エンドポイントに適用する暗号化とは?:IT資産を守る根幹対策
情報漏えいの主な原因となるが、エンドポイントと呼ばれるPCやリムーバブルメディアの盗難・紛失。エンドポイントの暗号化はデータの悪用を防ぐ最終手段でもあり、使い勝手を考慮した適用方法を考えよう。
情報漏えいの事件でよく聞かれる原因の1つは、ノートPCやUSBメモリなどのリムーバブルメディアの盗難・紛失です。エンドポイントの暗号化の目的は、クライアントPCのHDDやUSBメモリなどのリムーバブルメディアが盗難・紛失した際、データを保護することにあります。
エンドポイントの暗号化
まず、PCそのものが盗難・紛失された際に有効な手段が「HDD全体暗号化」です。これはOSの領域を含めて暗号化するため、ブート時の認証をクリアしなければ決して起動しません。リムーバブルメディアに重要な情報を保管する場合は「公開鍵方式」による暗号化が安全です。仮にUSBメモリを盗難・紛失しても「秘密鍵」が無ければ、決して復号できません(公開鍵方式については後述)。
これらエンドポイントの暗号化ではPGPの場合、「PGP Whole Disk Encryption」という製品があります。この製品は、対象となるメディアを暗号化し、暗号鍵がなければデータを利用できないようにします。
具体的には、クライアントPCのHDD全体、特定のファイルやディスクパーティション単位を暗号化します。HDD全体の暗号化を行えば、もしPCが盗難されても、設定したパスフレーズ(パスワードの文字列が長いもの)が分からなければ情報を読み取ることができません。正しいパスフレーズを入力しなければOSが起動せず、HDDのみを抜き出してほかのマシンに接続したとしても、暗号化されたデータは解読できないというわけです。(図1参照)
さらに、リムーバブルメディアについては公開鍵暗号方式で暗号化できます。公開鍵暗号方式は、データを復号する秘密鍵を保有する者以外は決して開けられないため、リムーバブルメディアの暗号化に大変適しているといえるでしょう。
ほかにもUSBトークンやスマートカードと連携し、クライアントPCにUSBトークンを差し込むことや、スマートカードを読み取らせなければOSを起動できないという二要素認証も有効です。この方法により、ソフトウェアによる論理的対策と、USBトークンによる物理的対策の両面でデータをより確実に保護できるようになります。
公開鍵暗号方式とは?
公開鍵暗号方式について、共通鍵暗号方式との比較を交えて説明します。まず共通鍵暗号方式ですが、この方式は暗号と復号に同じ鍵を利用します。そこで問題となるのは、いかに安全に鍵の受け渡しを行うかということです、荷物を送る例で考えてみましょう。
暗号をかけた鍵を荷物と一緒に送るのは論外ですが、別便で送ってもリスクがゼロになるわけではありません、鍵を直接手渡すことができればベストですが、運用を考えると現実的ではありません。いかなる受け渡し手法をとっても、暗号を解く鍵を移動する際のリスクは無くならないでしょう。
「暗号を解く鍵」の受け渡しが必要ない公開鍵暗号方式
公開鍵暗号方式は、データを暗号化する「かける鍵」と暗号を解く「あける鍵」の2つが別に存在します。まず、情報を受け取る側(上図の場合はあけみさん)は「かける鍵(ここでは南京錠に例えます)」を大量に準備します。この南京錠をあける鍵「暗号を解く鍵」は世界に1つしかなく、あけみさんが厳重に保管します。
次に安全なやり取りしたい人々にこの南京錠を配ります。この鍵は「かける」ことしかできませんので、配布方法にあまり注意を払う必要はないでしょう。
あけみさんに情報を暗号化して送りたいかける君は、入手したあけみさんの南京錠で鍵をかけてしまえば、どのような手段を用いて送っても、開けられるのはあけみさんだけなので安心です。
いかがでしょうか? 暗号用語に戻れば、情報を暗号化する「かける鍵」が公開鍵、暗号を解く「あける鍵」が秘密鍵で、暗号化方式をこの公開鍵暗号方式と呼びます。この公開鍵暗号方式を正しく用いれば、機密情報や重要情報の保管、移動の際の情報漏えいのリスクを「ゼロ」にすることができるでしょう。
次回は、電子メールの暗号化と運用の考え方について解説します。
関連記事
- 法令順守に向けた暗号化対策を適用する方法
ISMSとPCI DSSなどの基準や法令は、重要データを適切に保護する手段の1つとして暗号化技術の利用を求めている。今回は暗号化対策を適用する上での具体的なポイントを紹介しよう。 - 法律や基準で求められる暗号化対策
重要なデータを保護する技術的な対策の1つに暗号化がある。情報保護関連の法令や基準でも暗号化の活用が推奨されているが、具体的にどのようなものかをみていこう。 - 法令や基準から考える情報漏えい対策の“勘所”
企業での情報漏えい事件が絶えない昨今、機密データをいかにして守るかが重要なテーマとなっている。今回は、企業を取り巻く法令やさまざまな基準からデータ保護への取り組みを再確認していこう。 - 情報漏えいの対応費用は1件200ドル超に
2008年に起きた情報流出に関してかかったコストは1件あたり平均665万ドルで、年々上昇している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.