ESET/マルウェア情報局
デバイスの紛失や盗難、アカウントのハッキングに有効な暗号化の手法
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「セキュリティの脅威から個人情報を守るための暗号化手法」を再編集したものです。
デバイスの盗難やクラウドサービスのアカウントでハッキングが発生した場合に備え、暗号化の処理を施すことは有効な対策の一つといえる。セキュリティを高めるために用いられる、代表的な暗号化の方法を解説する。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
自分のあらゆる個人情報を、パソコンやスマートフォン(以下、スマホ)、あるいはクラウド上に保存しているユーザーも少なくないだろう。用心深いネットユーザーなら、セキュリティ対策としてパスフレーズや生体認証、あるいは双方を組み合わせているかもしれない。これらは極めて賢明な対策だといえる。しかし、デバイスそのものを紛失、あるいは盗難されてしまったことを想定した場合、はたして安全と言い切れるのだろうか?そこで注目されるのが「暗号化」の存在だ。
暗号化の用途は、データ保管にとどまらず、パスワード、送受信するメッセージやWebサイトとの通信内容など多岐にわたる。これらの用途で暗号化を用いることは、個人情報のセキュリティ対策としては最善ともいえるものだ。ここでは、いくつかの暗号化手法について解説する。
ハードディスクの暗号化
多くのコンピューターで、マザーボードと物理的に固着されていない、リムーバブルハードディスクが未だに現役で使用されている。また、追加のストレージとして外付けハードディスクが使用されることもある。このような状況下において、フルディスク暗号化は非常に有効なセキュリティ対策となりうる。フルディスク暗号化により、ディスクの置き忘れや盗難の際でも、すべてのデータ、ソフトウェア、使用中のOSなど、ディスクに保存されている情報へのアクセスが不可能になる。起動時に正しいキー入力が行われない限り、コンピューターは高価な文鎮のような存在に過ぎない。ほとんどのOSには、高度な機能やオープンソースプロジェクト、あるいは組み込みオプションといった選択肢が用意されている。
最新のスマホやタブレットでは暗号化機能が組み込まれ、デフォルトで有効になっているものが多い。また、最新のものでない場合、AndroidやiOS端末の暗号化に関する情報はインターネット上に多数あり、検索で容易に見つけ出すことができる。
クラウドデータの暗号化
クラウドストレージは簡単にアクセスでき、インターネットに接続していれば時間や場所に関係なく使用できるため、多くのユーザーが利用している。ただし、アクセスのしやすさゆえの問題もある。ここ数年、クラウドストレージのサービスでは、人為的ミスや悪質な標的型攻撃によるセキュリティ侵害が発生し続けている。それらの攻撃を防ぐには、ファイルをクラウドにアップロードする前に暗号化するといいだろう。
仮にクラウドサービスのベンダーにセキュリティインシデントが発生し、悪意のある攻撃者がデータを入手したとしても、復号のための鍵がなければその中身を閲覧することはできない。暗号化のための製品は種類が豊富にあり、ユーザーの要件や暗号化機能に応じて選択することができる。AES方式で暗号化されている製品は必須ともいえるが、AES方式の製品は無料あるいは有料のものが数多くあり、特に有料の製品やサービスでは、価格帯やオプションも幅広く提供されている。
通信内容の暗号化
手軽にはじめられる方法の一つとして、バーチャルプライベートネットワーク(VPN)を利用する方法がある。例えば、カフェから業務上の機密情報を顧客と共有する場合、VPNならば誰にも盗み見されることなく、暗号化されたネットワーク上で安全にデータ共有が可能だ。また物理的に地球の反対側にいたとしても、自宅のネットワークにあるデータへ安全にアクセスすることができる。選択肢は多数あるため、どのVPNサービスが自分に合っているか分からない場合は、VPNの種類に関する当サイトの記事を参照してほしい。
別の方法として、Torなどの匿名ネットワークを使用するという選択肢もある。Torネットワークは、いくつもの中継地点を介しながら、複数レイヤーによる通信の暗号化を行う、ボランティアによる非営利のオーバーレイネットワークだ。この仕組みは、不正に情報を盗み見しようとする攻撃者から、ユーザーの匿名性を保護しながらも安全なインターネット閲覧を実現するものだ。
また、Webサイトにアクセスする際には、そのWebサイトがHTTPSプロトコルを使用しているかを必ず確認しておこう。「S」はセキュア(secure)の「S」で、Webブラウザーとサーバーの間で行われるすべての通信が暗号化されていることを意味する。現在では、世界中の主要なWebサイトのほとんどでHTTPSが標準的に使用されるようになっている。
メッセージの暗号化
メッセージアプリは数多くあり、メジャーなアプリではエンドツーエンド暗号化が使用されているが、必ずしもすべてのアプリが標準で有効にしているわけではない。例えば、Facebook Messengerでエンドツーエンド暗号化を有効化するには、ユーザーが自分のプロフィール画像をクリックし、「秘密のスレッド」を選択して会話を開始する必要がある。この設定を行うことで、自分と特定の受信者の間のメッセージが暗号化されるようになる。WhatsAppやTelegramはデフォルトでエンドツーエンド暗号化が有効化されているものの、Telegramにはもう一つセキュリティレイヤーを追加したSecret Chat機能が備わっており、自分が送信するメッセージやファイルの自動削除が可能だ。Signalは技術者から最も高い評価を安定して受けているメッセンジャーアプリの一つだが、オープンソースであるため、専門家による広範な検証が可能となっている。
またメールの送受信データについても暗号化できるが、この場合、送信者は受信者の公開鍵を使ってメッセージを暗号化し、受信者は自分の秘密鍵を用いてメッセージを復号する。暗号化した送信メッセージを受信者側で復号できるようにするため、送信者は受信者の公開鍵を入手しておく必要がある。メールの暗号化にも数多くの種類があり、最も一般的なものはPGP、GPG、S/MIMEだ。一般的なメールアプリ用にプラグインや付属のオプションがいくつか用意されている。例えば、マイクロソフト社はOutlook内でS/MIMEを有効にする方法としてガイドを提供している。
より安全なメールサービスを検討するのもいいだろう。ProtonMailなどは、エンドツーエンドでメールを暗号化する安全なメールプラットフォームだ。暗号化されたメールの送信をサービスのユーザー間に限定し、他サービスのユーザーに送信するメールは通常のメールとする「クローズド・ショップ」方式を使用できる。相手側のメールサービスに関係なく、暗号化されたメールを送受信することも可能となっている。
パスワードの暗号化
パスワードマネージャーは、同じパスワードの使いまわしを回避し、すべてのパスワードを記憶しなくてもよい便利なツールだ。パスワードマネージャーは、自分のパスワードをすべてまとめて保管する金庫のように機能し、銀行の金庫室さながらに堅牢性が確保されている。パスワードマネージャーが使うのは鉄筋コンクリートではなく、複雑で難解な文字列だ。
ほとんどのクラウド型のパスワードマネージャーでは、強力な暗号化を施して保護された自社サーバーにユーザーのパスワード群のコピーが保存され、さらにセキュリティを強化するために、ユーザーが多要素認証(MFA)を使用できるようになっている。自分のパスワードを付箋に書いてパソコンに貼る、あるいはドキュメントとして保存するやり方や、同じパスワードを使いまわしている場合よりも、よほど安全な方法といえるだろう。
おわりに
デジタル社会で自ら所有する個人情報を保護するために、これだけの選択肢があることに意味を見出せないユーザーも少なくないはずだ。しかし、これらのセキュリティ対策を決して過小評価すべきではない。「百の治療より一つの予防」という古いことわざがあるが、デジタルの世界ではこの数字は倍増すると考えねばならない。個人情報のセキュリティを確保するために十分な予防策を今すぐ講じることで、将来の重大なトラブルを回避することができる。
[引用・出典元]
How encryption can help protect your sensitive data by Amer Owaida 22 May 2020 - 11:30AM
https://www.welivesecurity.com/2020/05/22/how-encryption-can-help-protect-sensitive-data/