エンドポイントに適用する暗号化とは?IT資産を守る根幹対策

情報漏えいの主な原因となるが、エンドポイントと呼ばれるPCやリムーバブルメディアの盗難・紛失。エンドポイントの暗号化はデータの悪用を防ぐ最終手段でもあり、使い勝手を考慮した適用方法を考えよう。

» 2009年08月05日 07時00分 公開
[北原真之(日本PGP),ITmedia]

 情報漏えいの事件でよく聞かれる原因の1つは、ノートPCやUSBメモリなどのリムーバブルメディアの盗難・紛失です。エンドポイントの暗号化の目的は、クライアントPCのHDDやUSBメモリなどのリムーバブルメディアが盗難・紛失した際、データを保護することにあります。

エンドポイントの暗号化

 まず、PCそのものが盗難・紛失された際に有効な手段が「HDD全体暗号化」です。これはOSの領域を含めて暗号化するため、ブート時の認証をクリアしなければ決して起動しません。リムーバブルメディアに重要な情報を保管する場合は「公開鍵方式」による暗号化が安全です。仮にUSBメモリを盗難・紛失しても「秘密鍵」が無ければ、決して復号できません(公開鍵方式については後述)。

 これらエンドポイントの暗号化ではPGPの場合、「PGP Whole Disk Encryption」という製品があります。この製品は、対象となるメディアを暗号化し、暗号鍵がなければデータを利用できないようにします。

 具体的には、クライアントPCのHDD全体、特定のファイルやディスクパーティション単位を暗号化します。HDD全体の暗号化を行えば、もしPCが盗難されても、設定したパスフレーズ(パスワードの文字列が長いもの)が分からなければ情報を読み取ることができません。正しいパスフレーズを入力しなければOSが起動せず、HDDのみを抜き出してほかのマシンに接続したとしても、暗号化されたデータは解読できないというわけです。(図1参照)

図1:エンドポイントの暗号化(クリックで拡大します)

 さらに、リムーバブルメディアについては公開鍵暗号方式で暗号化できます。公開鍵暗号方式は、データを復号する秘密鍵を保有する者以外は決して開けられないため、リムーバブルメディアの暗号化に大変適しているといえるでしょう。

 ほかにもUSBトークンやスマートカードと連携し、クライアントPCにUSBトークンを差し込むことや、スマートカードを読み取らせなければOSを起動できないという二要素認証も有効です。この方法により、ソフトウェアによる論理的対策と、USBトークンによる物理的対策の両面でデータをより確実に保護できるようになります。

公開鍵暗号方式とは?

 公開鍵暗号方式について、共通鍵暗号方式との比較を交えて説明します。まず共通鍵暗号方式ですが、この方式は暗号と復号に同じ鍵を利用します。そこで問題となるのは、いかに安全に鍵の受け渡しを行うかということです、荷物を送る例で考えてみましょう。

公開鍵暗号方式とは1

 暗号をかけた鍵を荷物と一緒に送るのは論外ですが、別便で送ってもリスクがゼロになるわけではありません、鍵を直接手渡すことができればベストですが、運用を考えると現実的ではありません。いかなる受け渡し手法をとっても、暗号を解く鍵を移動する際のリスクは無くならないでしょう。

「暗号を解く鍵」の受け渡しが必要ない公開鍵暗号方式

 公開鍵暗号方式は、データを暗号化する「かける鍵」と暗号を解く「あける鍵」の2つが別に存在します。まず、情報を受け取る側(上図の場合はあけみさん)は「かける鍵(ここでは南京錠に例えます)」を大量に準備します。この南京錠をあける鍵「暗号を解く鍵」は世界に1つしかなく、あけみさんが厳重に保管します。

公開鍵暗号方式とは2

 次に安全なやり取りしたい人々にこの南京錠を配ります。この鍵は「かける」ことしかできませんので、配布方法にあまり注意を払う必要はないでしょう。

公開鍵暗号方式とは3 (クリックで拡大します)

 あけみさんに情報を暗号化して送りたいかける君は、入手したあけみさんの南京錠で鍵をかけてしまえば、どのような手段を用いて送っても、開けられるのはあけみさんだけなので安心です。

 いかがでしょうか? 暗号用語に戻れば、情報を暗号化する「かける鍵」が公開鍵、暗号を解く「あける鍵」が秘密鍵で、暗号化方式をこの公開鍵暗号方式と呼びます。この公開鍵暗号方式を正しく用いれば、機密情報や重要情報の保管、移動の際の情報漏えいのリスクを「ゼロ」にすることができるでしょう。

 次回は、電子メールの暗号化と運用の考え方について解説します。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ