ファイル暗号化とは?必要性やメリット・デメリット、選定ポイントまで徹底解説
ファイル暗号化とは
ファイル暗号化とは、データファイルをアルゴリズムに従って暗号ファイルに変換し、関係のない第三者には読み解けなくする技術です。暗号化されたファイルは暗号化を解くための鍵を所有している人だけが読み解くことができます。機密ファイルを暗号化すると、サイバー攻撃や内部関係者の持ち出し被害に遭っても、情報漏洩を防ぐことが可能です。ファイル暗号化は侵入・流出を前提としたセキュリティ対策であり、セキュリティの”最後の砦”とも言われています。
[関連コラム]セキュリティの基礎知識『暗号アルゴリズム』について
ファイル暗号化の必要性
暗号化の種類
暗号化の対象はさまざまであり、それぞれが異なるセキュリティリスクを軽減するために使用されます。以下に暗号化の対象とそれぞれが防げるセキュリティリスクと効果についてまとめています。
暗号化対象 | 防げるセキュリティリスクと効果 |
通信 | 通信の暗号化は、データが送受信される際に暗号技術を使用し通信内容を保護することで、通信傍受(盗聴)などによる情報漏えいを防ぎます。 SSL/TSLを用いたウェブサイトのHTTPS通信や、VPNを用いたリモートアクセスなどが該当します。 |
ハードディスク | ハードディスクの暗号化は、データが保存されているディスク全体を暗号化することで、PCの紛失や盗難による情報漏えいを防ぎます。 「Windows10 Pro」以上のPCに標準搭載されているBitLockerなどが該当します。 |
USBメモリー | USBメモリーの暗号化は、USBドライブに保存されたデータを保護します。 暗号化されたUSBドライブを使用することで、USBメモリー持ち運び時の紛失や盗難による情報漏えいを防ぎます。 |
ファイルサーバの特定領域 | ファイルサーバなどの特定のフォルダを暗号化保護します。 フォルダ内で管理されているデータがサイバー攻撃により盗み取られるのを防ぎます。 |
ファイル暗号化 | 個々のファイルそのものを暗号化保護します。重要なファイルや機密データを暗号化することで、 サイバー攻撃や内部不正、メール誤送信、紛失・盗難など情報漏えい全般に幅広く対応することができます。 |
データベース暗号化 | データベース内に保存されているデータを暗号化保護します。データベース全体を暗号化する方法や、 特定のカラム・フィールドを選択的に暗号化する手法があります。データベースへの不正アクセスなどから漏えいを防ぎます。 |
ファイル暗号化の必要性
ファイル暗号化はサイバー攻撃や内部不正、メール誤送信、紛失・盗難など幅広いセキュリティリスクに対応が可能です。その理由は、ファイルの場所に関わらず、どこにあっても常にセキュリティが維持される点にあります。もしもファイルが外部へ流出しても、暗号化されていれば流出先ではデータを読み取ることができません。また、海外子会社や業務取引先へファイルを送る際も、暗号化して送れば安全なやり取りが可能です。
これに対して、ハードディスクや共有フォルダの暗号化は、特定の場所に依存したセキュリティとなります。これは、ファイル自体は平文(暗号化されていない状態)のままであり、暗号化された安全な領域からファイルを取り出すとセキュリティを保つことができないからです。そのため、ハードディスクや共有フォルダへの不正アクセスや正規のアクセス権限を持つ従業員が悪意をもってファイルを持ち出した場合、情報漏えいを防ぐことができません。
一方で、ファイルそのものが暗号化されていれば、特定の場所に依存せずどこに移動してもセキュリティを保つことができます。近年ではサイバー攻撃被害の件数が増加傾向にあり、また転職市場の拡大などからデータが持ち出されるリスクも高まっているため、ファイル暗号化の必要性も増しています。
改正個人情報保護法での暗号化の必要性とは
2022年4月に全面施行された改正個人情報保護法では、漏えい等が発生した際の個人情報保護委員会への報告、本人への通知を義務付けています。しかし、「個人情報の保護に関する法律についてのガイドライン(通則編)」※ には、下記の記述があります。
なお、漏えい等が発生し、又は発生したおそれがある個人データについて、高度な暗号化等の秘匿化がされている場合等、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合については、報告を要しない。
「個人情報の保護に関する法律についてのガイドライン(通則編)『3-5-3-1 報告対象となる事態』」より一部抜粋
上記に記載されているように、万が一漏えい等が発生した場合でも、「高度な暗号化」でファイルを保護していれば報告義務が免除されます。ただし、高度な暗号化を実現するためには、①電子政府推奨暗号リスト等に掲載されている安全な暗号アルゴリズムを使用すること、②データと鍵を分離し、さらに鍵自体の漏えいを防ぐための措置を施すことなどの条件があるため、適切な暗号化システムを選定する必要があります。
[関連コラム]改正個人情報保護法の新しい規定「漏えい等の報告等」とは
ファイル暗号化の方法
企業がファイル暗号化の導入を検討する場合、実現へのアプローチ方法は大きく2つあります。
パスワード暗号化
本コラムでの「パスワード暗号化」とは、暗号化したデータをあらかじめ設定したパスワードを用いて復号する仕組みを指します。代表的なパスワード暗号化の例としては、パスワード付きZipファイルや、Microsoft Office製品に標準搭載のパスワード保護機能が挙げられます。また、その他に専用の暗号化ツールが利用されることもあります。
主な利用シーンとして、組織の保有する機密ファイルにパスワードを設定して保管し、不正アクセスや内部からの持ち出しに備えることや、メール誤送信対策などが挙げられます。しかし、近年ではPPAP問題やパスワード解析ツールが簡単に手に入ることなどから、セキュリティレベルが高いとは言えません。
メリット
パスワード暗号化のメリットとして、低コストで導入できる点が挙げられます。また、多くの場合、運用方法が比較的シンプルであり、セキュリティを手軽かつ迅速に強化できます。
デメリット
パスワード暗号化のデメリットとして、下記が挙げられます。
- 暗号化移行が大変:漏えいを防ぎたい機密ファイルが大量にある場合、すべてのファイルに別々のパスワードを設定し暗号化するのは非常に手間がかかります。例えばファイルサーバ内のファイルをすべて暗号化するなどは現実的にほぼ不可能なので、暗号化の対象は特に重要な一部の機密ファイルに限定する必要があります。
- 業務効率の低下:ファイルを開く度にパスワード入力の手間が発生するため、使用感は余りよくありません。また、利用したファイルは再度パスワードを掛けて保存する必要があります。さらに、パスワード自体が漏洩しないよう厳密に管理する必要があります。
- セキュリティ強度が高いとはいえない:近年ではPPAP問題などからメール誤送信対策としてパスワード付きZipを使うことは推奨されません。また、内部関係者は業務でファイルを利用する必要がありパスワードを知っていることがあるため、内部不正対策としても不十分です。さらに、桁数や複雑さ、ランダム性などが不十分だとパスワード解析ツールにより解除されてしまう可能性があります。
[関連コラム]パスワードを狙った攻撃に注意 脆弱なパスワードは今すぐに変更を
IRMによる暗号化
IRM(Information Rights Management:情報権限管理)とは、組織が保有するファイル形式の機密情報を暗号化し、さらに権限管理を行うことで、不正アクセス等のリスクによる漏えいを防ぐシステムです。ファイルへのアクセスは都度サーバで認証され、アクセス許可が下りないとファイルを開くことができません。パスワードによる暗号化より遥かに強固なセキュリティを実現できますが、代わりに厳密なポリシー設計の必要性やコストが発生します。
主な利用シーンとして、ファイルサーバやPC内のファイルをサイバー攻撃や内部不正による漏えいから守ったり、業務委託先に共有するファイルの漏えいを防ぐことが可能です。
メリット
- 暗号化と同時に権限管理が可能:IRMは暗号化によるアクセス制御だけでなく、アクセスを許可されたユーザに対してもファイルの編集、印刷、コピー&ペーストなどの操作を制御することができます。これらの権限設定は組織の決めたセキュリティポリシーに依存します。
- 利便性への影響が少ない:パスワード暗号化とは異なり、ファイル利用者はファイルの暗号化・復号を意識することなく、付与された権限に従ってファイル操作を行うことができるため、利便性を損なうことがありません。
- 外部攻撃だけでなく内部からの漏えいにも対応:閲覧や編集の権限のみを与え、復号の権限を与えなければ、従業員は勝手にファイルを復号し持ち出すことができなくなります。
- 業務委託先からの漏えいにも対応:暗号化したファイルを共有することで、業務委託先からの漏えいを防ぐことが可能です。閲覧や編集など、業務委託先にも委託元の決めたセキュリティポリシーに従ってファイルを利用させることができます。
- 鍵情報はデータと分離して管理:多くの場合、鍵情報はサーバ側で管理されており、データとは分離して管理されています。また、パスワードを使用しないことから解析ツールなどによって暗号化が解除されることがありません。
デメリット
- 導入前のポリシー設計が必要:IRMは緻密な権限制御が可能であることから、導入前にファイル管理ルールを定め、それに従って暗号化を行っていく必要があります。このことから導入やその後の運用にハードルを感じることがあります。
- ソフトウェアのインストールが必要:IRMで暗号化したファイルを閲覧するには、端末にソフトウェアのインストールが必要になります。このため、不特定多数の相手にファイルを送付するようなシーン(PPAPの代替など)で使うには適していません。子会社や業務委託先など密なやり取りをする相手へのメール送付として利用するのが適切です。
- コストが発生する:専用の暗号化システムを導入する必要があるため、パスワード暗号化に比べて高いコストが発生します。また、システム運用のコストもかかります。
[関連コラム]IRMとは?仕組みや防げるセキュリティリスクについて、IPA情報セキュリティ白書2022を基に解説
ファイル暗号化ソフトの選定ポイント
ファイル暗号化を選定する上でのポイントはいくつか存在します。ここでは弊社の知見を元に代表的な例を挙げます。
- 暗号アルゴリズムは適切なものを使用しているか:暗号アルゴリズムは暗号強度(暗号の破られにくさ)に密接に関係します。暗号化製品を選定する際は、電子政府推奨暗号リストに掲載されている信頼性の高いアルゴリズムを使用している製品を選びましょう。なお、企業が独自開発した暗号アルゴリズムは一見安全性が高そうですが、脆弱性の検証などが十分に行われていない可能性が高いため使用しないことをお奨めします。
- パフォーマンスへの影響は最小限か:暗号化ファイルをオープンする際は必ず復号(暗号化解除)が挟まるため、パフォーマンスが低下する可能性があります。導入の際はトライアル期間を設け、業務への影響が最小限に収まっているか確認した上で、パフォーマンスのよい製品を選びましょう。
- 導入後のサポート体制が整っているか:ファイル暗号化は日々の業務に直結するため、トラブル時の問い合わせに時間がかかると業務が止まってしまう可能性があります。暗号化製品選定の際はサポート体制も確認する必要があります。
ファイル暗号化・IRMシステム『DataClasys』とは
弊社の提供する『DataClasys』は、IRM技術によりファイルを暗号化するシステムです。官公庁・自治体、製造業、金融業、教育機関などを中心に1,000社以上の導入実績を誇ります。(2023年11月時点)
DataClasysの特徴として、アプリケーションの対応範囲の広さがあります。IRMのデメリットとして暗号化できるファイルが限定されることがありますが、DataClasysは他社のIRMでは対応が難しい3DCADを含む非常に多くのファイルを暗号化することが可能です。そのため、製造業にも多くの導入実績を誇ります。また、ファイルサイズ上限もありません。
また、共有フォルダの自動暗号化など利便性への影響を最小限に抑える機能をデフォルトで使用可能です。さらに、ローカルPCで新規作成したファイルやUSBメモリーなどにファイル出力する際も、自動で暗号化する機能を備えています。
なお、DataClasysは完全自社開発の製品ですので、暗号化運用をする上で不測の事態が起こった際の即時サポート対応が可能です。なお、導入の際は弊社のDataClasys専任スタッフが設計・構築作業からサポート致します。過去の豊富な経験からソフトウェアのインストール作業や導入作業を支援致しますので、お客様は稼働までのほとんどの作業を弊社にお任せいただくことが可能です。
製品の詳細についてご興味ある方は下記よりお問い合わせ下さい。
カタログ・資料ダウンロードはこちら
参考
※ 個人情報の保護に関する法律についてのガイドライン(通則編)| 個人情報保護委員会 2016年11月(2022年9月一部改正)