハードディスクやUSBメモリといった特定のデバイスに対して暗号化を行います。暗号化処理は、一般的にデバイスのドライバ内で行われ、ユーザーは個別に暗号化されているかどうかを気にする必要はありません。ユーザーによる認証が完了すると、デバイスに書き込まれるデータはすべて自動的に暗号化され、またデバイスから読み出されるすべてのデータは同じく自動的に復号されます。正しいIDとパスワードで認証が完了しないかぎり復号は機能せず、データは暗号化されたままで、デバイスから意味ある情報としては読み取れません。ただし、暗号化がデバイス自身に依存するため、そのデバイス外でコピーしてほかのメディアまたはシステムに保存したデータは、意識的に何らかのプロセスでデータをあらためて暗号化しないかぎり保護されません。

 デバイスレベルの暗号化ソリューションを提供するフルディスク暗号化(FDE:Full Disk Encryption)製品は、1990年代前半にソフトウェアでは実現していましたが、最近になってソフトウェア以外のデバイスレベルの暗号化製品が台頭してきました。これら新世代のデバイス暗号化製品は、USBメモリ、CD、DVDなどのメディアに保存されたデータを暗号化します。

ファイルレベルの暗号化システムとは

 ファイルレベルの暗号化システムはアプリケーション層で動作します。つまり、アプリケーション内で個々のファイルが作成されるときに暗号化されることが特徴です。ハードディスクなどのメディアに保存されたそれぞれのファイルは暗号化された状態です。暗号化はアプリケーションで行われるためデバイスに依存せず、そのためデータはどこに移動しても保護されたままです。この方法で暗号化されたファイルは保存場所を問わず、またネットワーク経由でも安全に送信できます。

 ファイルレベルの暗号化システムにはさまざまな形態があります。手動で指定したファイルを暗号化するユーティリティもあれば、ほかのアプリケーションと密接に統合されたものもあります。例えば、Microsoft Officeのプラグインとして実行し、「社外秘」のような特定の単語や、クレジットカード番号、社会保障番号などのデータが含まれるファイルのみを自動的に暗号化するように設定することもできます。また、特定のフォルダを機密ファイル用として指定し、そのフォルダに保存されるファイルをすべて暗号化するよう設定することもできます。

 ファイルレベルの暗号化システムも、個別のユーティリティとして長い間利用されていました。現在では、一括管理やグループ間での安全なファイル共有が可能なエンタープライズ版が台頭しつつあります。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。