暗号化とは
暗号化とは、情報を秘匿コードに変換することにより、送信、受信、または保管するデータを読めないようにする技術的なプロセスです。基本的な仕組みとしては、アルゴリズムを使ってデータにスクランブルをかけ、データを受信した相手側が復号鍵を使ってスクランブルを解除します。暗号化されていないファイルに含まれるスクランブル前のメッセージは「平文」と呼ばれ、暗号化された状態のメッセージは「暗号文」と呼ばれます。
企業のファイル、フォルダ、デバイスには、重要な情報がどれだけ保存されているかを考えてみてください。もしこれらの情報が悪意ある者の手に渡ったら、どのようなことが起きるでしょうか。社員の個人情報(自宅の住所、社会保障番号、納税者番号など)、会社の財務情報、銀行の口座情報など、企業には、権限のない者には見せるべきでないデータが大量にあるはずです。暗号化は、このような機密データをサイバー セキュリティの脅威から保護する効果的な手段となります。
暗号化という技術そのものは、有史以来、さまざまな形で使われてきました。古代ギリシャ人は「スキュタレー」という道具を使ってメッセージを暗号化しており、第二次世界大戦時のドイツは「エニグマ」と呼ばれる有名な機械を使って、打電する軍事情報や外交情報を保護していました。現代的な暗号化手法は無数の改良を経て生まれてきたものですが、そのほとんどは「対称鍵暗号化方式」と「非対称鍵暗号化方式」の 2 つに大別できます。この 2 つの暗号化方式については、後で詳しく解説します。
暗号化は、実はウェブサイト閲覧時の安全性を守るうえでも大切な役割を果たしています。多くのウェブサイトは、Secure Sockets Layer(SSL)というプロトコルを使って、ユーザーとウェブサイトの間で送受信されるデータを暗号化し、伝送中のデータを不正アクセスから保護しています。ただし近年では、ウェブサイトをホストするサーバーを認証し、HTTP リクエスト/レスポンスのセキュリティを守る標準的な暗号化プロトコルとして、Transport Layer Security(TLS)が SSL に取って代わりつつあります。
理論的には、暗号化されたファイルを暗号鍵なしで復号化することは可能ですが、適切に設計された暗号化アルゴリズムを破るためには膨大な演算能力が必要になります。このように、鍵を使用せず力尽くで暗号を破ろうとする攻撃を「総当たり攻撃」と呼びます。現代的な暗号化手法は、特に強固なパスワードと組み合わせた場合、総当たり攻撃には強い耐性を発揮します(ファイルが適切に暗号化されている場合、総当たり攻撃では解読に数十億年を要する場合もあります)。ただし、将来的にコンピュータの演算能力が飛躍的に向上した場合には、総当たり攻撃も大きな問題になってくるかもしれません。
暗号化の仕組み
最も基本的なレベルでは、暗号化はデータへの不正アクセスを防止する手段となります。暗号化を行うと、ごく普通のメッセージ(たとえば「Dropbox is awesome!)を符号化して、第三者が見ても理解できないメッセージ(「9itQg7nbV781+f55eXC1Lk」)に変換できます。この暗号化メッセージをインターネット経由で送信し、相手側で何らかの手段(通常は暗号鍵)を用いて復号化すると、スクランブルが解除されて元のメッセージ(「Dropbox is awesome!」)に戻すことができます。
先ほどお話しした対称鍵暗号化と非対称鍵暗号化は、現在の 2 大暗号化方式というべきものですが、具体的にはどのような仕組みなのでしょうか。少し詳しく説明しましょう。
- 対称鍵暗号化方式:この方式では、暗号化と復号化の両プロセスで同一または関連する暗号鍵が使用されます。送信側(暗号化のプロセスを管理する側のシステム)は、メッセージの復号化を許可する相手側に暗号鍵を渡す必要があることから、この鍵は「共有秘密鍵」と呼ばれることもあります。対称鍵暗号化方式には、AES、Triple DES、Blowfish などさまざまな種類があります。
- 非対称鍵暗号化方式:「公開鍵暗号化方式」とも呼ばれるこの方式では、暗号化と復号化の各プロセスで異なる鍵が使用されます。公開鍵暗号化方式という別名にあるように、一方の鍵は公開で共有され誰でも使用できますが、他方の鍵は秘匿されます。ハッカーやサイバー犯罪者は転送中の鍵をコピーすることができないため、非対称鍵暗号化方式は対称鍵暗号化方式よりも安全性が高くなります。非対称鍵暗号化方式を採用する暗号化技術には、RSA や DES があります。
以上が、暗号化プロセスの概説となります。では企業では、暗号化技術をどのように活用できるのでしょうか。企業として知っておく必要があるのは、多くのデバイスは暗号化機能を標準搭載しているという点です。たとえば Windows は、AES 暗号化アルゴリズムを採用した BitLocker というフルサービスの暗号化機能を搭載していますし、macOS と Linux も暗号化機能を内蔵しています。メールの暗号化に関しても、Microsoft Outlook や Apple Mail など主要なメール アプリケーションはさまざまな暗号化機能を備えています。
暗号化が重要である理由
今日の企業にとって、暗号化は事業を展開するうえで不可欠なものです。それはなぜでしょうか。第 1 の理由はもちろんセキュリティです。Risk Based Security の「2019 Year End Data Breach QuickView Report」によると、2019 年に漏洩した情報は実に 151 億件以上に上っています。これは、前年比で 284 % 増となる数字です。同社は 2019 年を「史上最悪の年」と評していますが、2020 年はすでに大規模なデータ侵害事件が起きており、第 1 四半期だけで 84 億件の情報漏洩が発生しています(前年同期比では 273 % 増)。暗号化は、ハッカーやサイバー犯罪者から企業データを安全に守ることができます。企業のサーバーやデバイス上のデータは、適切に暗号化されていれば、たとえハードウェアが紛失や盗難の被害に遭っても安全に保たれるからです。また通信を暗号化していれば、機密データを漏洩させることなく、社内外と安全に通信を行うことができます。つまり、すべてを暗号化していれば、データが悪意ある者の手に渡る事態は防げるということです。
第 2 の理由は規制への対応です。多くの業界規制は、ユーザー データを扱う企業各社に対し、データを常に暗号化しておくことを求めています。その代表例が、世界の主要なクレジット カード会社が定めた一般的な基準である PCI データ セキュリティ スタンダード(PCI DSS)です。PCI DSS で規定された 12 の主要な要件のうちの 1 つでは、顧客のクレジット カード情報を直接取り扱う企業は「オープンなパブリック ネットワーク経由でカード名義人のデータを送受信する場合、通信を暗号化しなければならない」としています。これらの基準を遵守していない場合は、罰金、詐欺行為に対する責任、クレジット カード決済の取扱資格の一時停止など、幅広い罰則を科される恐れがあります。民間の規制だけでなく、暗号化を要求する政府規制も少なくありません。たとえば欧州連合(EU)の GDPR は、個人データを安全に処理するための技術的な対策と組織的な対策を実装するように求めており、暗号化は適切な技術的対策の 1 つに挙げられています。
では、暗号化が現実にもたらす具体的なメリットを考えてみましょう。データ侵害の影響、特に金銭的な影響は甚大なものになる可能性があります。詐欺、金銭の窃取、データの破損や破壊、攻撃発生後のサービス停止、横領、そして被害を受けたシステムの復旧や初期化など、広範囲にわたる損失の費用を負担することになりかねません。また、大規模データ侵害、特に顧客データに関する侵害が企業の社会的信用にもたらす影響や、将来的な潜在顧客に与えるあらゆる影響も考慮に入れる必要があるでしょう。つまり暗号化によって情報漏洩を防止できれば、データ侵害からの復旧に伴う経済的、時間的な損失の発生を防ぐとともに、消費者から見た信頼性の低下やイメージの悪化という事態も回避できるのです。
Dropbox のファイル暗号化方法
セキュリティ強化の取り組みを始めてみると、ファイルの暗号化について学ぶことが巨大なハードルに感じられてしまうかもしれません。しかしご安心ください。決してそのようなことはありません。先ほども述べたように、暗号化ソフトウェアは多くの OS に標準搭載されており、さらにセキュリティを高めるためのサードパーティの暗号化アルゴリズムやプログラムも幅広く提供されています。またこれとは別に、どの機密ファイルなら暗号化できるのかと疑問に思う方も多いでしょう。答えは簡単です。テキスト ファイル、データ ファイル、メール ファイル、ディスク パーティション、ディレクトリなど、ほとんどすべてのファイルは暗号化することができます。したがって、特に重要なファイルがどこに保存されているかに関係なく、単にファイルを暗号化するにはどうすればよいかを学ぶのが得策という結論になります。
安全性に優れた Dropbox のプラットフォームは現代の標準的な暗号化技術を搭載しており、機密性の高い企業データを総当たり攻撃、マルウェア、ランサムウェア、その他のデータ侵害から守ることができます。では、Dropbox ではどのように暗号化が行われるのでしょうか。基本的には、ファイルを複数のブロックに分割したうえで、各ブロックを強力なアルゴリズムで暗号化します。ファイルを同期する際も、変更が加えられたブロックのみが同期の対象となります。ファイルは、ディスクに保管中だけでなく、アプリとサーバー間の転送時も暗号化されて保護されます。Dropbox ではさらに、従来の暗号化技術を上回るエンタープライズクラスの暗号化クラウド セキュリティにより、ファイルとデータに対する保護を強化しています。
まとめ
つまり暗号化とは、「データ リスクが高まる一方の現代社会において、ファイルやデータの安全性を守る最も効果的な方法の 1 つ」なのです。