データ暗号化は、データをスクランブルして「暗号文」に変換し、誰も読み取ることができないようにするものです。読み取るには、正しい復号キーまたはパスワードが必要となります。強力な暗号化ソリューションは、効果的なキー管理と組み合わせることで機密データを不正アクセス、改ざん、公開、盗難から保護できるため、あらゆるセキュリティ プログラムの重要なコンポーネントとなっています。データ暗号化は、保存されているデータ (「保存データ」) と送信または転送されているデータ (「移動中のデータ」) の両方に使用できます。
データ暗号化には、大きく分けて次の 2 種類があります。
データ暗号化ソリューションは、データ暗号化アルゴリズムを使用して機密データを保護するソフトウェア システムであり、組織全体にデータ暗号化を配備およびモニタリングするための管理ツールと組み合わされています。暗号化ソリューションの中には、キー管理用のツールを備えているものもあります。これにより、データの暗号化やアクセスに必要なキー、パスワード、その他の情報を、承認されたユーザーのみが使用できるようにするほか、定義されたポリシーに従う場合のみ変更または取り消しできるようにすることができます。
ほとんどの組織では、ファイアウォール、侵入防止、ロールベースのアクセス制御アプリケーションなど、従来のセキュリティ製品を使用して情報を保護しています。これらはすべて、データ侵害の防止に役立ちます。しかし、それでも攻撃者がネットワークへの侵入に成功することは避けられず、成功した場合、データ暗号化ソフトウェアは、機密データの盗難や漏えいに対する重要な最後の防御になります。
消費者のプライバシーや金融データを保護する規制など、政府機関や業界によるほとんどの規制では、データ暗号化ツールの使用が組織に義務付けられています。違反すると、厳しい罰則が科される可能性があります。しかし、強力なデータ暗号化ソリューションを使用すると、データ侵害が発生した場合やノート PC が盗まれた場合でも組織を保護できます。
データ暗号化ツールにおいて重要なのは、使いやすさと拡張性の 2 点です。データ暗号化ソフトウェアは、従業員にとって使いやすいものでなくてはなりません。使いにくいものは使われないからです。また、組織の成長とセキュリティ ニーズの変化に対応できるように拡張性を備えている必要があります。
これらに加えて、データ暗号化ソリューションを評価する際に考慮すべき重要な機能を下に挙げます。
強力な暗号化標準。世界中の政府機関、民間組織、公共組織では、暗号化の業界標準である AES-256 (Advanced Encryption Standard-256) が使用されています。AES は、ブルートフォース攻撃に対してもはや有効ではなくなった古い DES (データ暗号化標準) に代わるものです。この攻撃は、攻撃者が復号できるまであらゆる暗号解読の組み合わせを試すものです。暗号化製品または暗号化の実装を認定するプロセスとして、次の 2 つがよく知られています。
静的データと動的データの暗号化。静的データ (保存データ) は、サーバー、デスクトップ PC、ノート PC などに保存されているデータを指します。静的データは、ファイルごと、フォルダーごと、またはドライブ全体で暗号化できます。
動的データ (移動中のデータ) は、ネットワークまたはインターネット上を移動するデータを指します。メールはその最も一般的な例です。動的データは、次の 2 つの方法で保護できます。
詳細な暗号化。すべてのデータを暗号化することは可能ですが、IT リソースを圧迫する可能性があります。そのため、ほとんどの組織は、知的財産や個人を識別できる情報 (社会保障番号や銀行口座情報など) といった、最も機密性の高いデータのみを暗号化しています。
データ暗号化ツールの詳細度や柔軟性はさまざまです。一般的なオプションには、特定のフォルダー、ファイル タイプ、またはアプリケーションの暗号化、ドライブ全体の暗号化、リムーバブル メディアの暗号化があります。ノート PC では紛失や盗難の可能性があるため、ディスク全体の暗号化が頻繁に使用されます。ノート PC、タブレット、リムーバブル メディア全体を暗号化しておけば、デバイスが盗難された場合でも、それによって生じる不利益から組織を守ることができます。
キー管理。データ暗号化ソフトウェアには、キーの作成、配布、破棄、保存、バックアップなどのキー管理機能が備わっています。堅牢で自動化されたキー マネージャーは、暗号化と復号を迅速かつシームレスに行うため、ひいては組織のアプリケーションとワークフローをスムーズに運用するためにも重要です。
暗号化ポリシーの強制。暗号化ポリシーは、データを暗号化する方法とタイミングを定義します。データ暗号化ソリューションがポリシー管理機能を備えている場合、IT 部門は暗号化ポリシーを作成して強制できます。たとえば、従業員が機密ファイルをリムーバブル USB ドライブに保存して、在宅勤務で使用するとします。暗号化ソフトウェアは、この操作がデータ セキュリティ ポリシーに違反していることを通知するアラートを従業員に送信し、暗号化されるまで従業員によるファイルのコピーをブロックします。自動的に強制されるため、確実にデータ セキュリティ ポリシーに従うことができます。
常時暗号化。「Always-On」(常時) 暗号化機能は、機密ファイルの場所にかかわらず常に暗号化しておける便利な機能です。ファイルは作成時に暗号化され、コピー、メールでの送信、更新が行われた場合にも暗号化されたままになります。
統合された暗号化管理。IT 部門は、組織内の既存の暗号化技術に対処しなければならないことがよくあります。たとえば、新しく買収された事業部門が独自の暗号化技術を使用している場合もあれば、ある部門が OS X の FileVault や Windows の BitLocker など、Apple や Microsoft の製品に搭載されたネイティブ暗号化を使用している場合もあります。このような理由から、データ暗号化ソリューションの中には、複数の技術の統合管理をサポートしているものもあります。
統合された管理コンソールでは、各デバイスにおける暗号化の使用状況の記録などで、すべてのエンドポイントを可視化することもできます。これにより、ノート PC の紛失や盗難が発生した場合でも、コンプライアンス違反による罰則を回避できます。
クラウド プロバイダーのクラウド アプリケーションまたはインフラストラクチャ サービスに、必ずしも暗号化機能が含まれているとは限りません。暗号化には余分な帯域幅と CPU リソースが必要であり、クラウド プロバイダーにとってはコストがかかることから、暗号化に対応していない、または部分的な暗号化のみに対応しているプロバイダーがほとんどです。通常、データの暗号化は顧客の責任で行うものです。
クラウドの暗号化に最適な方法は、接続そのものと、クラウドにアップロードされるデータをエンドツーエンドで暗号化することです。この手法では、クラウド ストレージ プロバイダーが受信時にデータを暗号化し、暗号化キーを顧客に渡します。これにより、顧客は必要時にデータを安全に復号できます。組織は、エンドツーエンドの暗号化サービスを購入する、またはクラウドにアップロードする前にオンプレミスでデータを暗号化するといった方法が利用できます。
データ暗号化ソフトウェアは、安全な暗号化キー管理とデータ損失防止のベスト プラクティスを併用することで、極めて効果的なデータ セキュリティの形態となります。 データ暗号化ツールは、企業やユーザーのエンドポイントや共有サービスを強力に暗号化しながら、企業の貴重なデータを保護し、暗号化ポリシーを一元管理します。