今の環境にふさわしい「暗号化」をしたいのですが、何を考慮すべきですか？：萩原栄幸の情報セキュリティ相談室（2/2 ページ）

[萩原栄幸，ITmedia]

2.運用上で有利なものとは？

　機密データのみを暗号化すべきか、また、導入コストも重要だが運用上で有利なものは、どういうものが望ましいのだろうか。

　この問題も幾つかのベクトルに集約される。その中で良く検討されるのが、PCのHDD全体を暗号化するものと、ファイルやフォルダー単位で暗号化するものと、どちらか一つを選択するというものだ。実際にこの部分で筆者が知る、ある中堅の企業は何カ月も検討されたようだった。しかし結論は、既に出ている。議論する余地はない。セミナー会場でもよく話すのだが、「無知は罪悪」なのである。

　つまり、コスト面、運用面、セキュリティ強度など、何を検討してもトータルとしては「HDD全体の暗号化」に勝るものはなかった。ファイルやフォルダー単位の暗号については、個人ユースとしてニッチな環境においては使える。筆者も実際に利用している場面もある。ビジネスの場面でも特殊な状況や一時的な環境においては次善の策として認められるものだ。ただし、それにはさまざまな前提条件を伴う。

　通常の場合には、HDDの全体暗号化が最も良い。これも教科書的に紹介されているかどうかは分からないが、現場を経験してきた筆者としては、これが最善であると断言できる。もちろん欠点がないわけではない。現実的な欠点として最も挙げられるのは、導入当初に時間がかかることである。HDD全体の暗号化を施すのだから無理もない。でも、それは最初の一回限りだし、長い運用においてはほとんど欠点になりにくいものである。一度暗号化してしまえば、その後のレスポンス悪化はまず素人的には判断つかないくらい気づきにくい。

　あるユーザーで計測を実施したことがあったが、（全ての企業や環境でそうなるわけではないが）確か平均で1.68％の遅延だった。人が体感するには極めて小さな数値である。当然ながら環境やHDD全体暗号のツール、運用方法などによってこの数字は大きく異なる。筆者がその後に幾つかの企業で導入結果で聞いてみても、ほぼ「体感するほどの遅延はない」という職員がほとんどだった。

　逆にファイル暗号の欠点で一番に大きなものは、「本来暗号化すべきファイルなのに暗号化していない情報が幾つも出てきた」ということだ。これは、ある意味致命的だ。例えば、ある金融機関で試行的にファイルやフォルダー単位で暗号化した。渉外担当の支店の職員に運用をしてもらった。

　お客様に持参するネットPC上に漏れてはいけない情報を、例えば「機密情報フォルダ」というフォルダの中に入れておく。その中に入れたファイルは自動的に暗号化されるという、とても楽な運用だった。そして数カ月後、抜き打ちでPCの内容をチェックしたところ、大半のPCから「機密情報フォルダ」に入れていなかった機密ファイルが見つかった。ほとんどがデスクトップ上に、そのままの形で保存されていたのである。

　彼らに聞いてみると、毎日内容が変更され、ファイルも違うものを入れるということ自体は単純な作業ではあったが、厳守するというのは案外精神的な負担が大きかったという。「次のお客様が終わったらフォルダに入れておけばいい」など、自分に都合のいいように運用し、最後に帳尻合わせをしておけばいいという風潮になっていった。しかし、盗難に遭ったり、電車の網棚に置き忘れたりというシーンを考えるなら、それは致命的な問題だ。

　そう、実は「人」が一番悩ましいデバイスである。人間はミスをする、楽をする。そういう前提で考えるなら、人の検証は極めて重要だが、それだけでは逆に極めて不確実だということなのである。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。