![ファイル暗号化DataClasys [データクレシス]](/wp-content/uploads/DataClasys_logo.png){kind=logo}
暗号化ソフトの選び方
暗号化ソフトとは、情報を暗号化して情報漏洩を防ぐソフトウェアです。
暗号化ソフトには様々な種類があります。どのようなセキュリティリスクから情報漏洩を防ぐのか、目的に応じて適切な暗号化ソフトを選定する必要があります。もし不適切な暗号化ソフトを選定してしまうと、コストを費やして導入したにもかかわらず、期待した効果を得られずに他の情報漏洩対策が必要となることも考えられます。
このコラムでは暗号化ソフトの種類をご紹介し、それぞれの暗号化ソフトがどのような場面に適切なのかをご説明します。
暗号化ソフトの種類
ご紹介する暗号化ソフトの種類として、「パスワードによるファイル暗号化」「メールの添付ファイル暗号化」「ディスク・ドライブ暗号化」「権限管理とファイル暗号化(DRM/IRM)」の4つを取り上げます。
その他にもVPNなどのネットワークの暗号化、データベースの暗号化などもありますが、今回は情報単体やエンドポイントを保護する目的とした暗号化ソフトに限定します。
パスワードによるファイル暗号化
「パスワードによるファイル暗号化」とは、指定したパスワードでファイルを暗号化し情報漏洩を防ぐ暗号化ソフトです。一般的なものとしては、パスワード付きZIPファイルを生成する圧縮ツールや独自の形式で暗号化するツールなどがあります。
パスワードによって暗号化されたファイルを利用するには指定されたパスワードを入手する必要があり、パスワードを入手できない人は情報を利用することができません。
サイバー攻撃や標的型攻撃などでファイルが流出したとしても、パスワードで暗号化されていれば犯行者はパスワードを知らなければファイルを利用することができません。
この暗号化ソフトは無料や少額で導入できるものやソフト単体で利用可能でサーバが不要なものが多く、コストや手間をあまりかけずに導入できる手軽さがメリットです。
欠点として、暗号化ファイルをパスワードで暗号化を解除して復号してしまうと、ファイルは暗号化されていない状態で残ってしまうため、二次漏洩のリスクが発生します。
更にパスワード付きZIPファイルに関しては、Lhaplusなどの一般的なツールでパスワードを探索することができます。このパスワード探索機能は文字列の総当たりで実行されるために時間がかかりますが、ZIPファイルのパスワードを解読することは難しいことではありません。
メールの添付ファイル暗号化
「メールの添付ファイル暗号化」とは、メールの添付ファイルを上述の「パスワードによるファイル暗号化」で保護を行い、メールの誤送信や盗聴などから添付ファイルの漏洩を防ぐ手法です。パスワード付きZIPファイルへの暗号化やパスワードの送信などを自動化する暗号化ソフトも存在します。
この「メールの添付ファイル暗号化」は、メールサーバ上でのウイルススキャンができない点や受信者側の操作が煩雑になりやすい点などの問題点があります。またそもそもパスワードを送ったメールが盗聴されてしまった場合は保護することができないため、セキュリティの強度はそれほど高くはありません。
そのことから特にパスワード付きZIPファイルに圧縮したファイルを添付する手法を「PPAP」(パスワード付きZIPを送る(P)・パスワードを送る(P)・暗号化(A)・プロトコル(P))と揶揄され、別の仕組みに移行する傾向が強くなっています。
ディスク・ドライブ暗号化
「ディスク・ドライブ暗号化」とはハードディスクやSSD、USBメモリなどの記憶ストレージを暗号化し、ストレージそのものの保護を行います。代表的なものとしては、Windows 10 Proエディション以上で利用できる「BitLocker」が挙げられます。
暗号化されたストレージを取り外して別のPCに接続したとしても、ストレージが暗号化されている限りは正しく読み取ることができないため中のファイルを取り出すことができません。そのためストレージの紛失や盗難などによる情報漏洩への対策となります。
近年、ニュースとして取り上げられたハードディスクの売却による情報漏洩事件は、この暗号化ソフトを利用してハードディスクを予め暗号化することで防ぐことができました。
暗号化されたストレージを利用する際も暗号化されていることを意識する必要はなく、利用者の利便性を落とすことはほぼありません。
ただしストレージそのものは暗号化されているのですが、暗号化されたストレージからファイルを別の領域に取り出した場合、暗号化されていない状態のファイルとなります。
そのためノートPCやストレージの盗難や紛失による情報漏洩には充分な対策となる一方で、サイバー攻撃や内部不正行為による情報漏洩への対策にはなりません。
権限管理とファイル暗号化(DRM/IRM)
DRM/IRMとは著作権管理のシステムをビジネスに応用した暗号化ソフトを指します。ファイルを暗号化し権限設定を行うことで、情報漏洩に対策を行う暗号化ソフトです。
DRM/IRMで保護されたファイルを利用するには、まず正規の利用者であることの認証が求められます。その上で、認証を受けた利用者に与えられた権限設定の中でファイルの利用を制限されるため、悪意の内部関係者が不正行為を働こうとしても情報漏洩を防ぐことができます。
そして暗号化ファイルをコピーや移動したとしてもファイルの暗号化状態は維持されるので、暗号化ファイルが外部に流出したとしても、ファイル内の情報そのものを読み取ることはできずに守られます。
例えばノートPCを盗難や紛失をしたとしても、ノートPCの中の暗号化ファイルに書かれた情報は守ることができます。ランサムウェアなどのマルウェアを使ったサイバー攻撃によって暗号化ファイルがダークウェブに公開されたとしても、情報は漏洩することなく保護されます。
DRM/IRMはファイル単位で暗号化を行い、利用者へ権限設定で利用を制限するため、あらゆるセキュリティリスクから情報を保護することができます。
まとめ
これまでに挙げた暗号化ソフトの特徴とメリット・デメリット、セキュリティリスクへの対応を下表にまとめました。
| パスワードによるファイル暗号化 | メールの添付ファイル暗号化 | ディスク・ドライブ暗号化 | 権限管理とファイル暗号化 (DRM/IRM) | |
| 特徴 | 指定したパスワードでファイルを暗号化する | パスワードで暗号化したファイルを添付してメール送信する | ハードディスクやUSBメモリなどのストレージを暗号化する | ファイルを暗号化した上で権限管理を行う |
| メリット | 安価で導入できる 大掛かりなシステム構成が不要 | 同左 | 利用者はほぼ意識せずに利用できる | 暗号化と権限管理の二重の漏洩対策で様々なセキュリティリスクへ対応できる |
| デメリット | 正しいパスワードを入力することで生ファイルが残る パスワード管理が煩雑になる | 正しいパスワードを入力することで生ファイルが残る 送信者側のパスワード管理が煩雑になる ウイルススキャンができない 受信者の操作が煩雑になる | ファイルを暗号化ストレージから別領域に移すと、暗号化が解除された状態で取り出される | 対応できるアプリケーションが限定的 |
| 盗難・紛失への対策 | △ ZIPの場合、パスワード探索が難点 | ○ | ○ | ○ |
| サイバー攻撃への対策 | △ ZIPの場合、パスワード探索が難点 | △ パスワードの盗聴が難点 | × | ○ |
| 内部不正への対策 | × | × | × | ○ |
上記の表の通り、暗号化ソフトには様々な種類があり、それぞれに特徴があり効果や欠点も異なるということがお分かりになったと思います。
現代社会において、USBメモリなどのストレージやノートPCの盗難や紛失、ランサムウェアなどのマルウェアを利用したサイバー攻撃、内部関係者の不正行為による情報漏洩など様々なセキュリティリスクが考えられます。どのようなセキュリティリスクへの対策が必要なのかを明確にすることが、暗号化ソフトの選定や導入を進める上でとても重要です。
対策が必要なセキュリティリスクの洗い出し、漏洩から守るべき情報の選別を行い、暗号化ソフトの導入目的をしっかりと検討することが、情報漏洩対策の第一歩となります。
