プロフェッショナル サービス
Trellix Thrive Solution Services Cyber Consulting Services
教育とトレーニング
研修サービス トレーニング コース

エンドポイント暗号化とは

暗号化とは、データを読み取ったり使用したりできないように、データをエンコードまたはスクランブルするプロセスです。復号には適切な復号キーが必要となります。エンドポイント暗号化の基本は、キーロガーをインストールしたり、ブート ファイルを破損したりする「悪意あるメイド攻撃」からオペレーティング システムを保護することです。また、ノート PC、サーバー、タブレット、その他のエンドポイントに保存されているファイルをロックして、許可されていないユーザーがデータにアクセスするのを防ぎます。

組織は、エンドポイント暗号化ソフトウェアを使用して、機密情報の保管場所において、また、別のエンドポイントへの転送時に機密情報を保護します。暗号化されることの多い情報には、医療ファイル、銀行口座情報、社会保障番号、自宅の住所などがあります。

一般的に使用されている 2 つの暗号化標準は、RSA (Rivest, Shamir, Adleman) と AES-256 (Advanced Encryption Standard-256) です。

  • RSA は、エンドポイント間でデータを転送する場合によく使用されます。これは、あるキーを使用してデータを暗号化し、受信者のエンドポイントで別のキーを使用してデータを復号する、非対称暗号化を用いた技術です。
  • AES-256 は、ハード ドライブや USB メモリなどのストレージ内のデータの暗号化によく使用される対称暗号化標準です。強力な暗号化を必要とする政府機関や規制業界の組織では、多くの場合 AES-256 が使用されます。この標準は、ブルートフォース攻撃に対して脆弱であった古い DES (データ暗号化標準) に代わるものです。

暗号化ソフトウェアとして認定されるための条件は以下のとおりです。

  • 米国国立標準技術研究所 (NIST) の連邦情報処理標準 (FIPS) 140-2。これは、米国政府のコンピューター セキュリティ規格です。
  • 情報技術セキュリティ評価のためのコモン クライテリア (Common Criteria)。これは、国際的にサポートされている認定標準および認定プログラムです。

組織の従業員は、USB メモリ、クラウド ストレージ サービス、ネットワーク ドライブ、ブラウザー、メールなどのメディアに大量の貴重なデータを保存し、共有しています。これらはすべて、セキュリティ侵害に対して脆弱です。こうしたデータには、財務データ、顧客の名前と住所、部外秘の事業計画などの機密情報が含まれる場合があります。データを暗号化することで、これらの情報を盗難から強力に保護できます。

組織にエンドポイント暗号化が必要な理由

組織でデータの暗号化が必要になる理由はさまざまです。例えば、製薬やソフトウェア開発などのハイテク業界の企業は、研究成果を競合他社から保護する必要があります。医療や金融サービスなど、規制の対象となる業界の組織は、政府の規制に準拠するために患者や消費者のデータを暗号化する必要があります。PCI-DSS (Payment Card Industry Data Security Standard) では、不正使用を防止するために、消費者のクレジット カード データの暗号化が小売業者に義務付けられています。

規制対象でない組織であっても、データ セキュリティに関心を抱いています。データ侵害が起これば、風評被害や事業機会の損失を招き、パートナーや顧客による訴訟に至る可能性もあります。

サイバー攻撃やデータ侵害は、ますます頻繁に発生しており、その被害額も甚大です。Ponemon Institute のレポート、 『データ侵害のコストに関する調査』によると、機密情報を含むレコードの紛失または盗難による平均コストもまた、前年比で 4.8% 増加し、148 ドルになっています。100,000 レコードの中規模の侵害が発生した場合の被害額は、この計算では約 1,500 万ドルとなり、今後さらに増加する可能性があります。

暗号化は、階層型データ セキュリティ戦略の重要な要素です。組織は通常、ファイアウォール、侵入防止、マルウェア対策、データ損失防止など、複数の保護レイヤーを導入しています。暗号化は、悪意ある者がデータにアクセスできた場合にこれを保護する最後のレイヤーとして機能するものです。

エンドポイント暗号化の種類

エンドポイント暗号化の基本的な種類は、以下の 2 つです。

  • ノート PC、サーバー、その他のデバイスを使用できなくするドライブ全体の暗号化。復号には PIN が必要。
  • 指定したファイルまたはフォルダーのみをロックする、ファイル、フォルダー、リムーバブル メディア (FFRM) の暗号化。

ドライブ全体の暗号化では、マスター ブート レコードを除くドライブ全体を暗号化することにより、ノート PC やデスクトップ PC のオペレーティング システムとデータを保護します。マスター ブート レコードは暗号化されないままになるため、コンピューターは、起動して暗号化ドライバーを探しだし、システムのロックを解除することができます。ドライブを暗号化したコンピューターを紛失した場合、誰かがコンピューター上のデータにアクセスできる可能性はほとんどありません。ドライブ全体が自動的に暗号化されるため、ドライブに保存されるコンテンツはすべて自動的に暗号化されます。

暗号化されたドライブでユーザーを承認するには、次の 2 つの方法があります。

  • 1 つ目の方法では、ドライブからオペレーティング システムを起動し、アプリケーションやデータにアクセスするユーザーにサインインを要求します。
  • もう 1 つの方法はプリブート認証です。この認証では、オペレーティング システムの起動時に PIN またはパスワードの入力が要求されます。プリブート認証は、認証が完了するまでデータが暗号化されたままになるため、より安全です。プリブート認証は、Windows パスワード クラッカーなどのエクスプロイトを阻止します。これには再起動が必要となります。

ファイル、フォルダー、リムーバブル メディア (FFRM) 暗号化は、ローカル ドライブ、ネットワーク共有、リムーバブル メディア デバイス上の選択されたコンテンツを暗号化します。暗号化ソフトウェアは、組織のポリシーに基づいてファイルを暗号化するエージェントを配備します。ファイルベースの暗号化は、構造化データと非構造化データの両方に対応しているため、文書や画像だけでなく、データベースにも適用できます。

ファイルベースの暗号化では、承認されたユーザーが対象コンテンツを開くまで、データの暗号化が維持されます。この点は、ユーザー認証が完了し、システムが起動するとすべてのデータを復号できる、ドライブ全体の暗号化と異なります。そのため、ファイルベースのエンドポイント暗号化は、対象コンテンツが組織外に渡ってからもデータを保護し続けます。例えば、暗号化されたファイルがメールの添付ファイルとして送信された場合、受信者がファイルを復号するには認証を行う必要があります。受信者が適切な暗号化/復号ソフトウェアをインストールしていない場合、認証を経てファイルを復号できるポータルへのリンクが表示されるか、コンテナーの添付ファイル (パスワードで保護された zip ファイルなど) を受信します。受信者は、送信者から通知されたパスワードを入力してこのファイルを解凍します。

ファイルベースの暗号化は、組織の暗号化ポリシーに基づいています。このポリシーは、暗号化が必要なコンテンツの種類や、暗号化が必要な状況を定義するものです。構成が完了すると、暗号化ソリューションが自動的にポリシーを強制し、コンテンツを暗号化できるようになります。

エンドポイント暗号化管理

包括的なエンドポイント暗号化ソリューションを導入することにより、IT 部門は、異なるベンダーによる暗号化も含め、すべての暗号化されたエンドポイントを一元管理できます。これは、複数のコンソール間を頻繁に移動するよりも効率的です。複数のベンダーの暗号化製品をサポートするエンドポイント セキュリティ ソリューションは、管理に必要なオーバーヘッドとコストの削減に役立ちます。

さらに、一元化されたコンソールにより、すべてのエンドポイントの状態をより可視化でき、各エンドポイントでの暗号化の使用状況を監査できます。そのため、ノート PC や USB ドライブの紛失や盗難が発生した場合に、組織はコンプライアンスを実証できます。

エンドポイント暗号化ソフトウェアには一般的に、次のようなさまざまな管理機能が備わっています。

  • ステータス レポートが確認できる一元的なダッシュボード
  • 複数の暗号化が混在する環境のサポート
  • キーの作成、配布、破棄、保存などのキー管理機能
  • 暗号化ポリシーの作成と管理の一元化
  • ソフトウェア エージェントをエンドポイントに自動配備して暗号化ポリシーを強制
  • 暗号化ソフトウェアが搭載されていないデバイスの識別
  • 自動チェックインに失敗したエンドポイントのロック機能

エンドポイント暗号化の重要性

暗号化は、組織のセキュリティ インフラにおける重要なレイヤーです。ファイアウォール、侵入防止、ロールベースのアクセス制御アプリケーションなどのセキュリティ製品はいずれも、組織内のデータの保護に役立ちます。しかし、侵害はますます頻繁に起こるようになっています。データ暗号化なら、データが組織外に渡ってからもこれを保護できます。暗号化は、データの盗難や漏えいに対する重要な防御です。

セキュリティ意識向上に関するトピックをさらに見る