ノートパソコンのキーを叩く手

SSD 暗号化の概要と仕組み

ノートパソコンの側面と、その背景に携帯電話を使う人

現在、企業や政府自治体から個人まで、世界中の人々は共通して、重要な個人情報や機密情報の保護を必要とし、強く求めています。保管中でも転送中でも、データ保護は絶対に必要です。データ漏洩、ハッキング、ノートパソコン/PC の紛失または盗難により発生する金銭的な損害や悪評による損害は、天文学的な数字になる場合があれます。

悪意あるハッカーや組織的データ窃盗に対して自衛するには、使用中のデータも、保存されているデータも同様に暗号化する必要があります。万一、コンピュータネットワークやストレージデバイスに不正なアクセスがあり、何らかの方法で認証を突破された場合に、暗号化は強固な防衛手段となります。この場合、ハッカーはデータにアクセスできません。この記事では、ソフトウェアベースの暗号化、自己暗号化ドライブ(SED)および SSD 暗号化の基本的な仕組みを中心にご説明します。

暗号化の概要

簡単に言うと、暗号化とは、デジタルデバイスに入力された情報を、無意味に見えるデータのブロックに変換することです。暗号化プロセスが高度であるほど、暗号化データの解読や復号は困難になります。反対に、復号とは暗号化データを元の形に戻し、また読めるようにすることです。暗号化情報は暗号化テキスト、暗号化されていないものはプレーンテキストと呼ばれることがよくあります。

錠付きの回路基板のデジタル線画

ソフトウェア暗号化とハードウェア暗号化の比較

ソフトウェア暗号化では、さまざまなソフトウェアプログラムを使用して、論理ボリューム上のデータを暗号化します。ドライブが最初に暗号化される時、一意のキーが設定され、コンピュータメモリに保存されます。キーは、ユーザーのパスフレーズとともに暗号化されます。ユーザーがそのパスフレーズを入力すると、キーのロックが解除され、ドライブ上の暗号化されていないデータにアクセスできるようになります。キーのコピーも、ドライブに書き込まれます。ソフトウェア暗号化は、アプリケーションとデバイスの間でデータを読み書きする仲介として機能し、データがドライブに書き込まれる時には、ディスクに物理的に記憶される前に、キーを使って暗号化されます。データがドライブから読み取られる時には、プログラムに渡される前に、同じキーを使って復号されます。

ソフトウェア暗号化は安価ですが、使用するデバイス自身よりも高いセキュリティ効果は得られません。ハッカーがコードまたはパスワードを突破した場合、暗号化データが漏えいする危険があります。また、暗号化と復号はプロセッサによって実行されるため、システム全体が遅くなります。ソフトウェア暗号化のもうひとつの脆弱な点は、システムを起動する際に暗号化キーがコンピュータメモリに保存されるため、低水準攻撃の標的にされることです。

自己暗号化ドライブ(SED)では、ハードウェアベースの暗号化を使用するため、より包括的なアプローチでユーザーデータを暗号化できます。SED ではオンボード AES 暗号化チップが搭載されており、データが書き込まれる前に暗号化し、読み込まれる前に NAND 型媒体から直接復号します。ハードウェア暗号化は、ドライブにインストールされた OS とシステム BIOS の間で実行されます。ドライブが最初に暗号化される時、暗号化キーが生成され、NAND 型フラッシュメモリに保存されます。システムが最初に起動される時に、カスタム BIOS が読み込まれ、ユーザーのパスフレーズを要求します。
パスフレーズが入力されると、ドライブの内容が復号され、OS とユーザーデータへのアクセスが許可されます。

また、自己暗号化ドライブでは、オンボード暗号化チップによってデータのオンザフライ暗号化/復号を行います。チップは NAND 型フラッシュメモリに記憶される前にデータを暗号化し、読み込まれる前にデータを復号します。暗号化プロセスにホスト CPU が関与しないため、ソフトウェア暗号化に伴うパフォーマンス低下が少なくなります。システムの起動時には多くの場合、暗号化キーが基板上の SSD メモリに保存されているためにキーの取得が複雑になり、低水準攻撃に対する防御力が高まります。このようなハードウェアベースの暗号化手法は、ユーザーに見えないため、高水準のデータセキュリティを提供します。この手法は無効化できず、パフォーマンスに影響しません。

AES 256 ビット・ハードウェアベースの暗号化

AES(Advance Encryption Standard)は、対称鍵暗号方式(暗号化キーと復号キーが共通の方式)です。AES はブロック暗号であるため、データを 256 ビットのキーで暗号化する前に、128 ビットのブロックで分割します。AES 256 ビット暗号化は、優れたデータセキュリティを保証する国際標準で、特に米国政府に認定されています。AES-256 暗号化は基本的に解読困難で、利用可能な中ではもっとも強力な暗号化標準です。

解読困難な理由AES には AES-128、AES-192 および AES-256 があります。数字は、各暗号化/復号ブロックの中のキーのビット数を表します。ビットが 1 つ増えるごとに、可能なキーの数が 2 倍になるため、256 ビット暗号化では 2 の 256 乗になります。つまり、可能なキーの種類は非常に膨大になります。さらに、キーのビット数によって、ラウンド数が異なります。(ラウンドとは、プレーンテキストを暗号化テキストに変換するプロセスです。)256 ビットでは 14 ラウンドです。したがって、256 ビットが 14 回スクランブルされた正しい順番を、ハッカーが考えつく確率は、控えめに言っても極めて少なくなります。膨大な時間と演算処理が必要なことは言うまでもありません。

TCG Opal 2.0 ソフトウェアベースの暗号化

TCG とは、相互運用可能なトラステッドコンピューティングプラットフォームを実現するため、ハードウェアベースの Root of Trust(信頼の基点)を定義する国際的な業界標準団体です。このプロトコルでは、Symantec™、McAfee™、WinMagic® などの TCG Opal 2.0 セキュリティ管理ソリューションを提供する独立系のソフトウェアベンダを使用して、暗号化 SSD の初期化、認証、および管理ができます。

まとめると、ソフトウェアベースの暗号化には利点がありますが、包括的とは見なせない場合もあります。ソフトウェア暗号化では、ユーザーがデータにアクセスする必要がある時に暗号化と復号が必要なため、余分なステップが追加されますが、ハードウェアベースの暗号化はもっと堅牢なソリューションを提供します。ハードウェア暗号化 SSD は、パフォーマンスに影響を与えずに他のドライブに合わせて最適化されます。アプリケーションによっては、データを保護しようとするとこんなところに影響が出るのかと、びっくりすることもあるでしょう。すべての暗号化が同じではありませんが、違いを理解することは、セキュリティの効果や効率を向上する上で大切です。

#KingstonIsWithYou

関連製品