ペンタセキュリティシステムズは3月10日、「ファイルやデータの暗号化」に関する解説を公開した。
暗号化は情報セキュリティの根本的な話題であり、「ファイル暗号化」そして「データ暗号化」が重要な概念となってくる。
ファイル暗号化はファイルを暗号化することだが、この「ファイル」とは何を指すのかを考える必要がある。ファイルは、意味ある情報を盛る論理的な単位であるため、ファイル暗号化という言葉も、もともと慣れていた言葉のように聞こえる。しかし、ファイル暗号化はそれほど簡単な概念ではない。ファイルとして保存する情報をコンピュータは(1)物理的保存装置、(2)運営体制カーネル、(3)アプリケーションなどの3つの領域でそれぞれ違う方式を通じて処理する。そのため、ファイル暗号化といっても、その3つの領域でそれぞれ違う方式で行われる必要が出てくる。物理的保存装置から運営体制カーネル領域、そしてアプリケーション領域へといくほど、マネジメントの対する負担が増大する代わりに、セキュリティ性は高くなる。これは、すべての情報セキュリティ技術全体にわたって適用される一種の原理である。ただし、セキュリティを高めると、どうしても使用が不便になる。
一方のデータ暗号化は、そうしたファイルという箱の中に入っているデータの中で必ず隠さなければならない危険なデータだけを選別して暗号化するものだ。
これら2つの方式はそれぞれの長所と短所があるがセキュリティ性とマネジメントの負担の相関関係はやはり適用される。そうなればデータ暗号化よりもファイル暗号化のほうが管理が簡単であるが、やはりセキュリティ性は低くなる。ファイル全体を暗号化して、使用するときに復号化して、使い終わればまた暗号化する、といったことが考えられるが、人的ミスで暗号化をし忘れたり、ファイル全体の内容が平文のままメモリに残り、メモリダンプなどの手段によりデータが漏えいするといったリスクのほか、暗号化および復号化作業のための鍵管理およびアクセス制御、セキュリティ監査など他のセキュリティ道具を複雑化すると、長所である単純性から乖離することにもなる。
データが平文のままメモリに存在するリスクはどのような暗号化方式にも該当するが、どれほどたくさんの情報をどれだけ長く露出するかによる差はかなり大きいといえる。例えば、重要なデータとそれほど重要でないデータが混ざったデータベースファイルであっても、ファイル暗号化であれば全体を復号化し、メモリ上にデータを展開しなければならない。これが、重要なデータだけ暗号化されていれば、特に危険ではない一般情報だけを開いて作業して、特定暗号化データが必ず必要な瞬間に一連の手続きを通じて、復号化して作業を終えてから再び暗号化することにより、ファイル暗号化に比べて、危険性への露出時間を短くすることができる。
しかし、企業や個人が情報をファイル単位で区別して管理する必要がある場合はファイル暗号化も選択すべきの方法かもしれない。だが、ファイル暗号化はデータ暗号化に含まれる一部とみる方が良い。言い換えれば、ファイル暗号化は一部のデータをまた別のものにして暗号化する方法がないが、データ暗号化はファイル内容の部分もしくは全体を選択して暗号化することにより、ファイル暗号化と同じ効果を得ることができるためだ。
ファイルやフォルダを丸ごと暗号化してくれるのは手軽で便利だ。しかし、暗号化は便利にするため行われるものではないことを覚えておく必要がある。そう。暗号化は、セキュリティ性を高めるためにするものである。
