メインコンテンツに移動

ページトピック

データ暗号化とは?

データ暗号化とは、データを判読不能な形に変換 (スクランブル) し、その内容を解読するためのキーを持たない人、サービス、デバイスからは読めないようにする仕組みです。暗号化により、ファイル、ディスク、オブジェクト、ストリームなどのデータは、暗号化を行う側とキーを保有する側との間でのみプライベート (非公開) なものになります。第三者が暗号化されたデータにアクセスできたとしても、キーがないとデータにアクセスできません。データ暗号化は、企業のサイバーセキュリティの基本的な部分です。

データ暗号化の仕組み

現代の暗号化システムでは、通常、対称暗号化または非対称暗号化のいずれかが用いられており、これらはいずれも暗号技術の一形態です。

対称暗号化

対称キー暗号化では、データの暗号化と復号化の両方に 1 つのプライベートキーを使用します。対称キーの仕組みでは、送信者と受信者の両方が事前に暗号化キーを所有している必要があります。

一般に、対称暗号化は非対称暗号化よりも高速で効率的であるため、大量のデータを暗号化するのに適しています。

非対称暗号化

対称暗号化では、パブリックキーとプライベートキーのペアを使用します。

  • パブリックキーは、他の人から送られてくるデータを暗号化するために使用されるキーです。この暗号化キーを連絡先と公開で共有します。秘密にする必要はありません。
  • プライベートキーとは、ユーザーが秘密にしておき、他のユーザーがパブリックキーを使用して送信した機密データを復号化するために使用するキーです。

このシステムにより、対称暗号化の最も重要な制限の 1 つである共有キーを安全に交換する必要がなくなります。

多くの場合、組織は次のような方法で非対称暗号化を使用します。

  • デジタル署名を使用
  • ウェブブラウジング (HTTPS) セッションをセキュリティで保護
  • 以前にキーを交換したことがない当事者間の機密メッセージを暗号化

非対称暗号化は、パブリックキー暗号と呼ばれることもあります。

データ暗号化は何に使用されますか?

個人や組織は暗号化方式を使用してデータを保護し、規制基準を遵守しています。ネットワーク上のデバイス間で、保管中、転送中、およびエンドツーエンドでデータを暗号化できます。

保管時の暗号化

保管中のデータとは、ストレージにあるデータです。ストレージ内のデータは、ハードドライブ、クラウド、またはデータベースに保存されているデータである可能性があります。たとえば、組織では、保存時に暗号化された重要なデータの同期バックアップをクラウドに保存していることがよくあります。

転送中の暗号化

転送中のデータとは、ネットワークを介してあるシステムから別のシステムに転送されるデータを指します。例としては、ウェブブラウザとサーバー間のやり取りがあります。銀行などの安全なウェブサイトにアクセスすると、ブラウザとサーバーは転送中の暗号化を使用します。この転送中の通信暗号化は、トランスポート層セキュリティ (TLS) と呼ばれます。この銀行データをネットワーク経由で傍受することはできますが、読み取ることはできません。

エンドツーエンド暗号化 (E2EE)

エンドツーエンドのデータ暗号化は、転送前に送信システムのデータを暗号化します。受信側システムは、受信後に復号キーをローカルで使用します。たとえば、安全なメッセージングアプリは、デバイス上のメッセージコンテンツをエンドツーエンドで暗号化します。データは、承認された連絡先がアプリで受信した後にのみ復号化されます。

どのような種類のデータを暗号化すべきですか?

組織は通常、機密データや規制対象データを保護するために暗号化を使用します。

金融データ

保管中および転送中の暗号化は、取引、口座情報、信用履歴などの機密金融データを保護するためのベストプラクティスです。金融セクターでは、Payment Card Industry Data Security Standard (PCI-DSS) などの多くのコンプライアンス規制により、厳格なデータ暗号化ルールとプロセスが義務付けられています。ここの暗号化は、詐欺や不正アクセスを防ぐのに役立ちます。

商用データ

多くの組織は、提案、顧客契約、サービスレベル契約 (SLA)、サプライヤー契約などの機密ビジネスデータも暗号化したいと考えるようになるでしょう。特定の業界や国では、暗号化標準を対象とする一般データ保護規則 (GDPR) などの規制や法律の遵守が義務付けられています。企業は、データ漏えいが発生した場合の財務上または評判上の損害を回避するためにデータを暗号化します。

人事データ

通常、組織が人事 (HR) データ、特に従業員の個人を特定できる情報 (PII) を保護する方法については、連邦法と地方法が混在して規定されています。また、人事データは一般に第三者のプラットフォームと共有されるため、データが公開されたり傍受されたりする可能性があります。

個人を特定できる情報 (PII)

個人を特定できる情報 (PII) には、開示された場合に個人を特定できるデータが含まれます。名前、住所、社会保障番号はすべて PII の例です。PII を暗号化することで、組織は個人情報の盗難を防ぎ、世界のプライバシー法を確実に遵守できるようになります。

たとえば、欧州連合の GDPR やカリフォルニア消費者プライバシー法 (CCPA) などの規制により、組織は保管中の個人情報を保護することが義務付けられています。暗号化は、これらの基準を満たすために一般的に使用されるツールです。

保護されるべき医療情報 (PHI)

医療提供者、保険会社、人事部門は、個人に関連する医療情報または健康関連情報を含む保護されるべき医療情報 (PHI) を取り扱います。PHI の例としては、電子カルテ、治療履歴、薬局の処方データなどがあります。

米国の医療保険の相互運用性と説明責任に関する法令 (HIPAA) などの法律では、データセキュリティ対策の実施が義務付けられています。これらの措置は、電子 PHI (ePHI) の機密性、完全性、および可用性を保護します。PII と同様に、暗号化は HIPAA やその他の PHI 規格を満たすために使用される一般的なツールです。

ハッシュとデータ暗号化の違いは何ですか?

ハッシュアルゴリズムは、ファイルやメッセージなどのデータを取得し、そのデータに固有の文字列 (ハッシュ) を計算します。誰かまたは何かが元のデータを少しでも変更すると、ハッシュ値も変更されます。そのため、ハッシュはデータの整合性と信頼性を検証するために頻繁に使用されます。

暗号化とは対照的に、ハッシュアルゴリズムは一方向の数学関数です。これらには暗号キーがなく、元に戻すことはできません。多くの場合、組織はハッシュと暗号化を併用して、データが本物で改ざんされていないことを検証します。

デジタル署名とデータ暗号化の違いは何ですか?

デジタル署名は、送信者の信頼性を検証するためのツールです。デジタル署名は、パブリックキーデータ暗号化とハッシュの両方を利用します。

デジタル署名は次のプロセスを経て機能します。

  1. 送信者は、データが本物で改ざんされていないことを証明するために、データのハッシュを作成します。
  2. 次に、送信者はそのハッシュを暗号化してデジタル署名を作成します。
  3. 受信者は、関連する署名とともにデータを受け取ります。署名に復号キーを適用し、データの新しいハッシュを生成して、復号化された元のデータと比較します。

両方のハッシュが一致すれば、受信者は、識別された送信者がデータを送信したこと、および送信中に変更が発生していないことを確信できます。

一般的なデータ暗号化標準とは?

今日最も広く使用されている対称暗号化標準は Advanced Encryption Standard (AES) で、世界中のインターネットトラフィックの多くが AES を使用して暗号化されています。最も一般的な非対称規格は Rivest-Shamir-Adleman (RSA) です。RSA は AES よりも計算量が多く、デジタル署名などの少量のデータの暗号化によく使用されます。

AES と RSA を組み合わせて使用できます。RSA は少量のデータを最も効率的に暗号化するため、大量の対称キー暗号化転送で送信される AES キーを暗号化できます。

Advanced Encryption Standard (AES)

AES は、2001 年に米国によって制定された対称暗号化の仕様です。米国国立標準技術研究所 (NIST) により FIPS 140-3 セキュリティレベル 3 で検証されています。AES は、暗号学者の Joan Daemen と Vincent Rijmen によって開発された暗号化アルゴリズムを使用しており、128 ビットまたは 256 ビットの暗号化キーサイズ (AES-128 および AES-256 という名称で知られています) をサポートしています。

RSA

RSA の名前は、1977 年にこの暗号化規格を開発した MIT の科学者、Rivest、Shamir、Adleman に由来しています。プライベートキーとパブリックキーは、密かに生成された大きな素数のペアを使って生成されます。RSA は、暗号化モデルに数学の「因数分解問題」を使用しています。RSA キーの生成に使用されるような非常に大きな数については、その素因数をリバースエンジニアリングする計算効率の高い方法は存在しません。

Data Encryption Standard (DES)

Data Encryption Standard (DES) は、NIST が 2002 年に AES へ移行する形で廃止した旧式の暗号化規格です。56 ビットのキーを使用して 64 ビットブロックのデータを暗号化しますが、ブルートフォース攻撃を受けやすいことを複数の研究者が発見しました。DES は現代の入力技術やデータ漏えいに対して脆弱ですが、現在でもレガシーシステムで使用されています。

データ暗号化技術を選択する際の考慮事項を教えてください。

選択するデータ暗号化技術は、単にデータを保護する以上の役割を果たすべきです。選択したデータ暗号化技術は、ビジネス目標と一致し、規制要件に準拠している必要があります。

組織に適した暗号化技術を選択する際には、次の 4 つの要素を考慮してください。

資産感度を評価する

すべてのデータが同じセキュリティを必要としているわけではありません。機密データには、完全なエンドツーエンドの暗号化が必要な場合があります。一方、機密性の低いデータでは、より簡易な暗号化、または暗号化が不要な場合もあります。

セキュリティ環境を理解する

金融機関や政府機関など、組織全体がターゲットになる場合もあります。それ以外のアプリ企業などでは、自社のインフラストラクチャに最低限のデータしか保管しておらず、それがセキュリティ上のリスクとなる可能性があります。組織内の各デジタル資産のリスクプロファイルに適した技術を選択してください。

最新の標準を使う

すべての暗号化アルゴリズムが同じレベルの保護を提供するわけではありません。DES、その派生型の 3DES、およびその他の古い標準では、一般に現代の攻撃に対して十分な防御を提供できません。AES-256 暗号化や 2048 ビットキーを使用した RSA など、現在の規格を用いた暗号化サービスを探してください。

コンプライアンスの要件に準拠する

多くの業界や管轄区域では、機密データを保護するために暗号化を義務付ける特定の規制があります。たとえば、PCI-DSS は、消費者のクレジットカード情報を安全に処理して送信することを各企業に義務付けています。

AWS はデータ暗号化の要件をどのようにサポートできますか?

AWS には、クラウドベースの暗号化とキー管理をサポートするさまざまなサービスがあります。

AWS CloudHSM では、専用のアメリカ連邦情報処理規格 (FIPS) 140-2 レベル 3 シングルテナントハードウェアセキュリティモジュール (HSM) インスタンスで暗号化キーを生成して使用できます。AWS CloudHSM は、お客様独自の仮想プライベートクラウド (VPC) で実行される顧客所有のシングルテナントの HSM インスタンスを使用してコンプライアンスを促進します。

AWS Key Management Service (AWS KMS) は、アプリケーション内のデータを暗号化するために使用されるキーを作成および管理できるサービスです。AWS KMS は AWS Encryption SDK (ソフトウェア開発キット) データ暗号化ライブラリを使用します。

AWS Payment Cryptography は、クラウドホスト型の決済アプリケーションで暗号化操作を簡略化します。

AWS Secrets Manager は保管中のシークレットをお客様の所有する暗号化キーで暗号化し、AWS KMS に保管します。

今すぐ無料のアカウントを作成して、AWS でのデータ暗号化を開始しましょう。