アクセス権とともに情報セキュリティに対する重要な管理策が情報の暗号化です。
もし暗号化された情報が漏えいしたとしても、これを復号化する鍵が漏えいしない限り情報自体は漏えいしたことにならないということが情報の暗号化のメリットです。
電子メールやWebサーバーへのアクセスが、暗号化の対象に挙げられます。
利用者の端末、PCやスマートフォン、特に持ち出し用の情報機器や、OA系のネットワークでは頻繁に利用されているファイル共有システムも対象です。
さらに、業務システムや基幹システムのアプリケーションで扱われる情報も暗号化の対象です。
具体的には、これらはストレージやデータベースの暗号化とし実装されます。
SMSではISO/IEC27001の「A.10.1暗号」の項目で、管理策が示されています。
まず、「A. 10.1.1暗号による管理策の利用方針」では、暗号化を実施する対象、暗号化の範囲、暗号化の方法及び暗号化を実施した場合のログの取得範囲と記録方法など、暗号化を管理策として利用する場合の方針の明確化と運用策の策定、実行が要求されています。
暗号による管理策
暗号による管理策の利用方針
- 情報を保護するための暗号による管理策の利用に関する方針は、策定し、実施しなければならない
鍵管理
- 暗号鍵の利用、保護及び有効期間に関する方針を策定し、そのライフサイクル全体にわたって実施しなければならない
鍵の管理が、暗号化の利用にあたっての重要なポイントになります。
例えば、電子メールの添付ファイルは暗号化して送る管理策が用いられますが、復号のためのパスワード(復号鍵)を同じメールで送ってしまっては暗号化して送る意味が無くなります。
鍵は、暗号化した利用者が厳密に管理する必要もあります。
利用者が鍵を失ってしまった場合、暗号化された情報が二度と復号化されず、情報を失ったのと同じことが起きてしまいます。
最近では、外部のWebとの間では暗号化されたhttpsプロトコルでの通信が利用されています。
これには、認証局を利用した鍵管理が行なわれていますが、この認証局が攻撃されて暗号鍵が奪われるという事態も発生しています。
また、暗号アルゴリズムのソフトウェアへの実装を間違えたり、暗号アルゴリズムそのものの安全性が相対的に低下したりすることもあります。
このため、「A.l0.1.2鍵管理」では鍵の管理について、暗号鍵の利用、保護及び有効期限についての方針を策定し、ライフサイクル全体にわたって管理することを要求しています。
関連記事
技術的対策 アーキテクチャ① 基本的な構造を知るためにネットワークの違いを知る