暗号化技術が企業を守る仕組み:セキュリティ・テクノロジー・マップ(最終回)
企業システムにおけるセキュリティ技術の基礎を総ざらいする本連載。最終回のテーマは「暗号を利用した保護」です。情報を保護する根幹的な仕組みについて学びましょう。
暗号による情報の保護
前回はセキュリティ情報を安全に管理するための技術について解説しました。最終回となる今回は、「暗号を利用した保護」について紹介します。
暗号化技術では、暗号が持つ数学的な性質を活用して、情報を保護します。暗号を利用すると、原則として暗号化した情報は対応する鍵となる情報を保有する人物にしか復号することができなくなるため、第三者に漏えいしてしまう脅威を防ぐことができます。
また、暗号化された情報が改ざんされてしまったとしても、復号に用いる鍵との整合性が取れなくなるため、情報の改ざんを防ぐ(検知する)ことも可能となります。
このような暗号による情報の保護は、ネットワーク通信やファイルなどを保護する場合に重要となります。では、以下で個々の場合について見ていきましょう。
暗号化通信
「暗号による情報の保護」をネットワーク通信に実装したものが「暗号化通信」です。
ネットワーク通信における脅威としては、例えば企業間のメールやインターネットショッピングにおけるクレジットカード情報などの重要情報を狙った盗聴が挙げられます。こうした脅威から情報を保護することが、暗号化通信の役割です。
暗号化通信では、通信者Aと通信者Bが通信を行う際に、あらかじめ取り決めた暗号鍵を用いて送受信する情報を暗号化します。暗号化に用いる暗号鍵が十分に複雑であれば、第三者に通信を盗聴されてしまった場合でも、第三者は通信内容を復号して通信内容を閲覧することが困難となります。
実際の製品でも、暗号化通信は幅広く導入されており、最も身近な例としては、Web通信に利用されているHTTPSプロトコルが挙げられます。暗号化通信の方式としては、通信経路自体を暗号化するIPsecなどのように、規格化された暗号化通信方式が用いられることがほとんどですが、中には規格化されていない独自の暗号化通信により、規格化されている通信方式では得られない機能を確保した暗号化通信方式を採用している製品も存在します。
ファイル・ディスクの暗号化
「暗号による情報の保護」をファイルやディスクに対して実装したものが、「ファイル・ディスクの暗号化」です。
ファイルやディスクへの脅威として、正規ユーザーが管理している端末を紛失したり盗まれたりしてしまった場合に、端末を手にした第三者によって端末に保管されている情報を閲覧されてしまう脅威があります。ファイルやディスク全体に暗号化処理を施しておけば、第三者に機密情報を閲覧されてしまう脅威を防ぐことが可能となります。
また、特定のファイルやフォルダのみを暗号化するか、ディスク全体を暗号化するかによって、対応できる脅威が異なります。
特定のファイルやフォルダのみを暗号化する場合は、第三者に閲覧されたくない情報だけを保護できます。しかし、情報が格納されているディスクを第三者が操作できる状況に陥ってしまった場合は、その他の暗号化されていない情報を閲覧されることや、ディスク上に悪意のあるソフトウェアを混入されてしまう脅威が残存します。
一方、特定のファイルやフォルダのみではなく、ディスク全体を暗号化した場合は、暗号化したディスクに情報資産を保存する運用を行うことにより、保護したい情報資産を暗号化し忘れるという過失を防ぐことができます。しかし、ディスクを全て暗号化してしまった場合は、復号に用いる鍵となる情報を紛失してしまうと、暗号化するつもりがなかった情報も閲覧できなくなってしまう恐れがあります。
実際の製品では、WindowsをはじめとするOSに、起動ディスク全体を暗号化する機能があります。また、外付けHDDには暗号化機能を備えたものがあります。他にも、特定のファイルやフォルダを暗号化する製品や、実在するドライブ上に暗号化された仮想的なドライブを作成し、その領域に複数のファイルを格納することで情報を保護する機能を備えた製品などもあります。
電子署名
受信した情報の作成者と安全性を確認するために、「暗号による情報の保護」を実装したものが「電子署名」です。
情報を伝達する過程で起こり得る脅威として、情報を伝達する過程で悪意のある第三者に情報が窃取され、改ざんされてしまうことが考えられます。電子署名は、こうした脅威から利用者を守るために、通信により受信した情報が改ざんされていないか確認することを可能とします。
電子署名は、暗号の性質を利用することで、受信した情報の作成者が誰かを識別し、送信者が確かにその人物であるということを証明する用途があります。
実際の製品では、規格化された電子署名技術が、Webやメールの通信、ファイルの保護目的で利用されています。また、情報が作成された日時を公的に保証する目的で用いられる「時刻認証」などにも、電子署名は広く利用されています。
暗号を利用した保護により防ぐ脅威
それでは最後に、暗号を利用した保護により、どのような脅威を防ぐことができるのかを見ていきましょう。
例えば、通信を行う際に、通信経路に第三者が割り込んでしまう脅威が想定されます。この場合、第三者は送信者から送信された情報を単に盗聴するのみではなく、受信者へ本来届くはずの情報を改ざんすることや、正規の送信者になりすまして受信者と通信をすることが可能となります。
このような場合、通信経路を暗号化していれば、通信される情報を解読される脅威を防ぐことができます。また、暗号化された情報を第三者に改ざんされてしまったとしても、通信者は情報を解読できなくなってしまうため、通信経路の第三者が割り込んだということを検知できます。
端末を紛失し、第三者に紛失した端末を取得されてしまった場合は、端末を起動されて保存されている情報を閲覧されてしまうことで、情報が漏えいしてしまう脅威が想定されます。この場合は、端末の起動ディスクを暗号化したり、重要なファイルを暗号化したりしておくことで、情報漏えいが起きてしまう可能性を低減できます。
メールを送受信する場合は、メールの内容が第三者に改ざんされている、または送信元が偽装されているという脅威が想定されます。この場合はメールに電子署名を加えることで、電子メールの内容が改ざんされていないかに加え、送信者が意図している人物であるかどうかを確認することができます。
このように、暗号を利用した保護は、第三者から情報資産を閲覧されてしまうことや、改ざんを検知するために活用されています。
ただし、暗号による保護を利用すれば必ずしも安心というわけではありません。暗号化方式の安全性は、電子機器や数学的な技術の発展により日々損なわれていくものです。暗号化方式に関しては、政府から「CRYPTREC暗号リスト」という推奨する暗号化方式をまとめた文書が公開されています。情報を安全に保護するためにも、定期的に情報の収集を行い、安全性が保証されている暗号化方式を採用することが重要です。
著者プロフィール
▼北原 憲(きたはら けん)
CEH、GPEN
大学では理学部物理学科に所属しており、情報技術とは縁のない人生を送っていたが、2014年4月に株式会社ラックに入社したことに伴い、情報系に転向する。入社後は脆弱(ぜいじゃく)性診断業務に従事しており、脆弱性を検出するためのプログラムの開発や、技術的な指導、脆弱性の検証情報の配信および技術的な水準が高い特殊な脆弱性診断の案件を中心に取り組んでいる。
情報セキュリティ専門紙での匿名での執筆活動や、幾つかの情報セキュリティ系イベントの運営にも携わっている。
Copyright © ITmedia, Inc. All Rights Reserved.