数十個のブロックに、青い0と1のバイナリデータ

暗号化とはどのようなもので、どのように機能するのでしょうか?

暗号化とは、データをスクランブルして、許可された人以外には読み取りができないようにする方法です。暗号化のプロセスでは、暗号化キーを使用して平文を暗号文に変換します。暗号化キーは、送信者と受信者の両方が知っていて合意している一連の数値です。

暗号化されたデータの復号化(変換)は、正しいキーを持っている人であれば誰でも可能です。そのため、暗号化の専門家は、より高度で複雑なキーを開発し続けています。より安全な暗号化キーは、ハッカーが網羅的な復号化(ブルートフォース‘とも呼ばれる)を機能的に不可能とするのに十分な複雑さを持つキーを使用します。

データは、‘静止時(保管時)または‘移動時(送信時)に暗号化することができます。暗号化には大きく分けて、対称型と非対称型の2つの分類があります。

  • 対称暗号化キーは1つだけで、すべての当事者が同じ秘密キーを使用します。
  • 非対称暗号の名前の由来は、複数のキー、つまり暗号化キーと復号化キーがあることから来ています。暗号化キーが公開であるのに対して、復号化キーは非公開となります。

なぜデータの暗号化が必要なのか

スーツにネクタイ姿の人がタブレットを持ち、指一本で画面に触れている。

プライバシー: データの所有者と受信者のみが読み取り可能で、攻撃者、ISP、さらには政府による機密データの傍受すら防ぐことができます。

セキュリティ: 暗号化はデータ漏えいの防止に役立ちます。企業のデバイスが紛失したり盗まれたりしても、その内容が暗号化されていればデータは保護されます。

データの完全性 : 暗号化されたデータは、途中で閲覧したり、改ざんしたりすることができないため、オンパス攻撃(送信中の情報を傍受すること)のような悪意のある行為も防ぐことができます。

規制 : HIPAA、PCI-DSS、GDPRなど、多くの業界や政府の規制が、企業に対してユーザーデータの暗号化を求めています。米国の政府機関や請負業者は、FIPS(連邦情報処理規格)を使用する必要があります。

暗号化アルゴリズム

暗号化アルゴリズムとは、データを暗号文に変換する方法です。暗号化キーは、アルゴリズムによって一貫した方法でデータを変更するために使用され、無作為に見えても、復号化キーによって容易に平文に戻すことができます。一般的な暗号化アルゴリズムには、AES、3-DES、SNOW(いずれも対称型)、楕円曲線暗号、RSA(いずれも非対称型)があります。

他の非対称暗号化と同様に、RSAは素因数分解(2つの非常に大きな素数を掛け合わせること)を利用します。解読するには、元の素数を特定する必要があり、数学的に負荷がかかるため、非常に困難となります。RSAキーをブルートフォースで解読することはほぼ不可能です。

ブルートフォース(総当たり攻撃)

コンピュータがパスワードや復号キーを解読するために何百万回、何十億回と試行することをブルートフォース(総当たり攻撃)と呼びます。現代のコンピュータは、このような羅列の組み合わせを驚くほど高速に処理することができます。最新の暗号化は、このような攻撃に耐える必要があります。暗号化の分野では、暗号を解読する高速な方法を開発する者と、より高度な暗号化方法を開発する者との間で、常に技術的競争が行われています。

その他の暗号化の種類

暗号化を表す赤いキーのアイコンと黒いキーのアイコンをネットワーク回線で結び、ノートパソコンのキーボードに白いバイナリーコードを重ねた、現代の街並みのコラージュ。

クラウドストレージの暗号化:データやテキストを暗号化アルゴリズムで変換し、クラウドストレージに格納します。社内の暗号化と似ていますが、プロバイダーのさまざまな暗号化レベルが、セキュリティやデータの機密性という点で、顧客のニーズに合致しているかを把握する必要があります。

否認可能な暗号化:複数の暗号化手段を持ち、データが送信中に傍受される可能性がある、または傍受を前提とする必要がある場合に、誤情報提供の目的で使用されます。

FDE(フルディスク暗号化):ハードウェアレベルの暗号化。ハードディスク内のデータは自動的に暗号化され、適切な認証キーがないと読み取ることができません。ハードディスクは、キーがないパソコンでは使えません。

BYOE(自分の暗号化を持参):クラウドコンピューティングのセキュリティモデルで、顧客がクラウドホスティングされたアプリケーションと一緒に独自の暗号化ソフトウェアの仮想インスタンスを表示することができます。BYOKと呼ばれることもあります。

EaaS(サービスとしての暗号化):自社で暗号化を管理できないクラウド顧客向けのサブスクリプションサービス。FDE、データベース暗号化、ファイル暗号化などがあります。

E2EE(エンドツーエンド暗号化):送信中のデータを保護します。WhatsAppなどのメッセージは、クライアントソフトウェアで暗号化され、ウェブクライアントに渡され、受信者が復号化します。

フィールドレベルの暗号化:ウェブページの特定のフィールドのデータを暗号化します(例:SSN、クレジットカード番号、健康関連/財務データ)。選択したフィールドのデータは、自動的にすべて暗号化されます。

列レベルの暗号化:同じ列のすべてのセルに同じパスワードをかけてアクセスや読み取り/書き込みを行う手法。

リンクレベルの暗号化:データがホストから離れるときに暗号化し、次のリンクで復号化し、再び送信するときに再暗号化します。すべてのリンクで同じキー/アルゴリズムを使用する必要はありません。

ネットワークレベルの暗号化:ネットワーク転送レベルでの暗号サービスは、IPネットワーク上の通信にプライベートな枠組みを作るインターネットプロトコルセキュリティ(IPSec)を通じて実装されます。

準同型暗号化:データを、暗号化されていないかのように解析や作業が可能な暗号テキストに変換します。暗号を解かずに数学的な作業が可能です。

HTTPS:TLSプロトコル上でHTTPを実行することにより、ウェブサイトの暗号化を可能にします。Webサーバーが送信するコンテンツを暗号化するには、公開キーのインストールが必要です。

量子暗号:量子力学を利用してデータを保護します。量子エンコーディングされたデータは、これらの性質(位置と運動量)の値を変えなければ測定することができません。データのコピーやアクセスを試みると、データが変化し、攻撃があったことを認可された当事者に警告します。

暗号化は企業にとってどのように役立つのでしょうか?

クラウドコンピューティングを導入する企業が増える中、サイバーセキュリティ戦略にデータの暗号化を取り入れる必要性が高まっています。暗号化によって企業の運営をサポートする方法はいくつかあります。

電子メールの暗号化: 電子メールは組織全体のコミュニケーションや業務運営の基本であるため、悪質な業者は攻撃や不注意による情報開示を狙って電子メールをターゲットにしています。金融サービスや医療などの業界は規制が厳しいですが、特に電子メールでは、エンドユーザーが標準的な業務手順への変更に抵抗することが多いため、施行が困難な場合があります。オペレーティングシステムや一般的な電子メールクライアントを暗号化ソフトウェアで強化することで、暗号化された電子メールを暗号化されていない電子メールと同じように簡単に送信することができます。

ビッグデータ: プライバシーコンプライアンスのための継続的なデータ保護、安全なクラウド分析、クラウド転送のための暗号化とトークン化技術などで、暗号化はデータ中心の保護を一元化することでマルチクラウドの運用を効率化できます。機密データがマルチクラウド環境を横断する場合、必ずこれらの技術によって暗号化されます。

決済セキュリティ: 加盟店、決済処理業者、企業は、PCI-DSS(決済カード業界データセキュリティ規格)やデータプライバシー法に準拠するために、決済カード会員データなど高価値の機密データを保護することが大きな課題となります。そこで、暗号化ソフトウェアを用いて、小売店のPOS、ウェブ、モバイルのeコマース取引を保護することができます。

暗号化によって提供される上記のサービスや保護に加えて、機密性(メッセージの内容を暗号化する)、認証(メッセージの出所を検証する)、否認防止(暗号化されたメッセージの発信が信頼できる形で否定されることを防ぐ)、完全性(メッセージ内容が改ざんされていないことを証明する)を提供します。

暗号化のデメリットはありますか?

暗号化は、不正に入手したデータを解読することができないように、認可されていない人物を排除するように設計されています。しかし、状況によってはデータの所有者を排除することにもなりかねません。キーの管理は企業にとって厄介です。なぜなら、キーはどこかに保管する必要があり、多くの場合、攻撃者はキーを見つけることに長けているからです。キーの管理は、災害時にキーの検索やバックアップサーバーへの追加に時間がかかるため、バックアップと復旧をさらに複雑にします。管理者は、キー管理システムの保護計画(大規模災害が発生した場合に容易に取り出せる独立したバックアップなど)を策定しておく必要があります。

キーラッピングなど、キーの管理を効率化するソフトウェアが存在します。これは、組織の暗号化キーを個別または一括で暗号化するものです。必要なときにラッピングを解除することができ、通常は対称的な暗号化で対応します。

ブルートフォース攻撃は高ビットのキーには効果がありませんが、脆弱性は存在します。攻撃の試みの多くは、ソーシャルエンジニアリングの手法でキーに不正にアクセスすることに焦点を当てています。つまり、システムではなく、それを維持、運用する人間を攻撃します。フィッシング、マルウェア、BadUSB 攻撃:ハッカーが人間の弱みを利用して攻撃を仕掛けて、外部からの攻撃からネットワークを守るためのセキュリティ対策を回避する方法も数多く存在します。

また、ソフトウェアベースの暗号化 は、ハードウェアベースの暗号化より安全性が低いとされています。ソフトウェアベースの暗号化‘は、物理的な攻撃を行う悪意あるアクターによって回避される可能性があるため、一部では「取り外し可能な暗号化」とも呼ばれています。 ハードウェアベースの暗号化 は、改ざんを防ぐ物理的な防御を含むため、一般的により安全だと考えられています。

#KingstonIsWithYou #KingstonIronKey

専門家に照会する

専門家に照会する

正しいソリューションの設定計画を行うには、顧客のプロジェクトのセキュリティ目標を理解する必要があります。そのためにキングストンの専門家がご案内します。

専門家に照会する

関連動画

関連記事