暗号化は、暗号（暗号化アルゴリズム）と暗号鍵を使用して、データを暗号文にエンコードします。この暗号文が受信側に送信されると、鍵（対称暗号化の場合は同じ鍵、非対称暗号化の場合は関連する別の値）を使って暗号文を解読し、元の値に戻します。暗号化キーは物理的なキーのように機能し、正しいキーを持つユーザーだけが暗号化されたデータを「解除」または復号化できることを意味します。暗号化とトークン化 暗号化と トークン 化は関連するデータ保護技術ですが、その区別は進化してきました。一般的にトークン化とは、形式を保持したデータ保護のことで、トークン（似ているが異なる値）を個々の機密値の代わりに使用するデータ保護のことを指します。暗号化とは通常、データ（1つまたは複数の値、あるいはデータセット全体）を、オリジナルとはまったく異なる外観を持つ不可解な言葉に変換するデータ保護を意味します。トークン化はさまざまな技術に基づいています。NIST FF1-mode AESのような 形式を保持した暗号化を 使用するバージョンもあれば、ランダムな値を生成し、元のデータと一致するトークンを安全なトークン保管庫に保管するバージョンもあります。上記の暗号化の定義に従えば、トークン化はどのようなものであれ、明らかに暗号化の一種です。

概要

データの暗号化とは、平文／平文（暗号化されていない、人間が読むことのできるデータ）を、正しい暗号鍵を持つ許可されたユーザーのみがアクセスできる暗号文（暗号化されたデータ）にエンコードするコンピューティング・プロセスである。簡単に言えば、暗号化は、読み取り可能なデータを、正しいパスワードを持つ人だけが解読して閲覧できる別の形に変換するもので、デジタル・トランスフォーメーションの重要な要素である。

データの生産、集約、消費のいずれのビジネスにおいても、暗号化は、機密情報を権限のないユーザーの手に渡さないための重要なデータプライバシー保護戦略です。このページでは、暗号化とは何か、どのように機能するのかについて、非常にハイレベルな見解を示す。

暗号化

暗号化の仕組みは？

暗号化は、暗号（暗号化アルゴリズム）と暗号キーを使ってデータを暗号文にエンコードする。この暗号文が受信側に送信されると、鍵（対称暗号の場合は同じ鍵、非対称暗号の場合は関連する別の値）を使って暗号文を解読し、元の値に戻す。暗号化キーは物理的なキーとよく似た働きをする。つまり、正しいキーを持つユーザーだけが暗号化されたデータを「解除」または復号化できる。

暗号化とトークン化の比較

暗号化とトークン化は関連するデータ保護技術であり、両者の区別は進化してきた。

一般的にトークン化とは、形式を保持したデータ保護のことで、トークン（似ているが異なる値）を個々のセンシティブな値に置き換えるデータ保護のことを指す。暗号化とは通常、データ（1つまたは複数の値、あるいはデータセット全体）を、オリジナルとはまったく異なる外観のちんぷんかんぷんな言葉に変換するデータ保護を意味する。

トークン化はさまざまな技術に基づいている。NIST FF1-mode AESのような形式を保持した暗号化を使用するバージョンもあれば、ランダムな値を生成し、元のデータと一致するトークンを安全なトークン保管庫に保管するバージョン、あらかじめ生成されたランダムなデータセットからトークンを生成するバージョンもある。上記の暗号化の定義に従えば、トークン化はどのようなものであれ、明らかに暗号化の一形態である。

暗号化の目的は何ですか？

暗号化は、インターネットを経由して送信されたり、コンピュータシステムに静止状態で保存されたりする機密データを保護する上で、重要な役割を果たしている。データの機密性を保つだけでなく、送信元を認証し、送信後にデータが変更されていないことを確認し、送信者が暗号化されたメッセージを送信したことを否定することを防ぐことができる（否認防止としても知られている）。

強固なデータプライバシー保護に加え、暗号化は多くの場合、複数の組織や標準化団体によって制定されたコンプライアンス規制を守るために必要です。例えば、連邦情報処理標準（FIPS）は、2014年連邦情報セキュリティ近代化法（FISMA 2014）により、米国政府機関または請負業者が従わなければならないデータセキュリティ標準のセットである。これらの規格の中で、FIPS 140-2は暗号モジュールの安全な設計と実装を要求している。

もう一つの例は、PCIDSS（Payment Card Industry Data Security Standard）である。この規格は、加盟店に対し、顧客カード・データが静止状態で保存されるとき、および公衆ネットワークを通じて送信されるときに、暗号化することを義務付けている。多くの企業が従わなければならないその他の重要な規制には、一般データ保護規則（GDPR）や2018年カリフォルニア州消費者プライバシー法（CCPA）などがある。

暗号化の種類とは？

暗号化には大きく分けて対称型と非対称型の2種類がある。

対称暗号

対称暗号化アルゴリズムは、暗号化と復号化の両方に同じ鍵を使用する。つまり、データを暗号化する送信者またはコンピューター・システムは、権限を与えられたすべての当事者と秘密鍵を共有し、彼らがデータを復号化できるようにしなければならない。対称暗号化は通常、非対称暗号化よりも高速で実装が簡単なため、大量のデータを暗号化する場合に使用される。

最も広く使われている対称暗号のひとつが、2001年に米国標準技術局（NIST）によって米国政府標準として定義されたAdvanced Encryption Standard（AES）である。AESは3つの異なる鍵長をサポートしており、それによって可能な鍵の数が決まる：128、192、256ビットである。AESの鍵長を解読するには、現時点では非現実的なレベルの計算能力が必要であり、今後もそうなることはないだろう。AESは、国家安全保障局（NSA）のような政府機関を含め、世界中で広く使われている。

非対称暗号化

公開鍵暗号化としても知られる非対称暗号化では、2つの異なるが数学的に結びついた鍵、つまり公開鍵と秘密鍵を使う。通常、公開鍵は一般に共有され、誰でも使用できる。一方、秘密鍵は鍵の所有者だけがアクセスできるよう、安全に保管される。送信者の秘密鍵と受信者の公開鍵の二重でデータを暗号化することで、意図した受信者のみが復号化できることと、送信者が本人であることを保証することができる。非対称暗号化は、公開鍵の共有が容易であるため、ユースケースによってはより柔軟である。しかし、対称暗号化よりも多くのコンピューティングリソースを必要とし、これらのリソースは保護するデータの長さに応じて増加する。

そのため、ハイブリッド・アプローチが一般的である。対称暗号鍵を生成し、データ量の保護に使用する。その対称鍵は、受信者の公開鍵を使って暗号化され、対称暗号化されたペイロードと一緒にパッケージされる。受信者は、非対称暗号を使って比較的短い鍵を復号し、対称暗号を使って実際のデータを復号する。

最も広く使われている非対称暗号のひとつがRSAで、1977年に発明者のRon Rivest、Adi Shamir、Leonard Adlemanにちなんで命名された。RSAは今でも最も広く使われている非対称暗号化アルゴリズムの一つである。現在のすべての非対称暗号と同様、RSA暗号は素因数分解に依存している。素因数分解とは、2つの大きな素数を掛け合わせてさらに大きな数を作ることである。適切な鍵長を使用した場合、RSAを解読するのは極めて困難である。というのも、乗算された結果から元の2つの素数を特定しなければならないが、これは数学的に困難だからである。

現代の暗号化の弱点

他の多くのサイバーセキュリティ戦略と同様に、最新の暗号化にも脆弱性がある。最近の暗号鍵は十分に長いので、ブルートフォース攻撃（正しい鍵が見つかるまでありとあらゆる鍵を試す攻撃）は現実的ではない。128ビットの鍵には2128通りの値がある：それぞれ1秒間に100億回の演算をテストする1000億台のコンピュータが、これらの鍵をすべて試すには10億年以上かかることになる。

最近の暗号の脆弱性は通常、暗号強度のわずかな弱体化として現れる。たとえば、ある条件下では、128ビットの鍵は118ビットの鍵の強度しか持たない。このような弱点を発見する研究は、暗号化強度を確保するという点では重要だが、実際の使用においては重要ではなく、多くの場合、サーバーへの自由な物理的アクセスといった非現実的な仮定を必要とする。このように、現代の強力な暗号化に対する攻撃の成功の中心は、鍵への不正アクセスにある。

暗号化は御社にどのように役立つのでしょうか？

データの暗号化は、堅牢なサイバーセキュリティ戦略の重要な要素である。特に、クラウドに移行する企業が増え、クラウドセキュリティのベストプラクティスに慣れていない企業が増えている。

OpenText™ Data Discovery, Protection, and Compliance ソリューションは、包括的なデータ暗号化ソフトウェアにより、企業のクラウド化を加速し、ITを近代化し、データプライバシーコンプライアンスの要求を満たすことを可能にします。CyberRes Voltageのポートフォリオ・ソリューションは、あらゆる種類のデータの発見、分析、分類を可能にし、データ保護とリスク削減を自動化します。Voltage SecureDataはデータ中心の永続的な構造化データセキュリティを提供し、Voltage SmartCipherは非構造化データセキュリティを簡素化し、複数のプラットフォームでファイルの使用と処分の完全な可視化とコントロールを提供します。

電子メールの暗号化

電子メールは、組織のコミュニケーションと日々のビジネスにおいて基本的な役割を果たし続けており、その防御において重要な脆弱性を示している。電子メールで送信される機密データは、攻撃や不注意による漏洩の影響を受けやすいことがあまりにも多い。電子メールの暗号化は、こうした脆弱性に対処するための重要な防御策となる。

医療や金融サービスのような規制の厳しい環境では、コンプライアンスは必須だが、企業が実施するのは難しい。エンドユーザーは、標準的な電子メールのワークフローを変更することに強く抵抗するからだ。SecureMailは、セキュアなメッセージの送信、発信、読み取り、共有の全機能を備え、コンピュータ、タブレット、モバイルプラットフォームのネイティブサポートなど、あらゆるプラットフォームでシンプルなユーザーエクスペリエンスを提供します。例えば、Outlook、iOS、Android、BlackBerryでは、送信者は既存の連絡先にアクセスし、「Send Secure」ボタンをクリックするだけで、暗号化されたメールを送信できる。受信者は、平文メールと同じように、セキュアなメッセージを既存の受信トレイで受け取ります。

ビッグデータ、データウェアハウス、クラウド分析の暗号化

ビッグデータセキュリティのパワーを引き出し、プライバシーコンプライアンスのために継続的なデータ保護を使用し、クラウドとオンプレミスで大規模でセキュアな分析を可能にします。企業はますますワークロードや機密データをクラウドに移行し、IT環境をハイブリッドクラウドやマルチクラウドに変えている。マーケッツアンドマーケッツ（MarketsandMarkets）が発行した市場調査レポートによると、クラウド分析市場規模は2020年の232億米ドルから2025年には654億米ドルに成長する。

OpenText™ Data Discovery, Protection, and Complianceソリューションは、クラウド移行時に機密データを保護することでクラウド導入のリスクを低減し、アナリティクスのためのユーザーアクセスとデータ共有を安全に実現します。暗号化とトークン化のテクノロジーは、クラウド倉庫やアプリケーションで、静止状態、移動中、使用中の規制対象データを検出・保護することで、顧客がプライバシー要件に準拠するのを支援する。また、これらのソリューションは、マルチクラウド環境のどこに機密データが流れていても、それを保護するデータ中心の保護機能で一元管理することにより、マルチクラウドの複雑さを最小限に抑えます。

Snowflake、Amazon Redshift、Google BigQuery、Azure Synapseなどのクラウドデータウェアハウス（CDW）との統合により、お客様は、プライバシー規制を遵守しながら、ビジネス上の機密情報が漏洩するリスクを軽減するフォーマットで保存されたトークン化されたデータを使用して、クラウド上で大規模で安全な分析とデータサイエンスを実施することができます。

PCIセキュリティ・コンプライアンスと決済セキュリティ

企業、加盟店、決済処理業者は、Payment Card Industry Data Security Standard（PCI DSS）やデータプライバシー法を遵守するために、ネットワークや決済カード会員データなどの高価値の機密データを保護するという、深刻かつ継続的な課題に直面しています。フォーマット保持型の暗号化とトークン化により、小売店頭、ウェブ、モバイルeコマースサイトにおけるPCIセキュリティコンプライアンスと決済セキュリティを簡素化します。

Voltageのセキュア・ステートレス・トークナイゼーション（SST）は、企業、加盟店、決済処理業者にペイメントカードデータの保護を保証する新しいアプローチを提供する、特許取得済みの高度なデータセキュリティソリューションです。SSTは、SecureData Enterpriseデータセキュリティプラットフォームの一部として提供されます。このプラットフォームは、市場をリードするフォーマット保持暗号化（FPE）、SST、データマスキング、ステートレス鍵管理を統合し、機密性の高い企業情報を単一の包括的なソリューションで保護します。

POS決済データの保護

カードのスワイプ、挿入、タップ、または手動入力時に、小売店のPOSクレジットカードデータを暗号化またはトークン化します。

SST決済技術

当社のボルテージ・セキュア・ステートレス・トークナイゼーション（SST）は、決済データを保護された状態で使用・分析することを可能にします。

ウェブブラウザのデータを保護する

OpenText™ Voltage™ SecureDataは、ブラウザに入力された決済データを暗号化またはトークン化し、PCI の監査範囲を縮小します。

モバイル向けPCIセキュリティ

ボルテージは、決済フロー全体を通じてモバイル端末で取得されたデータに対して SecureDataを提供します。