機密データを安全に保管する方法、「データ暗号化」について徹底解説

f:id:PentaSecurity:20211223134602j:plain

 

コロナパンダミックでオンプレミス環境からクラウド環境へと移行を検討する企業が急速に増加しています。IDC Japanによりますと、2019年~2024年の年間平均成長率は18.6%で推移し、2024年の市場規模は2019年比2.4倍の2兆567億円になると予測しています。パブリッククラウドの利便性やメリットはあるものの、データの安全性やセキュリティへの懸念なども存在しています。企業において社内の機密情報等を自社システムではなく、クラウドに保存するといった利用も進んでいますが、パブリッククラウドでも、保存されているデータに対してはユーザ企業側に管理責任があるため、徹底したデータセキュリティ対策が求められます。

 

他に知られてはいけない自社の機密情報や、顧客の個人に関する情報といったデータを保護するためには「暗号化」が必要となります。しかし暗号化をしたからといってセキュリティ対策が、あらゆる側面において完璧で完全という意味ではありません。暗号化の基本的な構成から必要性や導入時に抑えておくべき大事な点を解説していきますので、付け入る隙を全く見せないようなセキュリティ対策を実現させるための参考にしてください。

 

データベース暗号化の必要性

最近企業の情報が外部に漏洩してしまう事件が増加しているために対応が急務となっています。機密情報や顧客の個人情報が流出することが起こったと仮定すると、業務に支障が出るだけでなく社会的信頼を大きく損なうことになるでしょう。データベース暗号化はこのような情報流出対策の一環として時代の要請が高まっています。暗号化されたデータであると仮定すれば、たとえ不当な行為によって第三者が取得されたとしても、データに含まれている内容を解読できませんので、サイバー空間を介した攻撃や社員が不正に持ち出すことを防止する効果も期待できます。

 

データベースの暗号化とは

まずセキュリティの根幹となる最も基本的な部分であるデータベースの暗号化について理解できるよう詳しく説明していきます。

 

データの盗難を防ぐために必要

データの暗号化とは、データに含まれている内容を他人が把握できないように加工する技術であるため、顧客情報などの重要な情報を格納しているデータベースの場合は実際に暗号化を実現させる必要性が高くなります。格納されている情報が暗号化されていることによって、不正にアクセスされた場合でも秘匿性が保持されるため、データの流出を防ぐために情報漏洩対策の根幹となる最も基本的な部分となります。

 

アクセスの制限はできない

暗号化することによって不正にアクセスされることを防止することはできません。よって、データの情報を得るために傍受されることなどを防ぐことはできますが、簡単にハッカーから攻撃を仕掛けられた場合に領域を不当に侵されてしまい、暗号化されている情報を復号されてしまうといった危険も潜んでいます。暗号化することによって例外なく全ての危険や危害のリスクがなくなるというわけではありませんので、データベースのセキュリティに対する課題に対応する手段を取るためには暗号化とアクセス制御の双方が必要となってきます。

 

データベースを暗号化する際の注意点

データベースの暗号化を実現させることによって、データのセキュリティを保持することが可能ですが、正しい方法で暗号化ができなければ情報漏洩といった悪い結果を招く確率が高いものになってしまいますので、データベースを暗号化する場合の注意事項について理解できるよう詳しく述べていきます。

 

暗号化対象を明確にしておく

データベースの暗号化を実現する場合、明確に暗号化する対象が定義されていることをより重視する必要があります。暗号化すべき対象を特定する判断までに時間がかかってしまった場合は、全てのデータを暗号化する方が危険や危害のリスクが低くなります。最も敬遠すべきことはそもそも暗号化しなくてはならない重要データが暗号化されていないことです。はっきりした原因もなく突然情報漏洩が発生した事象のほとんどは、暗号化することが必要とされているデータが暗号化されていないことで起きており、アクセス制御とデータ暗号化を間違って理解しているといった特定の情況もあるために暗号化する目的を再び是認することが大切です。

 

暗号鍵の管理を徹底する

データベースの暗号化を実現する場合に注意すべきことは、暗号鍵を損失や危害から守ることです。暗号鍵が外部に漏洩してしまうことで、データが復号される悪い結果を招く確率が高くなります。そのため暗号化の仕様に暗号鍵の管理を含み込ませなければなりません。暗号鍵の管理は何かと世話する必要があり煩雑になるため、実用を重視した管理方法を判断するためによく調べて考えることが求められます。また暗号鍵が消失してしまうとデータを復号できなくなるため、物理的に安全で信頼できる保管とバックアップが必要不可欠となります。

 

データベースを暗号化する際のポイント

データベース暗号化を実行に移す際に抑えておくべき大事な点を5つ確認していきましょう。

 

データの透過性を意識する

セキュリティにおいて極めて重要なことは、ユーザの負担がそれほど大きくないことだと言われています。たとえばパスワードによるログインをシミュレーションすると容易に理解できます。パスワードをいつでも思い出したり実行したりできる状態にするのは負担になるため、覚えやすいものを設定する人が多くなってしまいます。結果として第三者に極めて容易に推測されてしまうため、不正アクセスされる可能性が高くなります。このような事情は暗号化においても同様で、暗号化ではユーザが意識せずに使用できる透過的なものであることが重要視されています。

 

暗号アルゴリズムを考慮する

暗号アルゴリズムとは暗号化のこうあるべきだと決められた規則のことで、具体的な例を提示すると『ABC』を暗号化することによって『BCD』とするケースにおいては、『アルファベット順に1つ新しい位置に移動させる』ことが暗号アルゴリズムとなります。暗号アルゴリズムによって暗号化の強度が変化するため、可能な範囲内で情報の正誤などについて確からしさが高いアルゴリズムを選択することが大切です。信頼性の高い暗号アルゴリズムとして広く利用されているのは『AES』ですので、多くの選択肢から暗号アルゴリズムを選ぶ際も、特に主張や見解の元となる事実や意見がなければ『AES』を選ぶといいでしょう。

 

暗号鍵を管理する

暗号鍵は暗号化しているデータを復号するために利用されているため、暗号鍵を第三者に盗まれてしまうと暗号化されているデータが不正に復号されてしまいます。また知らぬ間に手元からなくなってしまうと、正規のユーザがデータを復号化することが不可能になるため、暗号鍵は厳格に管理することが大切となります。暗号化データと同一の場所に保管しておくと、対象になり得るデータと鍵を全部含めて盗まれてしまいますので、アクセス制限などが徹底している他の場所に暗号鍵を保管します。暗号鍵を保管するための専用ソフトウェア製品も存在していますので、それらを利用することによって目的を達成できます。

 

 アクセスを制御する

暗号化はあくまで不正アクセスなどによってデータが持ち出された場合、内容を解読させないことで被害の発生率または重大性を減少させる対応策となるため、暗号化では不正アクセスが発生することを防止することはできません、不正アクセスを防止するためには「アクセス制御」を導入して、ユーザに権限を割り当てることによって、権限で認められている領域以外のデータに対してはアクセスを実行できないようにして、何時誰がデータにアクセスしたかを把握するためにアクセスログも取得しておくことが大切となります。

 

データベース暗号化によりセキュリティ向上を図る

データベースにはより重視する必要があるデータが格納されているため、暗号化することによってデータを外部の脅威などから切り離す必要があります。 暗号化を実現することは大切ですが注意点もありますので、問題なく確実にデータベースを使用するためにも、セキュリティの大事な部分をしっかり踏まえて対策することが必要となります。

 

適切にデータベースを暗号化して安全性を高める

データベースの暗号化には以下の方法があり、実現することは情報漏洩を防止するために十分な効力を発揮する対策となります。

  • ストレージの暗号化機能
  • アプリケーション機能
  • データベースの暗号化機能

 

また暗号化を実現する場合には以下の点に注意してください。

  • 透過性
  • 暗号アルゴリズム
  • 暗号鍵の管理
  • アクセス制御
  • バックアップとネットワークの暗号化

 

以上を踏まえてデータベースの暗号化を、データ暗号化ソリューション「D’Amo(ディアモ)」で実現することによって、自社のデータに対する外部の危害から防御していきましょう。

www.pentasecurity.co.jp