データをハッカーの手に渡さないようにするには、基本的に2つの方法があります。1つは、それにつながるすべてのエンドポイントを保護し、それを本質的にアクセス不能にすることです。もう1つは、データを暗号化することです。ハッカーがデータにアクセスできても、暗号化されたデータを読むことができなければ利用できません。暗号化はどのように適用すべきでしょうか。
ネットワーク上に存在する機密データは、常に暗号化で保護する必要があります。しかし、そのデータがネットワークを離れたり、別の場所に移動したりするとどうなるでしょうか?慎重さが置き去りにされていませんか?
このブログでは、機密性の高いデータを保護するための暗号化について考察します。
まず最初に、用語の定義をクリアにしておきましょう。
保存中データと転送中データ
保存中データとは、一カ所に留まって移動しないデータで、デバイス間、ネットワーク間など、ある場所から別の場所にアクティブに移動していないデータはすべて、保存中データです。転送中データは、移動中データ、送信中データという言い方もしますが、デバイスからデバイスへ、またはプライベートネットワークやインターネットを介してある場所から別の場所に移動しているデータです。まあ、改めて定義する必要もないほどの基本ですが。
保存中データを暗号化する理由
すでに堅牢なセキュリティ管理を実施している企業にとって、サーバー上にある保存中データを暗号化することは意味があるのでしょうか?ネットワークは保護されており、ハッカーにはデータにアクセスすることできないので、手間をかけて、データ取得の処理速度を遅らせるような保存中データの暗号化をする必要はあるのでしょうか?
このような疑問を感じるとしたら、それが危険な考え方であることに気づいてください。100%安全なネットワークというものは存在しません。厳格なネットワークアクセスコントロールが行われていたとしても、悪意あるハッカーをネットワークから完全に排除することはできません。(冒頭で、データをハッカーの手に渡さないようにする方法の1つが、データを本質的にアクセス不能にすることだと書きましたが、そのための様々な工夫は重要でも、100%の保証はできないという意味です。)ファイアウォール、DMZ、リバースプロキシを使っていても、企業ネットワークは外の世界につながっています。ネットワークから流出する可能性が少しでもあれば、保存中も暗号化は必要なのです。
保存中データを暗号化しておけば、ハッカーの作業は極めて困難になります。サーバーに侵入できたとしても、データを復号化するための鍵を探すなどして、暗号を解読する必要があります。指数関数的に長時間を要するか、ほとんど不可能かもしれません。データを手に入れても、その内容がわからなければ利用できません。
データは、保存中だけ暗号化されていればいいわけではありません。実際は、転送中データの方がより脆弱で、侵害のターゲットにされやすいものです。
転送中データを暗号化する理由
サーバーに保存中のデータを暗号化するだけでなく、あるサーバーから次のサーバーにファイルを転送するときにデータを暗号化すること、つまり転送中データの暗号化も同様に重要です。
ローカルでの動きでも、インターネットを経由してでも、ローカルストレージからクラウドストレージに移動するときでも、データがネットワーク上を動くときは、第三者に傍受され、読み取られ、盗まれる可能性があります。したがって、たとえば Amazon S3 バケットの自動暗号化を使用して保存中のデータを暗号化するとしても、バケットへの転送時に暗号化が行われていなければ、そのデータは露出されてしまうことになります。転送中が、ライフサイクルの最も脆弱なフェーズです。
このリスクへの対抗手段として、機密データを移動するときに保管中データと転送中データの両方をカバーするエンドツーエンドの暗号化を使用することが不可欠になります。
マネージド・ファイル・トランスファー
かつてはシンプルな FTP でもよかったのですが、現在はもっと安全性の高いインフラストラクチャが必要になっています。Dropbox のような使いやすいエンタープライズクラスのファイル同期および共有(Enterprise File Synchronization and Sharing、EFSS) と、WS_FTP のような信頼性が高い FTP を兼ね備え、エンドツーエンドで暗号化が可能なソリューションが求められます。そうした高度な要望に応えられるのが、マネージド・ファイル・トランスファー(Managed File Transfer、MFT)です。
自社が所有し管理するデータを本当にしっかり保護し、規制コンプライアンスも満たすことを考えるのなら、是非マネージド・ファイル・トランスファー・ソリューションを検討してみてください。
Jeff Edwards
Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.