法令順守に向けた暗号化対策を適用する方法:IT資産を守る根幹対策
ISMSとPCI DSSなどの基準や法令は、重要データを適切に保護する手段の1つとして暗号化技術の利用を求めている。今回は暗号化対策を適用する上での具体的なポイントを紹介しよう。
ISMSとPCI DSSなどの基準や法令は、重要なデータを保護する手段として暗号化の適用を規定しています。今回は適用範囲や運用面について、具体的な対策方法をみてみましょう。まず、暗号化を適用する対象は大きく「エンドポイント」「共有フォルダ」「電子メール」「アプリケーション」の4つに区分されます。(図1参照)
図1:暗号化を適用する4つの範囲エンドポイントとは、PC本体のHDD、USBメモリや外付けHDDなどのリムーバブルメディア、モバイル端末などを指します。このエンドポイントを暗号化することにより、盗難や紛失が起こっても、そこに格納されたデータを利用できなくすることで、悪用などの最悪の事態を回避しようとするものです。また、データが読めないとなればエンドポイントの盗み取りは犯罪者にとって何のメリットもなく、犯罪者へのけん制になり、犯罪そのものを未然に防ぐことになります。
共有フォルダは、社内や部門に設置された共用ファイルサーバでデータを共有し、関係者間でデータのやり取りの効率化や、周知徹底などを行う仕組みです。しかし、共有フォルダは業務に関係しない者や、外部の第三者による不正なアクセスにより、閲覧や目的外に使用されるリスクを含んでいます。
共有フォルダの暗号化は、このようなリスクを排除し、権限を持つ者だけが閲覧、使用できるようにすることで、アクセス管理の徹底だけでは防ぎきれない効果を発揮します。例えば、サーバの管理者権限を持つ人でさえも、暗号化データの中身は見られない環境を作れるのです。
昨今はコスト削減などの理由により、企業でサーバ統合が推進されていますが、多くの人で共有されることになれば、情報漏えいのリスクはさらに高まります。関係者以外は読み取ることができないというシンプルな暗号化対策は、透過的に適用することで利用者にとって利便性をより高めるでしょう。
電子メールは、その仕組み上の制約から、ネットワーク上のいろいろな経路を経て、相手に届けられます。その経路はユーザー自身が管理できるネットワークを超えたインターネット上を伝搬します。従って、その経路での盗聴や改ざん、なりすましのリスクが存在します。電子メールの暗号化と、これに付帯する仕組みを合わせることで、このようなリスクを排除できるようになります。
アプリケーションシステムでは、業務を処理するために、さまざまなデータが授受されます。また、データの保管や別ファイルへの書き出しなども頻繁に行われます。単純にクライアントから送られてきたデータの保存、処理された後のデータ、バックアップのデータなど、これらの重要データに対して暗号化が必要な場面が多く見受けられます。
このような処理が社内だけで完結するならまだしも、外部のネットワークを介して行われる場合は、電子メールと同様にさまざまなリスクを抱えることになります。アプリケーションの暗号化は、このリスクの排除を目的としています。
企業にはこのような4つの対象を暗号化し、それを全社で統一的に運用管理する仕組みも同時に求められます。具体的には、各対象に対する暗号機能の導入、全社的に統一されたポリシーによる運用、暗号鍵の管理、利用状況の監視などがそれに当たります。
分散した暗号化情報をどう管理するか
暗号化による根幹対策は、全社的に実施することでその効果を発揮するでしょう。もちろん、センシティブな情報を扱う部門から段階的な導入を進めることが現実的な施策といえます。しかし、外部から見れば企業は一つの存在であり、特定部門以外の対策が疎かであったために、事件や事故が起こったとしても、それは会社全体の不手際と捉えられます。
また、暗号化対策をしているところと、そうでないところで情報利用の意識の格差が拡大することや、運用上の利便性が損なわれることも危惧されます。このような状況に陥らないためにも、全社で統一した仕組みを構築することが必要になるでしょう。
しかし、利用者や運用条件の異なる4つの対象をすべて暗号化し、統一したポリシーに基づいて一元管理するとなると、これは容易なことではありません。暗号対策ソフトには多くの市販製品やフリーウェアの暗号化プログラムも存在していますが、その多くは4つの適用対象の一部分に限られているものが多く、全社的な統一運用を視野に入れたものはほとんど存在しません。
4つの適用対象すべてに暗号化対策を施して全社で一元管理する仕組みが重要であり、しかも、国際標準にも対応することが求められます。例えばPGPでは「PGP Encryption Platform」を提供しています。(図2参照)
図2:暗号化の適応範囲とPGPのアプリケーションの例「PGP Universal Server」という管理コンソールでは、4つの適用範囲ごとの暗号化アプリケーションの導入展開・統合管理を行えます。暗号化対策を施す際に重要なポイントの1つは運用管理です。もし、適応範囲ごとに違った暗号化ソリューションを導入した場合、鍵の管理やポリシー管理を初めとする運用管理は複雑になり管理工数が増大するでしょう。管理ツールを利用すれば、各アプリケーションの追加、展開が容易になり、ポリシーの設定やユーザーの鍵も統合化できるので、運用工数を削減できます。
次回以降は4つの適用範囲のうち、特に情報漏えいの原因となりがちなエンドポイントと電子メールへの暗号化に焦点を当てて解説します。
関連記事
法律や基準で求められる暗号化対策
重要なデータを保護する技術的な対策の1つに暗号化がある。情報保護関連の法令や基準でも暗号化の活用が推奨されているが、具体的にどのようなものかをみていこう。
法令や基準から考える情報漏えい対策の“勘所”
企業での情報漏えい事件が絶えない昨今、機密データをいかにして守るかが重要なテーマとなっている。今回は、企業を取り巻く法令やさまざまな基準からデータ保護への取り組みを再確認していこう。
情報漏えいの対応費用は1件200ドル超に
2008年に起きた情報流出に関してかかったコストは1件あたり平均665万ドルで、年々上昇している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- セキュリティ担当者に求められる役割と責任に変化 その背景には何がある?
ITmediaはアイティメディア株式会社の登録商標です。