認証への意識の低さが「データ暗号化」を台無しにする理由

この記事をtweetする このエントリーをはてなブックマークに追加


認証への意識の低さが「データ暗号化」を台無しにする理由

エンドポイントセキュリティ 2017/05/30

 情報漏えいやデバイス紛失のリスク軽減のため、ファイルサーバやクライアントPCに保存しているファイルの暗号化を実施する企業は多い。特別なソリューションを導入せずとも、Windowsには「BitLocker」が、macOSには「FileVault 2」というディスク暗号化機構が備わっており暗号化は容易になった。

 しかし、ディスク暗号化やファイル暗号化を行うだけで、情報が守られるわけではないことに注意したい。たとえ、ディスク暗号化を施していたとしても、ユーザーIDやパスワードといった認証のための情報が流出したら、暗号化したデータは容易に復号できてしまう。つまり、認証という部分にも注目しなくてはならない。

 暗号化したデータを守るためには、どこまでセキュリティを考えるべきなのだろうか。ディスク暗号化ソリューションを提供するウィンマジックのマーク・ヒックマンCOO(最高執行責任者)に話を聞いた。

iPhoneへのハック、FBIは暗号化ではなく「認証」を攻撃した

 なぜデータ暗号化の文脈において認証部分にも目を向けるべきなのか。これを逆説的に理解するための“事例”が、米連邦捜査局(FBI)によるiPhoneのロック解除だ。

 2015年12月に米カルフォリニアで発生したサンバーナディーノ銃乱射事件において、FBIは容疑者が使っていたiPhoneに保存されている暗号化データを何としてでも入手したいと考えた。暗号化をすり抜けるためのバックドアを作れという要求を拒んだAppleとの攻防は記憶に新しいところだろう。

 この騒動の結果はご存じの通り。FBIはイスラエルのセキュリティ企業にiPhoneをハッキングさせることによって、一応の結末を見た。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

ウィンマジック マーク・ヒックマンCOO

「この時、FBIが依頼した企業はiPhoneの暗号化部分をハックしてデータを入手したわけではありません。iPhoneの認証部分をハックして、『正しいユーザー』としてログインし、復号されたデータを入手したのです。このことからも分かる通り、認証部分のセキュリティを強化することはとても重要なことでしょう」(ヒックマン氏)

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ

認証/認証への意識の低さが「データ暗号化」を台無しにする理由」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「認証」関連情報をランダムに表示しています。

認証」関連の製品

アカウント管理セルフサービス ManageEngine ADSelfService Plus 【ゾーホージャパン】 ペーパーレス役員会議システム ConforMeeting/e 【NEC】 エンタープライズシングルサインオン 「Evidian Enterprise SSO」 【EVIDIAN-BULL JAPAN】
ID管理 その他情報システム関連 シングルサインオン
セルフサービス機能により、Active Directoryのロック解除、パスワードリセット、パスワード変更などを社員に任せられる“アカウント管理セルフサービスソフト”。 役員会議など秘匿性の高い会議資料をペーパーレス化し会議の効率化及び質の向上を実現。Windows、Android、iOSのマルチOSに対応し資料閲覧や手書きメモを画面上で行える。 Windowsデスクトップ上に認証画面を表示する多様なアプリケーションに対し、アプリケーション側の修正なしにシングルサインオンを可能にする。

認証」関連の特集


昨年から急増するWebサイトへの成りすましアクセス。時に莫大な損害賠償やブランド毀損を招きかねない不…



警察庁発表の調査データから、盗聴被害の現状を報告。さらに、IP電話に欠かせないSIPを狙った攻撃手法…



IT統制とITマネジメントの概要を解説した上でSOX法などで注目される、ITリスク・マネジメントを専…


認証」関連のセミナー

NEC、ビジネスメール詐欺/なりすましメール対策セミナー 【日本電気/NECソリューションイノベータ】 注目 

開催日 10月19日(金)   開催地 東京都   参加費 無料

 昨今、実在する企業/取引先になりすましメールを送信し、金銭/情報を詐取するビジネスメール詐欺やフィッシング詐欺等の情報セキュリティ事件が急増しています。 事件…

DT10 Automotive Editionで学ぶ! 動的テスト体感セミナー 【ハートランド・データ】  

開催日 9月28日(金)   開催地 大阪府   参加費 無料

機機能安全規格「ISO 26262」に適合が求められているが、どのようなテストが必要になるのか。本セミナーでは、DT10 Automotive を導入し、これか…

Webと電子証明書〜TLSからCAまで〜 【日本ネットワークインフォメーションセンター】 締切間近 

開催日 10月3日(水)   開催地 東京都   参加費 有料 4万円(税込)

●概要WebサーバにおけるPKIやTLS接続の意味を学びながら、PKIに関わる操作を体験できるハンズオンコースです。本講座では、サーバ設定・Webブラウザの設定…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

認証/ 認証への意識の低さが「データ暗号化」を台無しにする理由」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「認証/ 認証への意識の低さが「データ暗号化」を台無しにする理由」の記事の続きがお読みいただけます。


Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30009701


IT・IT製品TOP > エンドポイントセキュリティ > 認証 > 認証のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ