データベースかいわいのセキュリティに関して「暗号化」と「アクセス制御」は、どちらが重要かと常に競争してきた。

　この2つは、セキュリティに対するアプローチがお互い明確に違い、長所と短所もそれぞれ違うため、ユーザーたちを悩ませた。

　そこで今回は暗号化とアクセス制御の長所と短所を調べ、情報保護のために使用すべき究極のソリューションは何かを説明したい。

　まず暗号化は、アクセス制御に比べてはるかに高いセキュリティをアピールした。万が一、情報漏えい事故が発生した時にも既に暗号化されたデータであれば、内容だけは露出されず済むため、暗号化こそ必要不可欠なセキュリティ方法だというのが訴えだ。

　しかし、全体のセキュリティシステム構築にかかる期間が比較的長く、構築後の暗号化処理をしてみると、システム性能に影響を及ぼす可能性があるという点が短所として指摘されたりもした。特に速度と安定性が強く要求される金融機関などの企業は、性能への影響に対する予測が難しいという点から、暗号化システムの導入をためらったりもした。

　一方、アクセス制御は暗号化に比べて容易な構築など、主にシステムの可用性をアピールした。アカウントによって情報に対するアクセス権限を付与したり、遮断する方法を通じて情報漏えいを未然に防止したりする効果があるという、システムとネットワーク性能に及ぼす影響が暗号化に比べて少ないという点を長所として広報した。セキュリティツールであるにもかかわらず、セキュリティに対する言及が少ないという点は、おそらく自らも短所を認めるところなのであろう。

　暗号化とアクセス制御は長年の競争を通じて機能性がどんどん向上した。互いを反面教師にし、自らの短所を克服し、自分の強みをより引き上げようとする努力をしてきた。そろそろ、2つの技術の優位を判断する時になったと私は考えている。

　暗号化は、これまで金融機関などのシステム性能と速度、そして安定性などに非常に敏感な現場にも採用されるよう性能を向上させたことで、不足していると評価されたシステム可用性の問題を克服したという事実を証明した。アプライアンス一体型の方式の導入など、ソフトウェアとハードウェアを含めた不断の努力を通じて短所と指摘されてきた速度の問題も解決した。その結果、今では「暗号化はセキュリティレベルは高いとはいえ、速度が遅いのが問題」という人がいなくなった。

　一方、アクセス制御は長所をよりアピールしていくことに注力した。「アクセス制御のハードウェアを1つだけ設置すれば、たった数日に全てのセキュリティ問題がきれいに解決される」という言葉は、企業のセキュリティシステム構築の担当者なら誰でも一度は聴いたことのあるようなうたい文句だ。実は主客が転倒した言葉であることにはすぐ気付くかもしれないが、かなり効果的だったようだ。さらに暗号化を代替できるとし、データマスキング機能などを強くアピールしたりもするが、情報セキュリティの専門家たちはこれを話にならない、無駄だといっている。

　暗号化とアクセス制御の第一戦は終了したようなものだ。ほとんどの企業ではセキュリティ政策を「情報が絶対流出しないこと」を大前提にしようとする傾向がある。「流出」を根本的に防ぐ方針を立て、数多くのツールを導入するが、それにもかかわらず大規模な情報漏えい事故をたびたび起しているところを見ると、非常に深刻な弱点を内包しているように見える。

　残念な話だが、情報は流出するものなのだ。また流出した情報は急速に広がっていくため、いくら防ごうとしても人の力で防げるものではないのだ。むしろ、情報流出は必然とまで考えておいたほうが良いかもしれない。

　結局、情報はいつでも流出する可能性があるという前提のもと、流出を防ぐために最善を尽くすべきなのだ。万が一、情報が流出した際、きちんと備えられているかが重要となる。要は、情報は流出しても「情報の中身」は流出させない、これが重要な手だてだ。暗号化は、価値を持つ情報を変形し、無意味で価値のないビットに置き換えることにより、情報窃盗を狙う目的そのものを破壊させる事故防止の方法である。同時に情報が既に流出された状況でも情報の内容が露出される最悪の事態だけは発生しないようにする最終兵器そして究極の兵器といえる。

　例えると、金を無価値な石に変えるといったようなことだろう。金を狙う者は多いが、石を狙う者はない。ただ元の状態への変換の鍵、つまり暗号化、復号のための暗号鍵を知っている者だけが石を再び金に変えることができる。誰が暗号化鍵を持つのかをあらかじめ指定することによって、情報アクセス権限を管理するという点から見ると、鍵管理を適切に運用すれば、アクセス制御が提供するセキュリティを既に含めているといっても間違いではないと、私は思う。