特集
» 2017年05月30日 10時00分 公開

セキュリティ最初の一歩:認証への意識の低さが「データ暗号化」を台無しにする理由 (1/2)

データを暗号化するだけで、情報が守られるわけではない。ユーザーIDやパスワードといった認証のための情報が流出したら、暗号化したデータは容易に復号できてしまう。

[宮田健,キーマンズネット]

 情報漏えいやデバイス紛失のリスク軽減のため、ファイルサーバやクライアントPCに保存しているファイルの暗号化を実施する企業は多い。特別なソリューションを導入せずとも、Windowsには「BitLocker」が、macOSには「FileVault 2」というディスク暗号化機構が備わっており暗号化は容易になった。

 しかし、ディスク暗号化やファイル暗号化を行うだけで、情報が守られるわけではないことに注意したい。たとえ、ディスク暗号化を施していたとしても、ユーザーIDやパスワードといった認証のための情報が流出したら、暗号化したデータは容易に復号できてしまう。つまり、認証という部分にも注目しなくてはならない。

 暗号化したデータを守るためには、どこまでセキュリティを考えるべきなのだろうか。ディスク暗号化ソリューションを提供するウィンマジックのマーク・ヒックマンCOO(最高執行責任者)に話を聞いた。

iPhoneへのハック、FBIは暗号化ではなく「認証」を攻撃した

 なぜデータ暗号化の文脈において認証部分にも目を向けるべきなのか。これを逆説的に理解するための“事例”が、米連邦捜査局(FBI)によるiPhoneのロック解除だ。

マーク・ヒックマン ウィンマジック マーク・ヒックマンCOO

 2015年12月に米カルフォリニアで発生したサンバーナディーノ銃乱射事件において、FBIは容疑者が使っていたiPhoneに保存されている暗号化データを何としてでも入手したいと考えた。暗号化をすり抜けるためのバックドアを作れという要求を拒んだAppleとの攻防は記憶に新しいところだろう。

 この騒動の結果はご存じの通り。FBIはイスラエルのセキュリティ企業にiPhoneをハッキングさせることによって、一応の結末を見た。

 「この時、FBIが依頼した企業はiPhoneの暗号化部分をハックしてデータを入手したわけではありません。iPhoneの認証部分をハックして、『正しいユーザー』としてログインし、復号されたデータを入手したのです。このことからも分かる通り、認証部分のセキュリティを強化することはとても重要なことでしょう」(ヒックマン氏)

 ウィンマジックは、トロントに本社を置くカナダのセキュリティ企業だ。認証や暗号化の領域で、ヒューレットパッカード、レノボ、IBMといったパートナー企業とともに、多くの企業にソリューションを提供する。日本では、2015年から本格展開し、「データを守ること」に注力している。

 ヒックマン氏によれば、今日のデータの暗号化では、OSに付属する暗号化エンジンの利用だけでなく、専用ハードウェアによる暗号化や独自エンジンを用いた暗号化など多様な手法が選択できる。しかし、重要なのはどの方法を選んだとしても、その管理作業をおろそかにしてはならないということだ。つまり、復号のための「鍵」を管理する必要がある。

エンドポイントの暗号化

 「特にWindowsは世界で最も狙われるOSといえます。暗号化にBitLockerを使ったとしても、認証部分が弱いままでは不安が残ります。今後、EUにおける一般データ保護規則(GDPR)が施行されれば、何らかの方法でデータの確実性が保証できない限り、多くの企業でビジネスが成り立たなくなるでしょう。このようなグローバルな法規制からも認証と鍵を企業全体で管理することが非常に重要になっているのです」(同氏)

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.