暗号化は、データと通信それぞれに情報セキュリティ体制を十分なものにするために欠かせないセキュリティ技術です。
ハッキングや、通信の傍受・不正アクセスに対抗するために、どんな強度の暗号化を利用するか、また、暗号化とともに、ハッシュ化を利用する方がよいのはどんな場面かなど、必ず検討する必要があります。
ISMSに必要な暗号化、類似技術であるハッシュ化、そしてそれらの仕組みについて、この記事でまとめてお伝えします。
また、弊社では、鍵暗号化よりも強固なデータ保護技術によるセキュリティ対策サービスをご提供しておりますので、併せてご参照いただけますと幸いです。
暗号化より堅牢! 電源OFFやオフラインでの遠隔ロックも可能!
暗号化とは?
「暗号化」は、情報を広く他人に見られないようにする必要があるときに、可読的ではない符号やルールによって、可読的な文字列情報を変換して、見られないようにする技術のことをいいます。
他人に知られたくない情報のやり取り・情報が入った電子媒体(USB・CD-ROMなど)の万が一の紛失の際に、見られないようにする場面など、広く利用されています。
これに対して、暗号化を戻して、見てもよい人が見られるようにする技術のことを復号化といいます。暗号化された文字列情報を戻す復号化は、「鍵」により行われます。
ISMSでは暗号化のルールは必要なの?
ISMSは、自分たちにあったルールをつくることができます。基本的にどんなルールをつくるかは組織の自由ですが、ISMSで「暗号化」に関するルールは必要不可欠といってもいいほど重要です。
なぜISMSでは「暗号化」のルールが必要なのでしょうか。
ISMSでも暗号化のルールが必要であることが定められています。暗号化の方法や、その強度が一定以上のものであれば、どのように運用するかは各組織に任されています。十分な暗号化が施されていることが前提となっており、そのうえで情報セキュリティ体制を構築することが条件とされます。
ISMSで暗号化のルールが必要とされているのは、他人に情報を極力読み取られないようにするため、言い換えると、情報の機密性を守ることがISMSでは不可欠であるためです。
もしも情報が暗号化されず、漏えいしてしまうと、重要情報であればあるほど、会社へのネガティブな影響は大きくなります。また個人情報・プライバシー情報が漏えいしたら、社会的な信頼を失いますし、その組織に対して個人情報を預けることはとてもできないと思われます。
信頼を守るために重要なのが、漏えいの防止と共に、万が一漏えいした場合に、被害・損害を最小限にする技術です。そのために暗号化の技術は不可欠であるといえます。
ISMSの意味は、情報を適切に扱っていることを証明し、世の中からの信頼を得るためであることがほとんどと考えられます。情報セキュリティについて信頼を得るために、暗号化が必要なのは当然のことと考えられます。
では、実際にISMS体制を構築するための手引書であるISO/IEC 27002では暗号化に関するルールをどのように定めているのか、見てみましょう。
暗号による管理策の利用方針
この方針とは、事業活動においてどのように暗号化を運用するのか、方針を決めるべきとするルールです。より具体的には、情報のうち、どの情報を暗号化するか、責任者は誰になるのか、など基本的な事項を決めておきます。
鍵管理
暗号鍵をどうやって管理するのかについてのルールです。
暗号鍵を作成し、利用して廃棄するまでの管理のルールを決めておきます。この暗号鍵のライフサイクル全体をカバーするルールが必要です。
具体的には、暗号化の方法や鍵の作成方法、鍵を作成するのが誰であるか、暗号鍵を使う人に対して渡す方法・権限の確認方法や、暗号鍵の保管方法などを決め、これに従って運用する体制も決めておきます。
技術的に特に問題になる点は、暗号化の方法と、暗号鍵を作る方法です。暗号化には共通鍵暗号方式と、公開鍵暗号方式があり、それぞれの方式により、鍵の管理の方法が異なるのです。
- 共通鍵暗号方式
- 共通暗号方式は、暗号化と復号化で1つの鍵を使う方式を言います。暗号化と復号化、双方とも共通の鍵を使うので「共通鍵」といいます。
鍵はやり取りをするペア(2名の人)の間で設定することとなることから、課題はやり取りの人数によって鍵が増えてしまうことです。ただし、処理の速度が速いことがメリットです。 - 公開鍵暗号方式
- 暗号化と復号化、それぞれに鍵を設定し、異なる鍵を利用する方式が公開鍵暗号方式と呼ばれる方式です。暗号化の鍵は誰に対しても公開されているのに対して、復号化の鍵は見てもよい人だけが見られます。
管理する鍵の数が少なくてよいメリットがあり、より安全な暗号化の方式といわれる一方で、鍵の長さが長く処理速度が遅いため、使いづらい場面が生じるのがデメリットになります。
ISMSでも暗号化については、強度・規格などが一定以上のものである必要がありますが、主要な技術要件としては次のことが要求されています。
- WebサービスではSSL通信の保護を必須とする
- ネットワークへの接続は、WPA2以上の強度が保たれるWi‐Fiだけを使う
- インターネット取引には、デジタル署名を利用する
SSL通信・WPA2やデジタル署名は、暗号化を用いた情報セキュリティ対策です。どれも上記のような暗号化方式や、暗号化方式の一種であるハッシュ化という技術を組み合わせ、情報の暴露を防いでいます。
暗号化とハッシュ化の違いとは
暗号化とハッシュ化は、双方ともに見せたくない者に対して情報を暴露することを防ぐ技術ですが、根本的な差は、暗号化は元の情報に戻せるのに対して、ハッシュ化は元に戻せない点にあります。
ハッシュ化は元の情報にハッシュ関数という関数を用いて計算し、桁数・文字数・データの大きさが一定である「固定長」のデータに変換する技術です。
パスワードの管理などに使われ、パスワードを見えないようにして管理すること・パスワードはハッシュ化の上保存したパスワードと照合して認証することなどのためにハッシュ化が一般的に使われています。また、ハッシュ化技術はブロックチェーンにも使われています。
暗号化のメリット
暗号化を行うメリットは、情報の暴露・漏えいを防止することにあります。万が一暗号化された情報が外に漏れたとしても、読み取りができなければ何も問題はありませんので、重要情報の保管には不可欠であるといえるでしょう。
また、通信の場合、第三者による通信傍受を防ぐことができますが、Webブラウザに利用されるSSL技術もその一つです。インターネットショッピングなどに使う個人情報・決済情報はSSLを通さないと傍受される危険があります。SSLはサーバに証明書をインストールしておくことにより、データを暗号化、安全に送受信を行うことができます。
暗号化の注意点
暗号化も、決して万能ではなく、暗号化の技術によって安全性に差があります。
暗号化は、例えば最もシンプルな例はパスワードによる暗号化がありますが、解析・解読されること、あるいは過失などにより他人に知られてしまうことなどで、不正に読み取られることもあります。総当たり攻撃などは、解読を短時間で大量に行うもので、常にパスワードは狙われているものなのです。
また、暗号化されていない文=平文の内容と、鍵を変えないと暗号文の内容は常に同じなので、見破られる危険が増大してしまうことが懸念されます。パスワードを変えるということはこうしたことを避ける意味があります。
さらに、暗号化は、暗号鍵の長さによって強度が規定されるものです。今後コンピュータの性能がさらに上がり、暗号化の解読・解析スピードが上がると、現在の鍵の長さでは足りなくなり、すぐに解析されるリスクも上がってしまいます。 そのため、鍵は最新のISO/IECに準拠しておくべきであり、古い規格にあわせたものでは不適切なのです。
まとめ
暗号化は、ISMSの要件の一部であり、暴露・漏えいから機密情報を保護する役割があります。公開鍵方式・秘密鍵方式があり、ハッシュ化とともにデータの保管および管理・通信などの場面で、日常的に利用されています。暗号化については、どのように暗号化を行うか、また鍵の作成・管理をどうするか、社内のルールとして設定することもISMS認証の要件です。
機密情報は常に狙われていますが、最新の技術標準に合わせた暗号化技術を利用することにより、水準以上の安全性を保つことができます。利用する暗号化の規格は、必要に応じて更新しなければならないことに注意しておきましょう。
また、弊社でお取り扱いしているサービス「ZENMU Virtual Desktop」では、鍵による暗号化よりも強固な「秘密分散」によって貴社の機密情報をお守りします。お申込みの翌々月末日までご利用いただける無料トライアルもご用意しております。貴社の情報セキュリティ対策にお役立ていただけますと幸いです。
