トップページへ 広報誌 ネット&ライン>No.126

広報誌 ネット&ライン No.126 2009 秋号
もどる

セキュリティ対策シリーズ
情報セキュリティ技術対策の紹介 〜セキュアポイントIX〜


情報セキュリティの確保には、技術的な対策とマネジメント面の対策の両輪が必要であるということは、よく言われることです。今回は、技術的な対策について、そのうち最も有効な対策のひとつであるデータ保護技術の暗号化について紹介します。
  技術的な対策は、下図のような侵入防止、データ保護及びデータ内容保障の三つの技術があります。
  マネジメント面の対策は、主に防止策の役割を持ち、データの保護や内容保障は技術的な対策が主になります。

  ASP、SaaSなどネットワークを介して情報サービスを行う上で、技術的な対策は不可欠なものとなっていますので、情報セキュリティを万全なものとするためには、強固なIDC(データセンター)の活用に加え、技術的な対策に必要な設備及びソフトに対する新たな投資が必要となっています。
  特に、データ保護技術は、万一情報が盗まれてもその内容を見られたり使用したりできなくするもので、高度な技術によって初めて実現できるもので、うっかりミス、内部犯行などに対する最後の砦とも言える重要な技術となります。




情報漏えいインシデントの現状
これまで、三菱UFJ証券の漏えい事件では、投資の勧誘電話、アリコジャパンの漏えい事件では、カードの不正利用などの様々な情報漏えい事件の被害が報道されています。
  情報セキュリティ関連のインシデントの統計資料を参考にすると、情報漏えいの原因としては、「紛失」、「置忘れ」、「誤操作」、「管理ミス」、「盗難」等の割合が上位となり、情報漏えい媒体としては、「紙媒体」、「USB等取り外し可能媒体」、「ノートPC」等の割合が多くなっています。また、内部関係者が大部分(7〜9割)に関係していると言われています。
  これらに対するマネジメント対策としては作業方法や管理体制の見直しも必要でありますが、さらに有効な技術的対策として、暗号化を紹介します。

暗号化とは

暗号化とは、ある規則(暗号アルゴリズム)と固有の値(鍵)を用いて、文字・記号(データ)の並び替えを行い、第三者からはランダムな意味をなさない文字・記号(データ)に変換処理することをいいます。このときの操作を暗号化、暗号化によって得られた文字・記号(データ)を元に戻す操作を復号といいます。
  データの改ざんや通信傍受などの脅威、情報を保存したパソコンや外部記録媒体が紛失したり、盗難にあったりしても、暗号化によって情報漏えいしないようにすることができます。このことは、前述の漏えい原因及び漏えい媒体の割合が高い事件・事故に有効であるといえます。

暗号化は情報そのものを守る対策

暗号化は、情報の入れ物の対策(例えば物理的に施錠した保管庫に入れる。ITではアクセス制御したフォルダに記録する。)ではなく、情報そのものを守る対策です。
  情報の入れ物の対策では、施錠保管庫では物理的に鍵を破壊すれば、中の情報資産が取り出せる。パソコンのBIOSやWindowsのパスワードが設定されていてもハードディスクを取り外し、別のパソコンにセットすれば参照できる、CD-RからLinuxを起動すればWindowsのファイルを見ることができる、など比較的容易に対策を無効化できます。
  情報資産を置き忘れても、人に持ち出されても、Winnyで漏えいしても暗号化されていれば、復号できない限り情報の内容を見ることはできませんので、暗号化は、他の技術的対策と比較すると幅広い脅威への対策といえます。

鍵管理

暗号を利用するには、鍵が必要であり、鍵(公開鍵を除く)が第三者に漏えいしては、暗号化の意味がありません。また、可用性の問題として、鍵を紛失してしまえば復号ができず、情報資産としての価値がなくなります。この点では、パスワードの管理と似ています。異なる点として、鍵は記憶することが困難なため電子情報として記録することになり、この鍵情報を厳重に保管します。

主な暗号化方式

暗号方式は、大きく共通鍵暗号方式と公開鍵暗号方式に分けられます。

○共通鍵暗号方式
暗号化と復号に同じ鍵を用いる方式です。暗号鍵と復号鍵(共通)を秘密にしておく必要がありますので、秘密鍵暗号方式ともいわれています。
共通鍵暗号方式

○公開鍵暗号方式
  暗号化と復号に別々の鍵を用いる方式です。一対(ペア)の鍵のうち、一方を公開鍵(公開鍵で暗号化)として公開し、もう一方を秘密鍵(秘密鍵で復号)として管理します。
公開鍵暗号方式

暗号方式 共通鍵暗号方式

公開鍵暗号方式
特  徴 暗号化と復号に同じ鍵を使用する方式 暗号化と復号に別々の鍵を用いる方式
仕組み 発信者が共通鍵を生成する。
発信者は安全な方法で相手に共通鍵を送る。
発信者は共通鍵でデータを暗号化して送る。
受信者はデータを共通鍵で復号する。

受信者は公開鍵と秘密鍵の一対の鍵を生成する。  (秘密鍵は厳重に保管)
受信者は発信者に公開鍵を送る(公開する)。
発信者は送信相手の公開鍵でデータを暗号化する。
受信者はデータを自身の秘密鍵で復号する。
長  所

ロジックがシンプルであるため、システムへの組込みが容易
暗号化及び復号の処理が速い。

 自身の秘密鍵のみ厳重に管理する。
(公開鍵を容易に相手に渡せる。管理が容易)
短  所

受信者に安全に鍵を送る必要がある。
相手ごとに異なる鍵を、双方が厳重に管理する必要があり、相手先が増えた場合鍵の管理が困難

 ロジックが複雑であるため、システムへの組込みが困難
処理が遅く、大量データの暗号化には不向き

○ハイブリッド方式
  共通鍵暗号方式と公開鍵暗号方式を組み合わせた方式です。両方それぞれの欠点をそれぞれの長所で補い合います。データの暗号化を処理の速い共通鍵暗号方式で行い、データの暗号化に用いた共通鍵を公開鍵暗号方式により安全に相手に渡します。
ハイブリッド方式

おわりに

情報セキュリティの一方策として、データの暗号化を解説しましたが、当センターと市町村及び関連団体とのデータの交換では、すべての業務に適用し暗号化されています。
  電子自治体の構築に向けて、セキュリティ対策の是非も問われる中20年10月から提供を開始しました総合行政情報システムでは、Web、ASP技術を適用しネットワークを介してサービス提供が行われますが、利便性の向上とは裏腹にシステムに対する脅威も高まっております。
  このため、現行のC/S型自庁内システムと比較して、システムの安全性及び信頼性の向上を高めるなど、技術的な対応と共に機器・設備などに新たな投資も必要となっており、先進事例などにおいては「隠れたコスト」の一つとして問題化しています。
  当センターではTCO(総所有コスト)の考え方と、費用の抑制のために関するマネジメント及び外部からの脅威に対する侵入防止技術など機器・設備の対策を一層強化して取組をしてまいります。

 




ページ上へもどる