ディスク暗号化とフォルダ暗号化

情報漏えい事件が相次ぐ中、多くのシステム要件定義に暗号化というキーワードが入るようになってきました。しかし、まだまだ「何をどのように暗号化するのか」という視点ではなく、「とりあえず全部暗号化する」というものが多いようです。

その典型的なものがディスク暗号化です。ディスク暗号化はハードディスクそのもの、またはパーテション単位で暗号化するものです。通常はOSの起動時や、パーテションのマウント時にパスワードを求められ、そのあとは自由にデータを閲覧できます。

ディスク暗号化でシステム全体を暗号化するのは、管理は簡単ですが、リソースを無駄に消費します。暗号化はCPUのパワーを要し、ディスクIOに影響を与えます。また、ほんの一部の情報が機密情報であるのに全体を暗号化することは、ロッカーの中の重要でない書類も含めてすべてに「社外秘」などのスタンプを押すようなもので、管理する側が本当に重要なものを意識できなくなる可能性があります。

これに対してフォルダ暗号化を利用する場合、通常、情報システムで暗号化の対象となる重要なものは「データ」「ログ」「設定」の三つです。こららのフォルダを個別に暗号化することで重要な領域を明確にすることができ、システム全体の暗号化に対する無駄なリソースの消費を抑えることができます。また、顧客別にデータを別フォルダで保管しているような場合、顧客ごとに暗号化することができるメリットがあります。

さらに、弊社のLinux暗号化ソリューション「Server-GENERAL」ではフォルダ単位の暗号化に加えて、フォルダ単位で暗号鍵を変更できます。フォルダを公開するときも厳しいアクセス権を設定でき、root権限での閲覧も禁止できます。単に暗号化するだけでなく運用中のシステムにも高度なセキュリティを実現できます。