企業の信頼性にも関係するセキュリティ対策のひとつにファイルの暗号化があります。このブログでは、重要な情報が外部に流出するリスクを減らすファイルの暗号化の仕組みや方式・種類などについて解説します。暗号化を効果的に取り入れるための参考にしてみてください。
ファイル暗号化とは? 仕組みを解説
ファイルの暗号化とは、保護したいファイルに対して特別な処理を行い、異なる文字列のデータに変換させる技術のことです。暗号化により文字列の並びが変わるため、例え、第三者がファイルにアクセスしたとしても、ファイルの内容は判別できなくなります。
暗号化したデータを再び判読可能な状態にすることを「復号化」と呼びます。暗号化されたデータは同じ技術を使って復号化され、必要に応じて再び判読可能な状態に戻せます。暗号化を行うことでデータを保護し、第三者へ情報が漏れることを予防します。
データを暗号化するための一定の処理は「暗号アルゴリズム」と呼ばれます。これにはいくつかの種類があり、その種類によって暗号化にかかる処理時間や安全性が異なります。暗号アルゴリズムによってデータが暗号化されると、それと同時に「鍵」が作られます。
この鍵がないとデータの復号化はできません。ただし、鍵が第三者に知られた場合にはこの鍵を使って暗号化したデータを復号化できるため、情報が漏れる恐れがあります。そのため、情報漏えいを防ぐには、鍵をいかに守れるかも重要になってきます。
ファイル暗号化に使われている「暗号アルゴリズム」の種類
現在のセキュリティ界では、暗号アルゴリズムの種類を「共通鍵暗号方式」と「公開鍵暗号方式」の2つに大別しています。これらの暗号アルゴリズムの違いは、暗号化と復号化に使われる鍵の管理方法にあります。
共通鍵暗号方式
暗号化と復号化、両方の作業で同じ鍵を使う暗号アルゴリズムのことを共通鍵暗号方式と呼びます。有名なのが「DES」「RC4」「AES」といった暗号アルゴリズムです。
共通鍵暗号方式のメリットは暗号化処理が高速なことですが、データをやり取りする人数が増える度に、管理すべき鍵の数が増えていきます。そのため、鍵を管理する人数をn人とすると、「n(n-1)÷2個」の鍵を管理しなければならなくなります。
共通鍵暗号方式は、暗号化と復号化に使われる鍵が第三者に知られないよう管理する必要があり、この性質から「秘密鍵暗号方式」と呼ばれることもあります。
公開鍵暗号方式
暗号化と復号化で異なる鍵を使う暗号アルゴリズムのことを公開鍵暗号方式といいます。「RSA」「楕円曲線暗号」などの暗号アルゴリズムが有名です。
共通暗号方式に比べると暗号化処理の速度が低下するものの、管理すべき鍵の数が少なく済むのが大きなメリットです。たとえば鍵を管理する人数をn人とすると、管理すべき鍵の数は2n個になります。
公開鍵暗号方式では、暗号化に使う鍵は公開されているものを使い、復号化に使う鍵は秘密鍵を使います。従って、公開鍵暗号方式では、データの暗号化は誰でも行えますが、復号化は受信者しか行えません。なぜなら、復号化に使う鍵は暗号化されたデータの受信者しか保有していないためです。
公開鍵暗号方式は暗号化処理が低速なので、単独で使うよりも共通鍵暗号化と組み合わせて使われることが多くみられます。データの暗号化と復号化には速度のはやい共通鍵暗号方式を使い、配送する共通鍵そのものは公開鍵暗号方式を使って暗号化および復号化される、といった使い方です。このような方式を「ハイブリッド方式」と呼びます。
暗号化とハッシュ化の違い
暗号化と混同されやすい技術である「ハッシュ化」について簡単に解説します。ハッシュ化とは、元のデータに対して「ハッシュ関数」と呼ばれる処理を加えて、固定長(桁数・文字数・データの大きさが一定である)のデータに変換する技術のことです。ただし、基本不可逆的で元データの変換はできるものの元に戻すことはできません。ハッシュ化は、暗号化にあたる復号化のような処理は存在しないためです。
では、ハッシュ化はどうやって利用されるのか?主な用途はパスワードの管理やファイルチェックなどです。パスワードをハッシュ化して保存することで、パスワードをそのまま管理する必要がなくなります。認証する際は、入力されたパスワードをハッシュ化したものと、保存されているハッシュ化されたパスワードを比較するだけでよいため、パスワード管理をより安全に行うことが可能です。
さらに、インターネットから容量の大きいファイルをダウンロードした際に、サーバー上のファイルとダウンロードしたファイルを比較する場合にもハッシュ化が使われます。容量の大きいファイルをそのまま比較するのは難しいため、ハッシュ化して比較するというわけです。
ハッシュ関数には「MD5」「SHA-1」「SHA-256」などの種類があります。ただし、MD5は元データを計算されてしまう脆弱性が指摘されていることから、今ではほとんど使われていません。
ファイル暗号化によるメリット
ファイル暗号化には、不正アクセス・ウイルス感染時のリスク回避、ヒューマンエラー防止、セキュリティ対策への取り組みを相手に示せるなどのメリットがあります。単なるセキュリティ対策以外のメリットもあるのです。
不正アクセスやウイルス感染時のリスク回避になる
マルウェアに限らずサイバー犯罪は日本でも年々増加していることから、メールの盗聴やウイルス感染によるハッキング、データの盗難など、データやファイルを狙ったサイバー攻撃の被害に遭うリスクに備える必要があります。
また外出先でパソコンを使って仕事をする機会が増えた現在では、パソコンの盗難や紛失の可能性も高くなり、データへの不正アクセスの懸念が増加しています。ファイルが暗号化されていない場合、誰でもPC内のデータやファイルの中身(情報)を閲覧できるため、パソコンや社内ネットワークに一旦アクセスされてしまうと、情報がそのまま外部に漏れる恐れがあります。しかし、暗号化したファイルは暗号鍵が無ければ復元できません。
万が一ファイルに不正なアクセスがあったとしても、重要なファイルが暗号化されていれば、外部への情報流出のリスクは抑えられます。
ヒューマンエラーによる情報漏えいを防止できる
ファイルの暗号化は、ヒューマンエラーによる情報漏えい対策にも効果的です。
毎日の業務でメールを使用する機会が多いと、メールでデータのやり取りをした際にヒューマンエラーが生じる場合があります。
重要なファイルの送信時に、送るはずだった相手を間違えて送った、違うファイルを送ってしまったなど、ヒューマンエラーによるメールの誤送信は完全に無くすことができません。メールの相手がなりすまし被害に遭っているケースなど、普段通りの処理を行っているにも関わらず情報が漏れるリスクもあります。
ファイルが暗号化されていれば、もし重要ファイルを添付したメールが誤った相手に送信されたとしても、メールを受信した相手が暗号鍵を知らない限りデータが流出するリスクは抑えられます。
セキュリティに対する姿勢を発信できる
取引先と重要なデータをやり取りする場合に暗号化されていないファイルを送信すると、セキュリティ面での意識が低い企業だと疑われる恐れもあります。データの漏えいや誤送信に対する対策を行っている企業と認識されると、自社のセキュリティに対する姿勢や取り組みを周囲へのアピールになり、自社の信頼性を高められます。ファイルの暗号化を実施することによって、お互いに安心して取引を行えます。
ファイル暗号化の基本的なやり方
サイバー攻撃や内部要因による情報漏えいが多発しているデジタル社会において、企業ではすべてのファイルを暗号化して管理すべきだという考え方もあります。では、ファイルを暗号化するためにはどうすればよいのでしょうか?
ZIP形式に圧縮してパスワードを付与する
最もシンプルな暗号化の方法は、ファイルをZIP形式に圧縮してからパスワードをかける方法です。ZIP形式とは世界的に利用されているアーカイブファイル形式のことです。ファイルやフォルダをひとつのファイル内に圧縮する技術です。
ZIP形式のファイルは拡張子が「.zip」になり、ファイルサイズが小さくなるなどの特徴があります。
ZIPファイルにはパスワード設定ができるので、これによりファイルの暗号化が可能です。
ZIPファイルを暗号化した場合、解凍するためにはパスワードが必要です。パスワードをファイルとは別に送信すると、ファイルとパスワード両方を受け取った人だけが閲覧可能になります。
ただし、パスワード付きZIPファイルには、いくつかのデメリットもあります。保護するファイルが少ない場合にはそれぞれのファイルを圧縮、解凍するのが比較的手軽にできる反面、大量のファイルを扱う場合は全てのファイルにパスワードを設定・管理しなければならず、かなりの手間が必要です。
パスワード付きZIPファイルでは、暗号鍵が外部に漏れやすいなど、セキュリティ強度が高くない点にも注意しなければなりません。
さらに、ZIPファイルはウイルス対策ソフトによるウイルスのスキャンができません。受信者側はウイルスチェックができないファイルを開くリスクを避けるため、メール等に添付すると受信を拒否される場合があります。
パスワード設定のコツ
暗号化したファイルを第三者に解凍されないためには、強固なパスワードを設定することが大切です。パスワードの桁数を増やす、異なる種類の文字を組み合わせるなど、複雑なパスワードを設定することで、暗号化したファイルのセキュリティ強度を高められます。
第三者がパスワードを解読する際には、パスワードを1文字ずつ変えて正解を探すブルートフォースアタックという手法が使われます。この解読方法の場合、パスワードの桁数や使用されている文字の種類によっては数秒で解読されるケースもあるため、簡単なパスワードを設定している場合には注意が必要です。
パスワードの桁数や文字種類が多く使われるほど解読までにかかる時間が増加するため、できれば桁数は10桁以上、英文字の大文字や小文字・数字・記号などをパスワードに加える対策が重要です。
複数のサービスでひとつのパスワードを使いまわしている場合にも、一回パスワードが漏えいすると、ほかの情報まで漏れてしまうため、おすすめできません。それぞれに別のパスワードを使うことが、セキュリティ強化につながります。
Windows標準機能を活用する
Windowsに標準搭載されているEFS・IRM機能もセキュリティ強化に有効です。EFSは、ファイルだけでなくフォルダ全体、ドライブ全体などを暗号化し、アクセスを許可されたユーザーだけをアクセス可能にする機能です。一方IRMは、Microsoft社のOffice製品を暗号化してアクセスを制限し、第三者から保護する機能です。
暗号化する場合には、ファイルやフォルダを右クリックして「プロパティ」から「全般」の「詳細設定」をクリック、「内容を暗号化してデータをセキュリティで保護する」をチェック、「OK」の手順で設定が可能です。設定したデータが暗号化され、アクセス権を付与されたユーザーがアクセスできる仕組みのため、パスワードは必要ありません。
ただし、この機能はWindowsのビジネス用エディションに搭載されている機能のため、エディションによっては使用できません。エディションが異なる場合、活用するにはライセンスのアップグレードを行う必要があります。
クラウドストレージを使う
もうひとつの方法が、インターネット上の保存領域でファイルを管理するクラウドストレージを利用することです。多くのサービスが暗号化に標準対応しているため、クラウドストレージにファイルを保存するだけで自動的に暗号化処理が行われ、第三者による情報漏えいからデータが保護されます。
特に企業向けに提供されているクラウドサービスはセキュリティが非常に強力なことから、クラウドストレージを利用するだけで、データ全体に高いセキュリティが適用されます。ユーザーは暗号化を意識することなく、通常のファイル管理同様に扱えるため、わざわざ暗号化を手動で設定、解除するストレスもありません。
クラウドストレージの機能も持つコンテンツクラウド「Box」も同様にファイルをアップロードすれば自動で暗号化されます。アップロードされたコンテンツは、BoxのウェブサイトやBox製のアプリケーションを通して送信する際、移動中は高強度のTLS 1.2暗号化を使用して暗号化されます。また、コンテンツは保存時もBoxによって256ビットAES暗号化を使用して暗号化されるだけでなく、256ビットAES暗号化を使用する暗号化キーラッピングによってさらに保護されます。
ファイル暗号化で注意すべきこと
ファイルの暗号化には、セキュリティ強度や暗号化の手間などの課題もあります。活用前には、注意すべき点も確認しておくことが大切です。
ファイルの暗号化だけで安心するのはNG
セキュリティ対策にファイルの暗号化を取り入れるだけでは、完全にデータを守れないケースもあります。計算速度が大幅に向上した量子コンピュータの開発や、解読技術の発達など、今後は暗号化を解読されるリスクが上がる恐れもあり、データやファイル管理には充分な注意が必要です。
例えば、「PPAP」とも呼ばれる、パスワード付きZIPファイルを使ってメールで送信するセキュリティ対策は、これまで政府や多くの企業が利用していました。ところが、PPAPは解凍するためのパスワードが第三者に渡るリスクが大きく、ZIPファイルはウイルスチェックも効かないといった副作用もあるため利用を廃止することを、2020年11月に内閣府が発表しています。
暗号化は重要ですが、それだけでなく、そのほかのセキュリティ対策も併せて導入するなど、複合的な対策をとることが重要です。
参照元:内閣府 平井内閣府特命担当大臣記者会見要旨 令和2年11月24日
暗号化作業にかかる手間を考慮すること
暗号化作業には、暗号化、復号化の際にそれぞれ手間がかかります。ファイルを暗号化する際にはパスワードを考えて設定し、復号化ではパスワードを見つけて入力しなければなりません。
暗号化を解くための鍵を誤って紛失した場合にはデータの復旧ができなくなることもあり、管理にも注意が必要です。使用しているファイルの量によっては、何度も暗号化しなければならないため、かなり時間を取られて業務に支障が出るケースもあります。特にハードディスクの暗号化などは、暗号化作業に何時間もの時間がかかります。
暗号化の導入によって業務が滞り非効率化する状況を避け、無理なく活用できる方法を検討することが重要です。
まとめ
デジタル社会が本格化するにつれ、ファイル暗号化の導入は重要です。一度でも重要な情報が社外に漏れれば企業にとって大きな損失につながり、顧客に多大な迷惑をかけて信用を失うことにもなりかねません。
その一方で、やみくもにすべてのデータを暗号化すれば安全というものでもありません。セキュリティを重視するあまり、利用者に不便を強いるような暗号化を行っていると、取引先からの不満にもつながります。
セキュリティと利便性は相反することが多いため、暗号化の活用時には注意点もよく考慮することが重要です。先にご紹介したクラウドストレージのように、利用者が意識せずに利用できる仕組みとして暗号化を利用しデータを保護するなど、使いやすさも併せ持った対策が必要なのです。
ファイルの暗号化を正確に理解し、必要な箇所にのみ暗号化を利用する方法を取り入れる方法など、さまざまな方法から自社にとって適切な暗号化の導入を検討してみてください。
- トピックス:
- セキュリティ