暗号化というテーマを深く掘り下げると、そのプロセス全体がいかに複雑に見えるかが分かります。
データ暗号化とは?
データ暗号化を行うと、重要なデータをコードに変換し、復号鍵と呼ばれる秘密鍵を持つ人だけがデータにアクセスすることができます。
データ暗号化について説明する際に知っておくべき一般的な用語には、以下のようなものがあります。
- 平文:これは暗号化されていないデータです。つまり、誰でもアクセスして読むことができます。
- 暗号文:これは、データの暗号化処理を行った結果です。暗号化された平文は、ランダムな文字の集合として表示されます。
- 暗号:データのコード化に使用される暗号化アルゴリズムに関連するものです。暗号文は、文字通り、暗号化アルゴリズムの影響を受けたテキストを意味します。
- 暗号化:実際にファイルやデータにアルゴリズムを適用して、鍵がなければアクセスできないようにしたり、使えないようにしたりする手法です。
- 復号化:暗号化されたファイルを解読して元に戻す手法です。
- 鍵:暗号鍵とも呼ばれ、平文を暗号化された暗号文に変換するためのものです。
暗号化のさまざまな種類を調べる前に、このデータ保護戦略は、転送中と保存時という2つの異なる状態の情報を保護するために使用できることに注意してください。
保存データの暗号化とは
保存データの暗号化は、受動的な状態にあるデータを保護するために設計されています。
簡単に言うと、保存データは保存されており、積極的にアクセスされているわけではありません。保存データの暗号化は、データが転送されていないとき、またはビジネス目的で使用されていないときに、データへのアクセスを制限します。
転送中データの暗号化とは
転送中データの暗号化は、保存データの暗号化の正反対です。
転送中データの暗号化を適切に行うことで、データは別のサービス、デバイス、またはクラウド環境に転送されている間、保護されます。データを表示するには、情報の受信側が暗号鍵を入手する必要があります。これについては、次のセクションで詳しく扱います。
暗号鍵とは
どの種類の暗号化を使用するとしても、暗号鍵が必要です。
この鍵は、暗号化アルゴリズムと組み合わせて使用される文字の集合です。
一見したところ、暗号化されたデータは構造化されておらず、ランダムであるように見えるかもしれません。しかし実際にはそうではありません。暗号化されたデータはごちゃ混ぜになっていますが、この情報のシャッフルは暗号鍵とアルゴリズムを使って予測可能な方法で行われます。
暗号鍵の複雑さはさまざまです。最も高度な暗号化では、事実上回避不可能な鍵を使用します。その結果、暗号鍵を持つ個人だけが、元の状態の情報を見ることができます。
暗号化のメリット
暗号化をデータ保護戦略として取り入れることで、組織には以下のようなメリットがあります。
プライバシーの向上
2018年、欧州連合は一般データ保護規則 (GDPR) を制定しました。GDPRは、欧州の市民の情報を保護することに関して、消費者の権利を確立し、組織の責任の概要を述べた包括的なデータ・プライバシー規制です。
それ以来、米国内のいくつかの州では、独自のデータ・プライバシー法が制定されています。日本、中国、ブラジルなどの国もこれに続いています。
データ・プライバシーに積極的に取り組むことは、組織にとって極めて重要です。データ・プライバシーとコンプライアンスに積極的に取り組むには、多角的な戦略が必要ですが、データの暗号化は正しい方向への大きな一歩です。
データ暗号化は、消費者のプライバシーを保護するのに役立ちます。不正なアクセスからデータを保護し、企業が重い罰則金を科されるリスクを軽減することができます。
セキュリティ
サイバー攻撃は、ここ数年、頻度と巧妙さの両面で増加傾向にあります。サイバー攻撃は一度でも成功すれば、組織を活動不能にし、何千もの機密記録を公開し、ブランド・イメージに回復不能な損害を与える可能性があります。
データの転送中および保存時に暗号化することで、サイバー攻撃に対する脆弱性を軽減することができます。たとえ悪意のある攻撃者がネットワークに侵入することに成功したとしても、暗号化されたデータにアクセスすることは困難になります。
データの暗号化に積極的に取り組み、ディザスタ・リカバリ・プランを策定および維持することで、転送中の傍受から機密情報を保護し、サイバーセキュリティ戦略を強化することもできます。
データ保全性
データ保全性とは、データベース内の情報の正確さを意味します。不完全な記録や一貫性のない記録は、ビジネス継続性の脅威となるだけでなく、コンプライアンス上の問題を引き起こす可能性があります。
暗号化により、重要なビジネス情報へのアクセスを制限することで、データ保全性が維持されます。データが保存時および転送中の両方で暗号化されている場合、許可された当事者のみが情報にアクセスすることができます。
こうした保護により、悪意のある攻撃者がファイルを改ざんしたり、データの正確さに影響を与えたりするのを防ぐことができます。さらに、データ暗号化により、権限のないスタッフが重要な情報にアクセスすることを禁止することで、ファイルを誤って削除したり改ざんしたりするリスク軽減することができます。
データ・コンプライアンス
クラウドベースのリソースと情報技術を活用する組織には、包括的なデータ・コンプライアンス戦略が必要です。この戦略により、組織は適用される規制に対する違反を回避し、データの不可侵性を保護することができます。
データ暗号化は、外部と内部のさまざまな脅威から情報を保護するという方法で、他のデータ・コンプライアンスの取り組みを補完します。データ暗号化をコンプライアンス戦略全体に盛り込むことで、罰金を科されるリスクを軽減し、かつ違反行為から保護することができます。
暗号化方式の種類
暗号化には、主に以下の2種類があります。
非対称暗号化
非対称暗号化は、その名が示すとおり、非対称に行われます。どういうことかというと、2つの異なる暗号化キーがあるということです。公開鍵はデータの暗号化に使用され、秘密鍵はデータの復号化に使用されます。
非対称暗号化は、Transport Layer Security (TLS) やその前身であるSecure Sockets Layer (SSL) と呼ばれるWebセキュリティ技術とともに使用されることがよく知られています。
このアプリケーションで使用される場合、ウェブサイト訪問者から提供された情報や収集された情報は、公開鍵で暗号化されます。サイトを管理する組織は、データを受け取ると、秘密鍵で復号化します。
対称暗号化
対称暗号化では、鍵は1つだけです。このタイプの暗号化は、一般に、組織内の2つの部門間でミッションクリティカルなデータを共有するなど、内部目的で使用されます。
たとえば、重要なファイルを同僚に送る必要があるとします。それを電子メールで送る前に、鍵を使って暗号化します。そうすれば、安全にファイルを転送することができます。ただし、同僚がファイルを復号して見るためには、鍵を入手する必要があります。
暗号化アルゴリズム:暗号文の作成方法
暗号化の主な種類は2つだけですが、暗号化アルゴリズムは数多く存在します。ここでは時間の都合上、最もよく使われる暗号化アルゴリズムのうち、以下の3つだけを取り上げます。
AES
Advanced Encryption Standard (AES) は、最も安全なタイプの暗号化の1つとして広く認められています。AESの導入は、セキュリティ組織、政府機関、重要なデータを扱う企業で頻繁に行われています。この規格では、対称暗号化が使用されます。
AESの特徴は、情報をビット単位ではなく、ブロック単位で暗号化することです。AESのアルゴリズムにはいくつかのバリエーションがあり、作成するブロックの大きさによって名前が付けられています。
たとえば、AES-128ではデータを128ビットサイズのブロックに分割して暗号化し、AES-192ではデータを192ビットサイズのブロックに分割して暗号化します。AESの3つ目のバリエーションはAES-256で、データを256ビットサイズのブロックに分割して暗号化します。
また、AESのバリアントは、それぞれラウンド処理の回数が異なります。AES-256は14回のラウンドでデータを暗号化するのに対し、AES-128は10回のラウンドで情報を暗号化したテキストに変更します。
3-DES
トリプルData Encryption Standard (3-DES) は、Data Encryption Standard (DES) の最新のバリアントです。後者のDESは1970年代に作成され、将来のデータ暗号化タイプの基礎を築きました。DESは56ビット暗号鍵しか使わないため、ハッキングが非常に簡単に行われていました。
3-DESは3つの異なる56ビットの鍵を使用し、DESと比べてはるかに高い保護機能を提供します。しかし、より高いビットの鍵や、AESモデルに見られる256ビットサイズのブロック暗号化形式と比べると、安全性は劣ります。
3-DESは、現在でも金融機関の間で限られた容量で使用されています。しかし、徐々に廃止されつつあり、他の業界ではほとんど使用されていません。
SNOW
SNOWは、2000年代初頭に作成されて以来、何度も改変されてきた単語指向の暗号です。オリジナル・バージョンは単にSNOW 1.0と呼ばれていました。それ以降のバージョンは、SNOW 2.0およびSNOW 3Gと呼ばれました。
最新バージョンはSNOW-Vと呼ばれています。しかし、現時点ではあまり普及していないため、今回はSNOW 3Gを中心に取り上げます。
SNOW 3Gは、128ビットの鍵を使用して、32ビットの単語の列を生成するストリーム暗号です。これらの単語は、暗号化されたファイルに含まれる基本的な情報を隠すために使用されます。
最近では、SNOW 3Gは主に対称暗号化に使用されています。ただし、非対称暗号化にも使用できます。安全性は3-DESより高いものの、AES-256ほどの堅牢性はありません。
Seagate Lyve Cloudが暗号化を使用する方法
Seagate Lyve Cloudは、標準TLS 1.2とともに、256ビットの高度な暗号化を使用しています。一般的にAES-256-GCMと呼ばれるこの暗号化プロトコルは、クライアントがLyve Cloudサービスに対して安全な通信回線を確立できるようにします。
効率的で、コスト効率に優れた、安全なクラウドベースのストレージ・ソリューションを必要としている場合は、ぜひSeagate Lyve Cloudをご検討ください。詳細については、専門家にお問い合わせください。
