ある会社が情報漏えいを一度経験すると、その会社の情報システムに詳しくない多くの人々もセキュリティを意識し始めます。それは悪いことではありませんが、多くのセキュリティに関する誤解を生む危険性があります。特に「データを暗号化していればよかった」とみなさん単純に思ってしまうようで、暗号化神話とまでは言わないものの暗号化に対する一般の方のセキュリティへの単純な信頼というものは意外と高いものもと感じられます。
しかし、暗号化ですべての攻撃を防げるわけではないので、そのような誤解を生まないためにも、暗号化することで、どのような攻撃を防ぐことが可能になるのか理解しておくことはとても重要です。
暗号化することで、一番セキュリティ効果が現れるのはローレベルコピー対策です。物理的ハードウエアの場合は、ディスクの内容をまるごとコピーされてしまうようなことは少なかったのですが、クラウドによるシステムの仮想化が多い現在では、スナップショット機能や、テンプレート機能など、簡単にディスクのコピーを作ることが可能ですから、暗号化が非常に効果があります。また、高度なアクセス権を設定可能な暗号化では、許可ユーザ以外からの暗号化領域へのアクセスを拒否しますから、OSレベルでのセキュリティに関しては非常に強度になります。
しかし、そのようなローレベルの攻撃でなくアプリケーションレベルでの攻撃の場合、暗号化の効果は低くなります。この場合、アプリケーションが暗号化領域へのアクセス権を既に持っているので、そのようなアプリケーションの脆弱性を利用した攻撃には弱くなります。
つまり、暗号化することで、いくつかのセキュリティの問題が解決しますが、それだけではすべてを解決することはできません。暗号化で何を解決することができるのか理解して上でご利用をしていただければと思います。