ソフトウェアによる暗号化手法の知っておくべき特性：データを守るためにできること（2）（3/3 ページ）

ソフトウェアによる暗号化の短所

　ソフトウェアで行う暗号化には、短所もいくつかあります。ソフトウェアによる暗号化は、アドオンとして提供される傾向があり、通常はノートPCやPCの購入後にインストールされるため、セットアップに手間がかかることがあります。個々のクライアントPCやノートPCに大量のアドオンソリューションを導入するのは、IT部門にとってかなり重労働です。

　優れたFDEソリューション・ベンダであれば、インストール作業の安定化に多大な努力を払っており、暗号化処理のさなかにほかの作業を続けることも可能です。それでも、PCごとに長い処理時間がかかります。ハードディスクのデータをすべて暗号化するには、インストール前に行うべき全データの完全バックアップを除いたとしても数時間かかります。

　そのほかに、杞憂（きゆう）に終わる可能性は高いものの、ユーザーの強い抵抗が考えられます。いくら大丈夫だといわれても、ハードディスクのすべてのデータを暗号化するのは怖いものです。

　ソフトウェアでの暗号化で考えられるもう1つの問題は、パフォーマンスです。前述のとおり暗号化とは非常にCPU負荷の高い動作で、大量のデータを扱うあらゆる操作において、システムのパフォーマンスに影響を与えます。Microsoft Officeや電子メールのような通常のアプリケーションで扱う小さなデータ操作ではパフォーマンスの低下は感じられないかもしれませんが、大量のデータの読み書きを伴う操作では影響が生じます。

　ソフトウェアでの暗号化製品をいくつかテストしたところ、2.2ギガバイトの巨大な暗号化ファイルを扱う場合、アクセスに要する時間は大幅に増加しました。パフォーマンスに及ぼす影響はベンダによって異なりましたが、暗号化されていないファイルへのアクセスに比べて40?117％の増加がみられました。

　知られている限りでは、高品質なFDEソリューション・システムが破られたという事例はありませんが、汎用CPUを活用してソフトウェア内で行われる暗号化は、専用の暗号化ハードウェアによるものに比べて攻撃に弱くなります。

　どのような暗号化システムでも、セキュリティ上の最も重要な点は、暗号化キーの保護方法です。キーを盗むことができれば、攻撃者はデータを復号できます。高品質なソフトウェアソリューションではキーの全体をシステムに保存するようなことはしません。完全なキーは通常、ユーザーが入力した秘密の値（パスワードなど）から生成されます。この手法は、攻撃者がシステムを破るのを、不可能とはいえないまでも極めて難しくします。ただし、いったん有効なユーザーが自分自身を認証して暗号化キーが生成されると、トロイの木馬などの悪意あるプログラムによって暗号化キーが傍受され、攻撃者に送信される可能性があります。

　暗号化ハードウェア内で完全に暗号化が行われれば、ほかのプロセスはキーにアクセスできないため、盗難の可能性はずっと低くなります。ソフトウェアベースの暗号化はほとんどの場合十分な性能を発揮しますが、最も高度なセキュリティを必要とする企業組織ではハードウェアベースのソリューションの選択が必須です。

デバイスレベルとファイルレベル、どちらを選ぶべきか

　ソフトウェア型の暗号化ソリューションを検討する際の手法がいくつかあります。単純さとカバーされる範囲の広さからは、デバイスレベルソリューションとしてハードディスクのすべてのデータを暗号化するのが得策と思われるでしょう。しかし、ハードディスクの外にコピーしたり移動したりする場合のファイルの保護には、ファイルレベルの暗号化が便利です。重要なのは、必ずしもどちらか一方だけを選ぶ必要はないということです。

　FDEのようなデバイス暗号化とファイルレベル暗号化は相互に補完し、無理なく共存できます。2つの保護メカニズムが同時に機能する徹底的な防御方法は、暗号化にも当てはまります。これはいわば、銀行の大金庫の中の、鍵のかかった貸し金庫です。つまり、両方とも重要なニーズに対応します。次にこの2つの手法に関するガイドラインを示します。

　FDEなどのデバイス暗号化は、ファイルレベルの暗号化に比べて導入が容易です。FDEを使用する場合のポリシーは極めて単純で、ディスクのすべてのデータを暗号化します。ファイルレベルの暗号化の場合は、対象とするファイルを決定して確実に暗号化しようとするため、身動きが取れなくなることがあります。残念なことに、この作業には終わりがありません。ファイルレベルの暗号化手法はもっと柔軟ですが、同時にかなり複雑です。

　デバイスレベルの暗号化は、データがデバイスにある間は強力なデータ保護機能を発揮しますが、データがデバイス上にあるときしか保護されません。データがデバイスの外に出た途端、ほかのプロセスによって再暗号化しないかぎり保護されなくなります。ファイルレベルの暗号化では、送信またはコピーしてファイルがデバイス外に出たとしても暗号化されたままです。添付ファイルとしての送信、テープへのバックアップ、USBメモリ、CDなどの着脱式メディアへのコピーが可能で、いずれの場合も暗号化されたままです。また、ファイルレベルの暗号化を使用するとグループでの協同作業が可能で、ネットワークやデバイス経由で暗号化されたファイルを安全に共有できます。一方、デバイスレベルの暗号化手法であるFDEでは、デバイスからデータを読み取る段階で復号していくため、この場合は保護されません。

　デバイスレベルの暗号化では、正当なユーザーを認証してデバイスを有効化すると、デバイスにあるデータはすべて、そのユーザーがアクセス可能な範囲ですべて復号されます。このため、すべてのプロセスでそれ以上の認証や手動での復号を行う必要がなく、データへのアクセスが非常に容易になります。ただしそれは同時に、マシンで動作する悪意あるコードもすべて、デバイスのデータにアクセスできることを意味します。

　ファイルレベルの暗号化はかなり複雑なため、FDEほど急速に普及しているとはいえず、比較的新しく未成熟なソリューションです。FDEは大規模な実稼働環境で長年の実績がありますが、エンタープライズ向けのファイルレベルの暗号化はまだ本当に生まれたばかりです。

　まとめると、ファイルレベルの暗号化には大きな利点があり、長い目で見れば重要性が高まってデバイスレベルの暗号化と共存するようになると思われますが、現在のファイルレベルの暗号化ソリューションは大規模な組織にとってはあまりに未成熟です。ファイルレベルの暗号化も急速に進化しているため今後も注目は必要ですが、現時点ではほとんどの場合にデバイスレベルの暗号化であるFDEをお勧めします。

コストに見合う暗号化手法を取り入れよう

　組織にとって、PCやサーバのハードディスクから機密データを紛失する危険性は無視できません。BIOS、OS、またはハードディスクのパスワードでも最低限のセキュリティは得られますが、多くの企業組織ではさらにデータの暗号化によるセキュリティが必要です。

　保存データの暗号化について最善のソリューションを追求すると、通常はハードウェアでの暗号化の方が優れています。ただし、ハードウェアベースのソリューションが常に適切または実現可能とは限りません。例えば、ソフトウェアベースの暗号化は、暗号化のためのハードウェアを追加またはアップグレードするよりコストがかからないため、PCやノートブックのインストールベースの保護には最適な選択肢となる可能性があります。

　ファイルレベルの暗号化とデバイスレベルの暗号化を比較すると、ファイルレベルのソフトウェア暗号化はデバイスに依存しない一貫した保護が可能ですが、導入と管理が複雑になる可能性があります。一方、デバイスレベルのFDEは非常に成熟した実績あるソリューションで、導入や管理もずっと簡単です。また、デバイスにあるデータをすべて暗号化できるという、別のメリットもあります。

　では、ここまでの内容をまとめましょう。

• 現在、市場で入手可能なソリューションから考えると、企業組織のほとんどは、ソフトウェアベースのFDEによるソリューションがおそらく最も効果的に保護できると考えられます。
• 古いPCを新しいPCに交換する際には、可能なかぎり暗号化ハードディスクを搭載したPCを導入し、ハードウェアベースのディスク暗号化に切り替えていくべきでしょう。
• 最終的には、暗号化管理ソフトウェアが進化し、ハードウェアを活用して一元的管理されたシステムから、ファイルレベルとデバイスレベルの両方の手法を含む複数層の暗号化を行うようになると予想されます。

　次回はこの次世代型暗号化ハードディスクドライブに焦点を絞ります。