ソフトウェアによる暗号化手法の知っておくべき特性:データを守るためにできること(2)(2/3 ページ)
機密データを保護するための手法を追う連載第2回では、さまざまなベンダからソリューションが提供されている「ソフトウェアによる暗号化手法」にフォーカスします(編集部)
暗号化ソリューションの主要な特性
暗号化ソリューションの導入を検討する際に考慮しなければならないポイントがいくつかあります。これらのソリューションはセキュリティの要求を満たすだけでなく、自動的かつ完全に処理され、さらにインストールとオペレーションはできるだけ簡単であることが望まれます。保存データの暗号化ソリューションを選択する際に考慮すべき重要なポイントについて、以下のようなものがあります。
- すべての機密データが実際に暗号化されているかどうか
特にアプリケーション内で暗号化が行われる場合(ファイルレベルシステム)は注意してください。データがそのアプリケーション以外で生成される可能性があると、そのデータは暗号化されません。
- セキュリティの証明が可能かどうか
組織内のハードディスクが盗まれてデータが漏えいした場合、データが適切に暗号化されていたことを証明できないかぎり、その事件はデータ盗難の可能性があるものとして扱わなければなりません。つまり、当局および被害の可能性のある人すべてに通知しなければならなくなるということです。システムは必ず証明可能なものにしてください。これは一般的に、保護機能が人間の弱点(手動で暗号化を起動するのを忘れる、故意に機密データを暗号化しないで残すなど)に左右されないということです。また、認可なくセキュリティの削除や無効化を行えないことも重要です。
- セキュリティソリューションの強度
すべてのソリューションが等しくどれも安全というわけではありません。認証に使われるパスワードの複雑さや、暗号化の方法、キーの生成方法などでセキュリティの強度は変わります。
- 性能
暗号化には非常に重たい数学的な計算処理を必要とするプロセスが使われます。ソフトウェア型のソリューションは暗号化処理にもCPUを使用するため、特に大きなファイルを扱う場合、システムパフォーマンスに重大な影響が生じる可能性があります。選んだソリューションが、システムパフォーマンスに目立った影響を与えないことを確認する必要があります。
- 導入のしやすさ
ソフトウェア型の暗号化ツールのインストールに必要な作業量は相当大きくなることがあります。企業向けソフトウェアを複数のシステムにインストールする際の通常の手間に加えて、容量の大きなハードディスクのデータの暗号化には数時間かかる場合があります。優れたパッケージにはインストール作業中にほかの作業を継続できるものもありますが、常に事前の完全バックアップが推奨され、PCデータの暗号化には恐怖や不安が伴います。
- 使いやすさ
使いやすい暗号化システムとは、自動的かつ完全に透過的で、どんな場合でもほかの作業の処理速度を妨げないものが望まれます。透過的とは、ユーザーが暗号化の存在を気にすることなく、従来どおりに使えることを意味します。ソフトウェア型のフルディスク暗号化(FDE)システムは自動的かつ透過的ですが、システムの構成などによりパフォーマンスに影響を与えることがあります。ファイルレベルのソリューションはある程度までは自動化が可能ですが、機密ファイルを特定のフォルダに移動しなくてはならないなど、ユーザーによる操作をかなり必要とする傾向があります。
- 保守および管理のしやすさ
システムによっては、継続的な保守コストがかさむことがあります。すべてを暗号化してしまうソリューションは、暗号化の対象について個別にいつも判断が必要なものに比べて管理が簡単です。もちろん、製品の安定性も不可欠です。堅牢(けんろう)性のない暗号化システムは、破滅的な結果をもたらす可能性があります。
- 暗号化ハードウェアが使用可能かどうか
ソフトウェア型の暗号化パッケージによっては、専用の暗号化エンジンとともに動作するタイプもあります。これによって、システム全体のパフォーマンスとセキュリティに大きく差がつく場合があります。
ソフトウェアによる暗号化を検討する理由
ソフトウェアによる暗号化にも長所と短所があります。長所に関していえば、ソフトウェア型の暗号化は特定のハードウェアに依存しないということです。基本的にスタンドアロンのソリューションは、ほとんどすべてのプラットフォームで利用できます。
ハードディスクに保存したデータすべてを暗号化するFDEソリューションであれば、最新のWindows Vistaから数年前までのあらゆるOS向けに、とても優れたソフトウェアが販売されています。ハードウェアの必要要件は非常に少ないため、ソフトウェアによる暗号化はPCやハードウェアをまったく新規購入せずに、デスクトップPCやノートPCにインストールされたデータ全体を保護できます。
ソフトウェアによる暗号化のもう1つの利点は、その成熟度です。エンタープライズ版のファイルレベルの暗号化システムはまだ新しい技術ですが、ソフトウェア型のFDEソリューションは何年も前から市場に出回っています。従って安定しているうえに多機能で、スマートカード、携帯電話、携帯用トークン、USBトークン、指紋認証などの二重認証や、中央監査など強力な認証デバイスをサポートします。
また、ソフトウェアソリューションは、基幹的な管理インフラも提供します。例えば、ほとんどのソフトウェア型のFDEソリューションには、全体的な企業管理システムが付いていて、次のような機能があります。
- 一元化されたヘルプデスク機能――パスワードを忘れたユーザーやシステム認証に助けが必要なユーザーをサポート
- キーの一元管理システム――必要時に上司がデータ復旧を許可する安全なキーの生成および保存
- 多彩な導入シナリオのサポート――Microsoft管理コンソール(MMC)、Active Directory、ソフトウェア配布システムとの緊密な統合など
また、この管理インフラは、種類の異なる複数の暗号化をすべて1つの管理システムで一元化して行えるよう進化しています。優れたシステムであれば、FDEとファイルレベル暗号化の両方をサポートすると同時に、着脱式のUSBメモリ、CD、DVDなど、ハードディスク以外のデバイス暗号化にも対応を始めています。さらに、SecudeやWave Systemsなどが提供する製品の一部では、システムに暗号化ハードウェアが存在する場合、それをハードディスクの暗号化に利用することさえできます。そのほかのベンダもこの機能を導入しつつあります。
Copyright © ITmedia, Inc. All Rights Reserved.