暗号というと、スパイ!ってイメージが頭を占めていたのだけど、実際は、ネット上でも企業内でもさまざまに使用されていて、とても役に立つ技術である――ということを、前回(第5回)は理解できたと思う。けれど、暗号を使いこなすには「鍵」の管理がポイントだとか・・・。企業セキュリティの“カギ”ならば・・・、セキュリティ担当・美咲、今日もガッツでいきます!
この前(第5回)は、情報の重要度に応じて暗号化の方式を使い分けることと、データの暗号化と復号には「鍵」と呼ばれるものを使う、というところまで話したよね。
で、最後のほうに、トオル先輩は「暗号では鍵の管理がとても重要」って言っていたのよね。それに「鍵をきちんとコントロールできる仕組みが必要」とも。これは、どういう意味だったの?
企業の内部には、外部に流出しては困る情報やデータが膨大にあるでしょう?
経営に関するデータとか、お客様の個人情報とか。
そう。そういう情報は、万一に備えて、暗号化して保存したり、送受信することが望ましいよね。でも一方で、暗号化が企業内や取引先のあちこちで勝手気ままに行なわれたりすると・・・。
それはそれで、問題かも・・・。
うん。たとえば、マル秘の書類なのでファイルを暗号化したのはいいのだけど、担当者がそれを解く(復号する)「鍵」をうかつにも紛失してしまった・・・。で、ファイルを元に戻せず、業務に支障が出てしまうとか。
現実の鍵もパスワードもなくしたり、忘れた後に重大さに気づく・・・。そして、そのときにはもう遅い・・・。
学習したんだね(笑)。
あるいは、本来は限定配布されるはずだった復号の鍵が、“友だちの輪”のように広がって(笑)、いつのまにか関係者以外も入手しているとか、現実に問題も起きているんだ。
暗号化したらすべて安心、というわけにはいかないのね。
そういうこと。特に後者は、ことの重大さを認識していなかったり、配慮が足りなかったばかりに・・・などありがちだからね。
だからこそ、いったん鍵が設定範囲以外の他人の手に渡ると、暗号化の安全性が崩れてしまうということをシッカリ頭に入れておいてほしいんだ。
ハイ。キモにも銘じておきます。
ということで、鍵の管理とか、コントロールって、どうしたらいいのかしら。基本にできる考え方とかないの?
鍵は、暗号文を作る前に生成され、いろいろなプロセスを経て利用され、最後は破壊されて“一生”が終わる、と、まず見ることができるかな。
だから、各ライフステージで管理を決定するとか、管理方針を選択するのがいいと思うな。
鍵のライフサイクルの管理、というのでいいのかな。
そう。まず「誕生」の前提として、
どのような情報に対してどの暗号方式を採用するのか、という全社的な基準を用意しておく。この統一基準を設けることによって、情報の重要度に応じた適切な暗号処理を行なえるようになるんだ。
で、次に「使用開始(使用前)」や「使用中」に向けて、
鍵を安全に利用するためにさまざまな定義を行なう。これは、具体的には誰が・いつ・どの鍵を・どこに・どのような方法で登録・保管・配布をするか、といった内容を決めることなんだけどね。
そして最後が「使用後」で、
鍵をどのように破壊するかを決めておく。
まるで、金塊を詰め込んだ金庫とか、ウイルスの培養室とかの、スゴイ鍵を扱うような大変さね! スパイ映画やサスペンス映画の巨大な扉が浮かぶわ(笑)
その通り。中に入っているものの重要性を考えたら、本物の金庫の鍵と同じように十二分に慎重に扱え、ということなんだよ(笑)。
それが、鍵管理の基本ね。
で、ポイントは「どのようなルールに従って暗号鍵の管理を行なうか、という管理方針を初めに選択し、いったん決定したらそれをきっちり守る」ということでいいかな。暗号の運用は、この鍵のコントロールが決め手なのよね。
正解! 加えて、現実には金庫の鍵じゃなくて、コンピュータの中だから・・・。鍵管理のソフトも使えるし、そこは金庫の鍵とちょっと違うかもね。
企画部長も言っていたのだけど、暗号鍵の管理ツールって、鍵を一元管理できる便利&強力なソフトなんですってね。
そうだね。暗号化では、鍵管理の仕組みがしっかりしていることが大事。あるいは、情報の重要度にあわせて暗号化の方式を複数利用する。
だから、さまざまな暗号鍵を集中管理したり、鍵管理の統合が必要になってくる。その際に、鍵管理ツールは重宝する、そんなことも頭のスミに入れておいてね。
鍵管理の一元化や統合かぁ。
暗号や鍵ってなんかワクワクするんだけど、奥も深そう。
がんばって、ついてきてね(笑)。
お問い合わせ
情報セキュリティに関するお問い合わせ
情報セキュリティに関する ご質問、ご相談、資料請求
