データ漏洩・盗難対策を“完璧”に近づける「マルチレベル暗号化」のすすめ

ライフサイクル全般にわたるデータ保護を実現する

（2007年01月25日）

前のページへ < ｜1｜2｜3｜4｜ > 次のページへ

（2）ボリューム／パーティション・レベルの暗号化

画面2：オープンソースのボリューム／パーティション暗号化ソフトウェア「TrueCrypt」の操作画面

　上記のようなファイル／フォルダ・レベルの暗号化の問題点を解決しているのが、ボリューム／パーティション全体を対象とする暗号化である。このタイプのポピュラーな製品には、オープンソースの「TrueCrypt」がある（画面2）。

　ボリューム／パーティションの暗号化は、OSまたはサードパーティのソフトウェアで実現され、方式は複数ある。1つは、暗号化されたボリューム全体を1つの大きな論理ファイルとして作成し、そのボリュームに対して1つの構成要素としてデータを追加していくという方式である。また、カスタム・デバイス・ドライバを追加してOSと連携させて、通常のファイルを読み込み／書き込みするルーチンに、暗号化／復号のルーチンを差し挟む方式もある。

　ボリューム／パーティションを暗号化する製品の問題点としては、ハードディスクまたはボリュームにおいて、破損イベントが1度発生しただけで利用できなくなったり、暗号が1度破られたらすべてのファイルが被害にあったりといった危険性があることなどが挙げられる。また、ボリュームが暗号化される前のデータをディスクから直接読み取れるコードを悪用されると、データをプレーン・テキストとして取得されてしまうという問題もある。

（3）メディア・レベルの暗号化

　ハードディスクやリムーバブル・メディア内のデータを暗号化するメディア・レベルの暗号化製品は、暗号化製品の中で最も強力である。このレベルの暗号化は、アプリケーション、OS、またはハードウェアによって実現され、シーゲイト・テクノロジーズなど、ハードディスク・ベンダーもこの分野に参入している（表1）。

表1：主な暗号化製品

（4）フィールド・レベルの暗号化

　フィールド・レベルの暗号化は、データベースを保護する場合に用いられる。このレベルの暗号化は列単位または行単位で行われるが、一般には、要素ごとにデータを暗号化することが推奨される。基本的に、データはデータベース・テーブルへ格納される前に暗号化され、オンザフライ（リアルタイムかつ自動）で復号されるため、通常の方法でインデックスを作成したり、クエリーを実行したりすることは困難になる。よって、フィールド・レベルの暗号化ルーチンはデータベース特有の処理と密に連携させることが必須となる。

　フィールド・レベルの暗号化製品の多くは、特定のデータベースまたはアプリケーション向けであり、複数のデータベースやアプリケーションで利用したい場合にはカスタマイズが必要になる。マイクロソフト、IBM、オラクルなど大手のデータベース・ベンダーは、いずれもフィールド・レベルの暗号化製品を提供している。

（5）通信レベルの暗号化

　安全でないネットワークを介して転送するデータを保護するのが通信レベルの暗号化製品である。インターネットを介する通信ではSSL/TLSによる暗号化が、また、VPNなどその他のネットワーク通信ではSSL、SSH、IPSecによる暗号化が一般的となっている。加えて、電子メールの保護は、PGPやS/MIMEによる公開暗号鍵方式によって実現される。今後は、利用が急増しているP2PアプリケーションやIMについても、認証と暗号化を行う必要がある。

　なお、複数のプラットフォームやデバイス上のデータを保護する場合には、複数のレベルをカバーできる統合型の暗号化製品の出番となる。なかには、ハードディスク、リムーバブル・メディア、USBキーなどの暗号化に対応しているうえ、集中管理と暗号鍵のリカバリ機能を備えている製品もある。多くの場合、単機能の暗号化製品を兼用するよりも、統合型暗号化製品を利用するほうが管理が容易で低コストと言えよう。

　統合型暗号化製品の1つに、「PGP NetShare」がある（画面3）。同製品は、複数のアプリケーション（ファイル・サーバ、電子メール、IMなど）とデバイス（ノートPCやPDAなど）に対して共有ファイルの暗号化機能を提供する。PGPのマーケティング担当バイスプレジデントを務めるアンドリュー・クルシック氏によると、同製品によるファイルの暗号化は、サーバ上はもちろん、ネットワークやローカル・コンピュータ上でも実行可能であり、しかもユーザーが用いる暗号鍵は1つで済むという。

画面3：日本PGPの統合型暗号化製品「PGP NetShare」の操作画面

　以上、暗号化製品を暗号化対象ごとに分類して紹介したが、アーキテクチャによる分類もある。具体的には、暗号化処理を実行する場所と暗号鍵を格納する場所によって分類される。暗号化ソフトウェアの大半は、暗号化・復号の処理をコンピュータの汎用メモリ領域で行う。一方、スマートカードや暗号トークンを用いるハードウェア・ベースの暗号化製品は、そのハードウェアだけがアクセス可能なメモリ領域で処理を実行する。これらを比べた場合、後者のほうがセキュアかつ処理が高速である。

　また、多くの製品は、保護対象のハードウェアに暗号鍵を格納する。この場合、暗号鍵は、長いパスフレーズや別のデバイスで暗号化することによって保護する必要がある。最近は、別のハードウェアに暗号鍵を格納するタイプの製品が増えており、そのための2要素認証としてスマートカードが利用されるケースも多くなっている。

前のページへ < ｜1｜2｜3｜4｜ > 次のページへ