OpenTextのホームページ。
技術トピックス

暗号化とは何か?

クエスチョンマークを中心としたIT項目の図解

概要

データの暗号化とは、平文/平文(暗号化されていない、人間が読むことのできるデータ)を、正しい暗号鍵を持つ許可されたユーザーのみがアクセスできる暗号文(暗号化されたデータ)にエンコードするコンピューティング・プロセスである。簡単に言えば、暗号化は、読み取り可能なデータを、正しいパスワードを持つ人だけが解読して閲覧できる別の形に変換するもので、デジタル・トランスフォーメーションの重要な要素である。

データの生産、集約、消費のいずれのビジネスにおいても、暗号化は、機密情報を権限のないユーザーの手に渡さないための重要なデータプライバシー保護戦略です。このページでは、暗号化とは何か、どのように機能するのかについて、非常にハイレベルな見解を示す。

暗号化

暗号化の仕組みは?

暗号化は、暗号(暗号化アルゴリズム)と暗号キーを使ってデータを暗号文にエンコードする。この暗号文が受信側に送信されると、鍵(対称暗号の場合は同じ鍵、非対称暗号の場合は関連する別の値)を使って暗号文を解読し、元の値に戻す。暗号化キーは物理的なキーとよく似た働きをする。つまり、正しいキーを持つユーザーだけが暗号化されたデータを「解除」または復号化できる。

暗号化とトークン化の比較

暗号化と トークン化は関連するデータ保護技術であり、両者の区別は進化してきた。

一般的にトークン化とは、形式を保持したデータ保護のことで、トークン(似ているが異なる値)を個々のセンシティブな値に置き換えるデータ保護のことを指す。暗号化とは通常、データ(1つまたは複数の値、あるいはデータセット全体)を、オリジナルとはまったく異なる外観のちんぷんかんぷんな言葉に変換するデータ保護を意味する。

トークン化はさまざまな技術に基づいている。NIST FF1-mode AESのような形式を保持した暗号化を使用するバージョンもあれば、ランダムな値を生成し、元のデータと一致するトークンを安全なトークン保管庫に保管するバージョン、あらかじめ生成されたランダムなデータセットからトークンを生成するバージョンもある。上記の暗号化の定義に従えば、トークン化はどのようなものであれ、明らかに暗号化の一形態である。

暗号化の目的は何ですか?

暗号化は、インターネットを経由して送信されたり、コンピュータシステムに静止状態で保存されたりする機密データを保護する上で、重要な役割を果たしている。データの機密性を保つだけでなく、送信元を認証し、送信後にデータが変更されていないことを確認し、送信者が暗号化されたメッセージを送信したことを否定することを防ぐことができる(否認防止としても知られている)。

強固なデータプライバシー保護に加え、暗号化は多くの場合、複数の組織や標準化団体によって制定されたコンプライアンス規制を守るために必要です。例えば、連邦情報処理標準(FIPS)は、2014年連邦情報セキュリティ近代化法(FISMA 2014)により、米国政府機関または請負業者が従わなければならないデータセキュリティ標準のセットである。これらの規格の中で、FIPS 140-2は暗号モジュールの安全な設計と実装を要求している。

もう一つの例は、PCIDSS(Payment Card Industry Data Security Standard)である。この規格は、加盟店に対し、顧客カード・データが静止状態で保存されるとき、および公衆ネットワークを通じて送信されるときに、暗号化することを義務付けている。多くの企業が従わなければならないその他の重要な規制には、一般データ保護規則(GDPR)や2018年カリフォルニア州消費者プライバシー法(CCPA)などがある。

暗号化の種類とは?

暗号化には大きく分けて対称型と非対称型の2種類がある。

対称暗号

対称暗号化アルゴリズムは、暗号化と復号化の両方に同じ鍵を使用する。つまり、データを暗号化する送信者またはコンピューター・システムは、権限を与えられたすべての当事者と秘密鍵を共有し、彼らがデータを復号化できるようにしなければならない。対称暗号化は通常、非対称暗号化よりも高速で実装が簡単なため、大量のデータを暗号化する場合に使用される。

最も広く使われている対称暗号のひとつが、2001年に米国標準技術局(NIST)によって米国政府標準として定義されたAdvanced Encryption Standard(AES)である。AESは3つの異なる鍵長をサポートしており、それによって可能な鍵の数が決まる:128、192、256ビットである。AESの鍵長を解読するには、現時点では非現実的なレベルの計算能力が必要であり、今後もそうなることはないだろう。AESは、国家安全保障局(NSA)のような政府機関を含め、世界中で広く使われている。

非対称暗号化

公開鍵暗号化としても知られる非対称暗号化では、2つの異なるが数学的に結びついた鍵、つまり公開鍵と秘密鍵を使う。通常、公開鍵は一般に共有され、誰でも使用できる。一方、秘密鍵は鍵の所有者だけがアクセスできるよう、安全に保管される。送信者の秘密鍵と受信者の公開鍵の二重でデータを暗号化することで、意図した受信者のみが復号化できることと、送信者が本人であることを保証することができる。非対称暗号化は、公開鍵の共有が容易であるため、ユースケースによってはより柔軟である。しかし、対称暗号化よりも多くのコンピューティングリソースを必要とし、これらのリソースは保護するデータの長さに応じて増加する。

そのため、ハイブリッド・アプローチが一般的である。対称暗号鍵を生成し、データ量の保護に使用する。その対称鍵は、受信者の公開鍵を使って暗号化され、対称暗号化されたペイロードと一緒にパッケージされる。受信者は、非対称暗号を使って比較的短い鍵を復号し、対称暗号を使って実際のデータを復号する。

最も広く使われている非対称暗号のひとつがRSAで、1977年に発明者のRon Rivest、Adi Shamir、Leonard Adlemanにちなんで命名された。RSAは今でも最も広く使われている非対称暗号化アルゴリズムの一つである。現在のすべての非対称暗号と同様、RSA暗号は素因数分解に依存している。素因数分解とは、2つの大きな素数を掛け合わせてさらに大きな数を作ることである。適切な鍵長を使用した場合、RSAを解読するのは極めて困難である。というのも、乗算された結果から元の2つの素数を特定しなければならないが、これは数学的に困難だからである。

現代の暗号化の弱点

他の多くのサイバーセキュリティ戦略と同様に、最新の暗号化にも脆弱性がある。最近の暗号鍵は十分に長いので、ブルートフォース攻撃(正しい鍵が見つかるまでありとあらゆる鍵を試す攻撃)は現実的ではない。128ビットの鍵には2128通りの値がある:それぞれ1秒間に100億回の演算をテストする1000億台のコンピュータが、これらの鍵をすべて試すには10億年以上かかることになる。

最近の暗号の脆弱性は通常、暗号強度のわずかな弱体化として現れる。たとえば、ある条件下では、128ビットの鍵は118ビットの鍵の強度しか持たない。このような弱点を発見する研究は、暗号化強度を確保するという点では重要だが、実際の使用においては重要ではなく、多くの場合、サーバーへの自由な物理的アクセスといった非現実的な仮定を必要とする。このように、現代の強力な暗号化に対する攻撃の成功の中心は、鍵への不正アクセスにある。

暗号化は御社にどのように役立つのでしょうか?

データの暗号化は、堅牢なサイバーセキュリティ戦略の重要な要素である。特に、クラウドに移行する企業が増え、クラウドセキュリティのベストプラクティスに慣れていない企業が増えている。

OpenText™のデータセキュリティソリューションは、包括的なデータ暗号化ソフトウェアにより、組織がクラウドへの移行を加速し、ITの近代化を図り、データプライバシーコンプライアンスの要件を満たすことを可能にします。OpenTextのデータセキュリティ製品群により、組織はあらゆる種類のデータを特定、分析、分類し、データ保護とリスク低減を自動化することができます。OpenText™ Voltage™ SecureData Servers は、データ中心の永続的な構造化データのセキュリティを提供します。一方、OpenText™ SmartCipher は、非構造化データのセキュリティを簡素化し、複数のプラットフォームにわたるファイルの使用状況や処分状況について、完全な可視性と制御を提供します。

電子メールの暗号化

電子メールは、組織のコミュニケーションと日々のビジネスにおいて基本的な役割を果たし続けており、その防御において重要な脆弱性を示している。電子メールで送信される機密データは、攻撃や不注意による漏洩の影響を受けやすいことがあまりにも多い。電子メールの暗号化は、こうした脆弱性に対処するための重要な防御策となる。

医療 金融サービス といった規制の厳しい分野では 、 コンプライアンスの遵守は必須ですが、企業にとってその徹底は困難です。これは特に電子メールにおいて顕著です。なぜなら、エンドユーザーは、普段の電子メールのワークフローに変更が加えられることに強い抵抗を示すからです。OpenTextの™ SecureMailは、パソコン、タブレット、ネイティブモバイルプラットフォームなど、あらゆるプラットフォームでシンプルなユーザー体験を提供し、メッセージの安全な送信、作成、閲覧、共有をすべて行うことができます。たとえば、Outlook、iOS、Android、BlackBerry では、送信者は既存の連絡先一覧にアクセスし、「Send Secure」ボタンをクリックするだけで、暗号化されたメールを送信することができます。受信者は、平文のメールと同じように、既存の受信トレイで安全なメッセージを受け取ることができます

ビッグデータ、データウェアハウス、クラウド分析の暗号化

ビッグデータセキュリティのパワーを引き出し、プライバシーコンプライアンスのために継続的なデータ保護を使用し、クラウドとオンプレミスで大規模でセキュアな分析を可能にします。企業はますますワークロードや機密データをクラウドに移行し、IT環境をハイブリッドクラウドやマルチクラウドに変えている。マーケッツアンドマーケッツ(MarketsandMarkets)が発行した市場調査レポートによると、クラウド分析市場規模は2020年の232億米ドルから2025年には654億米ドルに成長する

OpenTextのデータセキュリティソリューションは、クラウド移行において機密データを保護することで、お客様がクラウド導入に伴うリスクを軽減できるよう支援するとともに、分析のためのユーザーアクセスやデータ共有を安全に実現します。暗号化およびトークン化技術は、クラウドウェアハウスやアプリケーション内で、保存中、転送中、および利用中の規制対象データを特定し保護することで、お客様がプライバシー要件を遵守できるよう支援します。また、これらのソリューションは、マルチクラウド環境全体を横断して流れる機密データをどこにいても保護するデータ中心型の保護機能により、管理を一元化することで、マルチクラウドの複雑さを最小限に抑えます。

Snowflake、Amazon Redshift、Google BigQuery、Azure Synapseなどのクラウドデータウェアハウス(CDW)との統合により、お客様は、プライバシー規制を遵守しながら、ビジネス上の機密情報が漏洩するリスクを軽減するフォーマットで保存されたトークン化されたデータを使用して、クラウド上で大規模で安全な分析とデータサイエンスを実施することができます。

PCIセキュリティ・コンプライアンスと決済セキュリティ

企業、加盟店、決済処理業者は、Payment Card Industry Data Security Standard(PCI DSS)やデータプライバシー法を遵守するために、ネットワークや決済カード会員データなどの高価値の機密データを保護するという、深刻かつ継続的な課題に直面しています。フォーマット保持型の暗号化とトークン化により、小売店頭、ウェブ、モバイルeコマースサイトにおけるPCIセキュリティコンプライアンスと決済セキュリティを簡素化します。

Voltage Secure Stateless Tokenization(SST)は、特許取得済みの先進的なデータセキュリティソリューションであり、企業、加盟店、決済処理業者に対し、決済カードデータの保護を確実にするための新たなアプローチを提供します。SSTは、「Voltage SecureData Servers」プラットフォームの一部として提供されており、市場をリードするフォーマット保持暗号化(FPE)、SST、データマスキング、およびステートレス鍵管理を統合し、機密性の高い企業情報を単一の包括的なソリューションで保護します。

POS決済データの保護

カードのスワイプ、挿入、タップ、または手入力時に、小売店のPOSクレジットカードデータを暗号化またはトークン化します。

SST決済技術

当社のボルテージ・セキュア・ステートレス・トークナイゼーション(SST)は、決済データを保護された状態で使用・分析することを可能にします。

ウェブブラウザのデータを保護する

Voltage SecureData Servers は、ブラウザに入力された決済データをその場で暗号化またはトークン化することで、PCI監査の対象範囲を縮小します。

モバイル向けPCIセキュリティ

決済フロー全体を通じてモバイル端末で取得されたデータのためのVoltage SecureData Servers

暗号化とは何か?

今日から始めましょう。

詳細情報

脚注