日本年金機構の情報漏えい事件は、個人情報のずさんな管理や危機意識の低さなど、さまざまな問題を浮き彫りにしましたが、筆者が注目したのは“内規に違反してパスワードを設定していなかった”ということ。内規違反よりも“パスワードを設定すればよいという運用が問題でしょ”ってことに突っ込まないと。
2015年5月に発生した日本年金機構の情報漏えい事件が公になってすぐ、その詳細がまだ明らかになっていない時点でも、@IT読者のようにITに詳しい方なら事件の全貌について、だいたいの想像が付いたと思います。
年金業務の基幹システムはクローズドなもののはずですし、外部からの攻撃で情報が直接抜き取られるなんてあり得ません。
漏えいしたという項目が異なる3種のデータのうち、その一部は内規に違反してパスワードさえ設定されていなかったということ、そして、メールの添付ファイルを開いたことが発端といったことから筆者が想像したのは、年金業務のクローズドなシステムから何らかの定型外の業務のためにデータを抽出し、作業者のPCやファイルサーバーに保存したものが外部に送信されてしまったということです。
そして、このパスワードとはWordやExcelなど、Microsoft Officeが標準で備えている「パスワードを使用した暗号化保護機能」(以下、「パスワード保護機能」と表記)のことではないかとも想像しました。
そこで筆者が思ったのは、“内規に違反してパスワードを設定していなかったのはけしからん”ではなく、個人情報のデータを保護するのに「Microsoft Officeのパスワード保護機能を利用していることの方が問題」ということです(画面1)。
もちろん、問題となっているパスワードが、実際にはMicrosoft Officeのパスワード保護機能のことではないかもしれませんが、今回はMicrosoft Officeのパスワード保護機能と仮定して話を進めます。
Microsoft Officeのパスワード保護機能は、単にファイルを開くためのパスワードを設定するだけでなく、ファイルの内容を暗号化する保護機能です。かつては「RC4」(Microsoft Office 2003以前)という強度の弱い暗号化アルゴリズムが使用されていましたが、最近のバージョンなら「AES(高度暗号化標準)128ビット」を使用して高度に暗号化されます。この128ビット長の暗号化鍵で暗号化されたデータを解読するのは困難でしょう。
しかし、暗号化の解除に必要なのは128ビット長の暗号化鍵ではなく、ユーザーが設定した数文字のパスワードです。類推されやすいパスワードを使用していたら、あっという間に判明してしまうでしょうし、たとえ複雑なパスワードを使用していても6文字程度の長さだと辞書攻撃や総当たり攻撃の手法でプログラム的に行えば解読は時間の問題です。その時間は、高性能なコンピューターを複数台使用すれば短縮できるでしょう(画面2)。相手はMicrosoft Officeのファイルなので、本気で解読しようとする人には時間もありますし、パスワードを何度間違っても通報されることはありません。
つまり、どんなに高度な暗号化アルゴリズムで暗号化されていたとしても、そのロックを解除する鍵が“人が設定するパスワード”というのでは、個人情報のような極めてセンシティブな情報を保護する方法としては全く適切ではないということです。
また、今はインターネットをちょっと検索するだけで、Microsoft Officeのパスワードを解読するための怪しげなソフトウエアが簡単に手に入る時代です(画面3)。本来、この種のソフトウエアは自分で設定しながら忘れてしまったパスワードを何とか解読したいという人向けのものですが、このソフト自体がマルウエアということもあります。パスワードを忘れてどんなに困っていたとしても、決してお勧めできるものではありません。
何度も言いますが、今回の情報漏えい事件で問題となったパスワードは、Microsoft Officeのパスワード保護機能のことではないかもしれません。もし、Microsoft Officeのパスワード保護機能で個人情報や機密情報を保護しているつもりになっている企業や組織がありましたら、今どきパスワードだけの保護なんて役に立たないということを知っておくべきでしょう。
Microsoft Officeのパスワード保護機能で、ふと頭に浮かんだのが、そういえばマイクロソフト自身もパスワードを解除するためのツールを無償提供していたということです。そのツールとは、Office 2013およびOffice 2010のファイルに設定されたパスワードを解除または新しいパスワードに付け替えることができる「Office DocRecryptツール」です(画面4)。
“パスワード解除ツールをマイクロソフト自身が出しているくらいだから、パスワードの解読は難しいことではない”と誤解しないでください。このツール、本当はパスワードを解読するためのものではありません。
Office DocRecryptツールは、Microsoft Officeのパスワード保護機能で用いる公開鍵を企業内に事前に展開しておき、パスワードが分からなくなってしまったときの救済策としてパスワードとは別の鍵(公開鍵に対応する秘密鍵)を使ってパスワードを解除(暗号化を解除)または再設定するためのツールです。
事前に配布した公開鍵が暗号化に使用されていない場合、Office DocRecryptツールはパスワードの解除や再設定をできません(画面5)。また、公開鍵に対応する秘密鍵を持っていない限り、Office DocRecryptツールは役に立ちません。
話がそれてしまいましたが、ツールに頼らなくても、人が設定したパスワードなんて、時間さえあれば必ず解読されてしまうということです。個人情報や機密情報を保護するのに、パスワードだけの1要素による保護は適切ではありません。
悪意のある攻撃を完全に防ぐことは不可能ですし、いくら厳しいセキュリティポリシーを決めても、PCやUSBメモリの紛失、盗難、メールの誤送信など、電子データが流出することを完全に防止することはできません。“類推されにくいパスワードを設定してください”“USBメモリは使用禁止です”など、人に頼ったポリシーはセキュリティ対策とはいえないでしょう。重要なのは、漏えいすることを前提とし、たとえ漏えいしてもデータの内容は引き続き保護されることです。
例えば、Microsoft OfficeではWindows Serverの「Active Directory Rights Management Services(AD RMS)」や、クラウドベースの「Azure Rights Management Services(Azure RMS)」と連携した「Information Rights Management(IRM)」という暗号化保護とアクセス制限機能を利用できます(画面6)。
RMS/IRMを使用すると、Microsoft OfficeドキュメントやPDF、電子メールを暗号化した上で、閲覧、編集、内容のコピー、印刷、保存、転送禁止(メールの場合)といった操作範囲までを細かく制御できます(画面7)。また、ドキュメントやメールを参照できる有効期限を設定することも可能です。
さらに、ドキュメントやメールの作成者が暗号化を設定することもできますし、ファイルサーバーに格納した時点で自動的に暗号化したり、メールの転送ルール(Exchangeが必要)で自動的に暗号化したり、SharePointからのファイルダウンロード時に自動的に暗号化したりすることもできます。
以前はWindows上のMicrosoft Officeドキュメントとメールでのみ利用できましたが、現在はiOS/Androidクライアントがサポートされた他、画像ファイルやPDF、テキストファイルの暗号化にも対応しています。
RMS/IRMで暗号化されたドキュメントやメールを開くには、AD RMSやAzure RMSとオンラインで認証され、暗号化を解除する鍵を手に入れる必要があります。その処理はドキュメントやメールを開くたびに自動的に行われます。管理者は、ドキュメントやメールを開いた、あるいは開こうとした行為をログで追跡することができます。
なんだかマイクロソフト製品のPRのような記事になってしまいましたが、RMS/IRMはパスワードを使用しないデータ保護機能の例として紹介しました。RMS/IRMの機能を使用できるMicrosoft Officeのエディションは限定されますし(参照する側は限定なし)、RMS用のライセンスも必要になりますが(参照する側は不要な場合もあり)、個人情報や機密情報が漏えいした場合の社会的影響やコストを考えれば安いものだと思いますよ。
岩手県花巻市在住。Microsoft MVP:Hyper-V(Oct 2008 - Sep 2015)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。
Copyright © ITmedia, Inc. All Rights Reserved.