データ暗号化の必要性と情報漏洩対策
近頃、携帯端末を通して個人情報は医療、金融口座情報などを利用することが一般的になっています。そうした情報は外部に流出してしまうと、大きな問題を引き起こし、企業には法的な罰則の他、信用といった財産を失う事態になりかねません。しかし、データを暗号化することで、情報の「盗難」と「盗聴」を防ぐことができます。ここではデータ暗号化の必要性について詳しく解説するとともに、気を付けるべき点なども見ていきたいと思います。
データ暗号化の必要性
セキュリティ対策としてデータそのものを暗号化するのは今や常識となっています。実際に、平成28年11月に策定された内閣府直下の個人情報保護委員会による「個人情報保護法ガイドライン(通則編)」では、「電子媒体等を持ち運ぶ場合の漏えい等の防止」について次のように手法を例示しています。
引用:https://www.ppc.go.jp/files/pdf/guidelines01.pdf
- 持ち運ぶ個人データの暗号化、パスワードによる保護等を行った上で電子媒体に保存する
- 封緘、目隠しシールの貼付けを行う。
- 施錠できる搬送容器を利用する。
また技術的安全管理措置での「情報システムの使用に伴う漏えい等の防止」の項目においても、次のように定めています。
- 情報システムの設計時に安全性を確保し、継続的に見直す(情報システムのぜい弱性を突いた攻撃への対策を講ずることも 含む。)。
- 個人データを含む通信の経路又は内容を暗号化する。
- 移送する個人データについて、パスワード等による保護を行う。
セキュリティガイドラインではこのように移動中のデータの情報漏えいを防ぐための手法として、持ち運ぶデータそのものの暗号化や通信の内容だけでなく、その経路においても暗号化することをガイドラインで示しています。しかし、保存されているデータの暗号化に関する記述まではされていません。保存されているデータへの暗号化は必要ないということなのでしょうか?
- 情報漏えい時の報告義務
2015年に約10年ぶりとなる「改正個人情報保護法」(改正法)が成立・公布されましたが、その中で個人情報の取り扱いルールが大きく変わりました。改正法は5,000名以上の情報を有する“個人情報取扱事業者”が規制対象となり、違反した場合は、主務大臣による注意勧告や命令の対象となります。命令にも違反した場合には、罰則規定により6ヶ月以下の懲役または30万円以下の罰金に処せられることになります。
情報漏えいを起こした場合、個人情報取扱事業者は次の事項について必要な措置を講ずることが望ましいです。
(1)事業者内部における報告、被害の拡大防止
(2)事実関係の調査、原因の究明
(3)影響範囲の特定
(4)再発防止策の検討・実施
(5)影響を受ける可能性のある本人への連絡等
(6)事実関係、再発防止策等の公表
また、個人情報保護委員会による「個人データの漏洩などの事案が発生した場合の対応について」とされるガイドラインでは、情報漏えいが発生した場合に、その事実関係及び再発防止対策などの報告義務についてまとめています。その中で、報告の方法とあわせて、報告を要しない場合(報告の軽微基準)も示しています。
例えば「実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合」として、漏えい等事案に係る個人データ又は加工方法等情報について高度な暗号化等の秘匿化がされている場合 を明示し、仮にデータの漏えいがあったとしても個人情報保護委員会などへの報告は「要しない」と明記されています。
引用:https://www.ppc.go.jp/files/pdf/iinkaikokuzi01.pdf
つまり、企業においてはきちんと顧客情報等の個人情報を暗号化した上で、データベースで管理していれば、実質的に情報漏えいは起こしていない事とみなされます。違反した場合は先に述べた通りの罰則の対象になる他、企業としての信用も大きく損なうことになります。よって個人情報を扱う事業者は、データの暗号化をきちんと行っておく必要があります。
暗号化攻撃の事例
個人データを扱う以上暗号化は必須だとしても、暗号化さえしておけばセキュリティが万全とは言い切れません。ここでは暗号化以外に検討しなければいけない対策についても説明します。
- 暗号鍵の管理
暗号化をしていても、そもそも暗号鍵が容易に盗まれれば、暗号化の効果はないものと等しくなります。暗号鍵の定期的な変更、暗号化データと別の場所での暗号鍵の保管、暗号鍵の適切な場所へのバックアップを検討する必要があります。暗号鍵をサーバ上で保管するのであれば、適切なアクセス権と暗号鍵へのアクセス監査の実施も重要です。
- 復号の可能性
暗号化だけでは対応できない脅威もあります。適切な暗号化アルゴリズムを利用していなければ、簡単に復号されてしまいます。実際これまでにも暗号装置の動作状況を物理的に調べることで間接的に復号用のキーを盗み出す「サイドチャネル攻撃」といった手法で攻撃された事例などがあります。その中のひとつに「PCの電位状況を測定することでRSA暗号の秘密鍵を盗み出す」という攻撃法も編み出されています。
また機器やその周辺機器から出力される微弱な電磁波を計測して元情報を復元しようとするテンペスト攻撃等も存在します。2013年には、チップを封入したパッケージを開封し、チップ表面まで電磁プローブを近接させて内部からの局所的な電磁放射を解析する「近接電磁波解析攻撃」が報告されています。これによって、従来の電源電流や放射電磁波を暗号処理回路全体で平均化し、内部動作との相関情報が外部に漏れないようにするような対策も無効となっています。低レベルの暗号化対策は最早セキュリティ対策としては無用となりつつあります。
- 適切なアクセス制御
データベースにはアクセスコントロールの機能が備わっていますが、この機能で誰にどのデータを見せるかということを定義することが正しい使い方となります。暗号化で防げるのは、データの盗難や盗聴といった脅威であり、社内で適切なアクセスコントロールを定義していないために起こる問題とはまた別問題です。例えば、あるコールセンターの担当者が顧客の氏名、住所、年齢の他、クレジットカード番号等も見られなくするためにそれらのデータを暗号化してしまう場合、データの漏えいは防げたとしても、別の値に書き換えられたりするデータ破壊の脅威を防げません。このケースでは、そもそもそうした個人データに、末端の担当者がアクセスできなくする必要があります。
- データ移動方式
暗号化の方式や範囲によっては、既存データを再配置するといった暗号化実装のためのデータ移行が発生する場合があります。暗号化領域へのデータ格納方法や暗号化に伴うストレージ領域の増量などの暗号化領域へのデータ移行方式はデータベースがオンライン状態でできる方式とできない方式があるため、自社のデータベースの仕様に応じて適切なデータ移行方式を検討しなければいけません。暗号化領域へデータ移行後は、暗号化実施による性能影響が想定されたものか確認する必要もあるでしょう。
最後に
個客情報等、取り扱いに注意すべき情報を守る上で、データやデータベースの暗号化は不可欠です。近年は特に攻撃の手口が高度化し、これまでの暗号化手法では守り切れないケースも報告されています。日本においても改正個人情報保護法の施行等に伴って、企業に求められているデータ保護の責任は重いものとなっています。最新のセキュリティ対策に常に目を光らせていくようにしましょう。
