データ漏洩・盗難対策を“完璧”に近づける「マルチレベル暗号化」のすすめ

ライフサイクル全般にわたるデータ保護を実現する

（2007年01月25日）

暗号化技術の利用が企業の機密データの保護において有効であることはもはや言うまでもないだろう。ただし、クライアントPCだけ、VPNだけといったように、企業ネットワークの一部でしかこの技術を利用していないとしたら、データは依然として危険にさらされていることになる。本稿では、企業内のデータを漏洩・盗難から防御し、完全に保護するための対策として、データの作成・操作・保存・転送というライフサイクル全般をカバーする「マルチレベル暗号化」を提案したい。この対策に取り組むにあたってのポリシーの策定について解説した後、5つのレベルごとに暗号化製品を紹介する。

ロジャー A.グライムズ
InfoWorld米国版

企業の法的義務となりつつある機密データの暗号化

　米国のプライバシー保護団体であるプライバシー・ライツ・クリアリングハウスは、情報漏洩について驚くべき調査結果を発表している。米国成人の3分の1が、2006年中に自身の個人電子情報を企業に流出・紛失されるなどの被害にあうというのだ。この数字がどの程度正確であるかはさておき、情報漏洩事件の発生件数が膨大になっているのは紛れもない事実である。

　さて、この種の事件が発生した場合、だれが責任を負うことになるのだろうか。事件に直接かかわったクラッカーや不注意な従業員に責任があるのは間違いない。加えて、最近は、機密データの保護を怠ったとして、企業も過失責任を問われるようになってきている。つまり、企業が機密データを適切に保護していなかった場合、顧客に被害が及び、企業の信用が失墜するだけでなく、法に抵触する可能性すらあるというわけだ。

　米国ガーディアンエッジ・テクノロジーズでマーケティング担当バイスプレジデントを務めるウォーレン・スミス氏は、「米国の各州が定める20のプライバシーに関する法規制のうち、機密性の高い顧客情報を暗号化によって保護するよう求めているものは16に上る」と説明する（コラム1）。

　残念ながら、今のところ、既存の法規制やガイドラインは、互いに相反する内容になっているなど、規範として統一が図られていない。また、クライアントPCからWebサーバまで、あらゆる場所に散在するデータをまとめて暗号化できる製品もまだ存在しない。こうした状況の下、企業が機密データを安全に保護するには、戦略的な「暗号化のポリシー」を策定する必要が出てくる。

COLUMN1：企業のデータ保護に関連する主な法律／規格

米国において、顧客データの保護を目的とする法律や規格は全部でいったいいくつあるのか。データの機密性や暗号化に関する法規制が複数存在している事実は、そのどれもが基準の規範になりえないという不幸な事態を招いてしまっている。つまり、暗号化製品が法規制に準拠しているかどうかは、監査役や弁護士の判断次第となってしまっているというわけだ。とはいえ、データ保護に関連する法律や規格を知っているに越したことはない。以下、その主要なものを紹介しよう。

（1）世界人権宣言

　これは法律ではないが挙げておきたい。第2次世界大戦を受けて国連で採択された同宣言の第12条では、個人がプライバシーを持つ権利について定めている。調印各国は現在のIT時代を予見していたわけではないだろうが、この条文は、個人情報保護の根拠としてしばしば用いられている。

（2）米国企業改革法（Sarbanes‐Oxley Act：SOX）

　1990年代後半から2000年初頭に頻発した企業による不正会計問題を受け、社会の信用を取り戻すために2002年に制定されたのがこの法律だ（特に第404条はIT統制の効力について定めている）。同法に故意に従わなかった場合には、民事罰・刑事罰の対象になる。

（3）米国金融制度改革法（Gramm-Leach-Bliley Act of 1999）

　同法は1999年に、金融機関が収集、保有、処理する消費者の金融情報の機密性を保護するために制定された法律である。

（4）医療保険の相互運用性と説明責任に関する法律（Health Insurance Portability and Accountability Act：HIPAA）

　1996年に制定されたこの法律は、個人を特定することのできる医療データを、患者の同意なしに第三者機関に開示することを制限している。同時に、患者が自分自身の医療記録を閲覧する権利も定めている。なお、この法律はしばしば、強制的な執行力に欠けるという批判を受けている。

（5）電気通信プライバシー法（Electronic Communications Privacy Act：ECPA）

　この法律は、電子メールをはじめとする、電子的に送受されるデータを保護することを目的としている。実質的には、だれが、どの情報を、どのような条件下で閲覧できるかを定めた法と言える。例えば、通常、雇用主が従業員の電子メールを読むことは法的に認められるが、プロバイダーなど通信事業者に対し、契約者の電子メールの開示を求める際には裁判所の令状が必要になる。

（6）EUデータ保護指令（European Union DPD）

　同指令はEUの全加盟国が国内規制で順守する必要がある基本的なプライバシー要件を定めている。全体的に、基本的な保護のレベルは米国におけるそれよりも高いものとなっている。

（7）ISO-17799/BS-7799

　ISO-17799/BS-7799は、ITセキュリティ全般に関する国際的なガイドライン・規格として、世界各国で急速に標準的な存在になりつつある。同規格に準拠していることを証明するためには、同規格に基づく内部監査および外部監査を受ける必要がある。

データのライフサイクル全般にわたるデータ保護が必要

　筆者の提案は「マルチレベル暗号化」だ。これは機密データを、作成・操作・保存・転送というライフサイクル全般において暗号化することをいう。データのライフサイクルにおいて、データが漏洩する危険性が最も高いのは、インターネットなど信頼できないネットワーク経由で伝送されるときと、持ち歩き可能なノートPCやメディアに保存されているときだ。

　暗号化の対象として、データのストレージに加えて、その入出力間の全経路をカバーすることを検討する。最近のクラッカーは、サーバよりクライアントを標的にする傾向にあり、従業員が気づかないうちにトロイの木馬やキー・ロガーといったマルウェア（悪意のあるソフトウェア）を仕込み、PCのアクセス権を奪取して社内の機密データに不正にアクセスしようとする。また、マルウェアの中には、ネットワーク上のデータにアクセス可能なものがあるため、オンラインで保存しているデータも被害を受けるおそれがある。

　典型的なストレージ／入出力の経路としては、有線／無線LAN、ハードディスク、フロッピーディスク、CD-ROM、DVD、バックアップ・メディア（テープやWORMドライブなど）、電子メール、インスタント・メッセージング（IM）、P2Pアプリケーション、PDA、データベース、USBキー、パスワード、アクティブなメモリ領域などが挙げられる（図1）。