認証への意識の低さが「データ暗号化」を台無しにする理由
データを暗号化するだけで、情報が守られるわけではない。ユーザーIDやパスワードといった認証のための情報が流出したら、暗号化したデータは容易に復号できてしまう。
情報漏えいやデバイス紛失のリスク軽減のため、ファイルサーバやクライアントPCに保存しているファイルの暗号化を実施する企業は多い。特別なソリューションを導入せずとも、Windowsには「BitLocker」が、macOSには「FileVault 2」というディスク暗号化機構が備わっており暗号化は容易になった。
しかし、ディスク暗号化やファイル暗号化を行うだけで、情報が守られるわけではないことに注意したい。たとえ、ディスク暗号化を施していたとしても、ユーザーIDやパスワードといった認証のための情報が流出したら、暗号化したデータは容易に復号できてしまう。つまり、認証という部分にも注目しなくてはならない。
暗号化したデータを守るためには、どこまでセキュリティを考えるべきなのだろうか。ディスク暗号化ソリューションを提供するウィンマジックのマーク・ヒックマンCOO(最高執行責任者)に話を聞いた。
iPhoneへのハック、FBIは暗号化ではなく「認証」を攻撃した
なぜデータ暗号化の文脈において認証部分にも目を向けるべきなのか。これを逆説的に理解するための“事例”が、米連邦捜査局(FBI)によるiPhoneのロック解除だ。
2015年12月に米カルフォリニアで発生したサンバーナディーノ銃乱射事件において、FBIは容疑者が使っていたiPhoneに保存されている暗号化データを何としてでも入手したいと考えた。暗号化をすり抜けるためのバックドアを作れという要求を拒んだAppleとの攻防は記憶に新しいところだろう。
この騒動の結果はご存じの通り。FBIはイスラエルのセキュリティ企業にiPhoneをハッキングさせることによって、一応の結末を見た。
「この時、FBIが依頼した企業はiPhoneの暗号化部分をハックしてデータを入手したわけではありません。iPhoneの認証部分をハックして、『正しいユーザー』としてログインし、復号されたデータを入手したのです。このことからも分かる通り、認証部分のセキュリティを強化することはとても重要なことでしょう」(ヒックマン氏)
ウィンマジックは、トロントに本社を置くカナダのセキュリティ企業だ。認証や暗号化の領域で、ヒューレットパッカード、レノボ、IBMといったパートナー企業とともに、多くの企業にソリューションを提供する。日本では、2015年から本格展開し、「データを守ること」に注力している。
ヒックマン氏によれば、今日のデータの暗号化では、OSに付属する暗号化エンジンの利用だけでなく、専用ハードウェアによる暗号化や独自エンジンを用いた暗号化など多様な手法が選択できる。しかし、重要なのはどの方法を選んだとしても、その管理作業をおろそかにしてはならないということだ。つまり、復号のための「鍵」を管理する必要がある。
「特にWindowsは世界で最も狙われるOSといえます。暗号化にBitLockerを使ったとしても、認証部分が弱いままでは不安が残ります。今後、EUにおける一般データ保護規則(GDPR)が施行されれば、何らかの方法でデータの確実性が保証できない限り、多くの企業でビジネスが成り立たなくなるでしょう。このようなグローバルな法規制からも認証と鍵を企業全体で管理することが非常に重要になっているのです」(同氏)
ノートPCやスマートフォンで機密データを持ち運ぶ時代に必要なもの
ウィンマジックの「SecureDoc」シリーズでは、フルディスク暗号化(FDE)機能とともに鍵管理機能や認証機能も提供する。認証部分では多要素認証に対応し、スマートカードやトークン、生体認証デバイスを利用できる。OneDriveやDropbox、Boxなどのクラウドストレージでも暗号化の制御が行え、ポリシーエンジンを通じて適用できる。
「正しい人間に正しい鍵を与え、アクセス権を渡すことが重要です。BitLockerやFileVaultにウィンマジックのソリューションを組み合わせることで、多要素認証が実現でき格段にセキュリティが向上します」(ヒックマン氏)
なぜ、認証部分を強化すべきなのか。ヒックマン氏は、米国のある銀行の事例を紹介する同行ではFileVaultによる暗号化を行っていたもののプリブート部分での認証機構を使っていなかった。「悪意ある者が認証部分を攻撃したら、約2時間で暗号を解除した状態のデータにアクセスできるようになったでしょう。この部分を多要素認証で強化しておくことで、ハッキングに必要な時間は100年以上に伸びます」(同氏)
認証部分にセキュリティを追加することで鍵管理という要素が加わるが、ウィンマジックのソリューションは一般ユーザーの利便性を損なわないような設計を心掛けたという。「一度ログインすると、インテリジェントな鍵管理を通じてネットにログオンし、『鍵束』を受け取ることになります。これにより、ユーザーがアクセスできるファイルの暗号化が解除されるのですが、個別のアクセスにおいて鍵を意識する必要はありません」。
ウィンマジックでは今後、ファイルの鍵管理を行うポリシーエンジンにおいて、自動的に暗号化機構の種類を判断した上でコントロールするセルフラーニングポリシー機能の他、パスワードマネージャー機能、インテルの多要素認証機構への対応などを予定する。「特にクラウドに関しては、ロードマップを前倒しで対応しています。DB暗号化機能やAWSへのさらなる対応も計画中です」(同氏)。
暗号化ソリューションに加えて認証部分を強化するセキュリティ製品が必要となる背景には、スマートデバイスやノートPCといったモバイル端末が一般的になり、企業内に存在するデバイスが多種多様になっていることが挙げられる。特にノートPCのような持ち運べるデバイスに機密性の高いデータが保存されている今、暗号化は当然のものとして、その「認証部分」への攻撃に耐えられるような準備が必要である。
Copyright © ITmedia, Inc. All Rights Reserved.