暗号化制限法案と鍵管理

現在、英国でモバイル通信の暗号化に制限をかける法案が審議されています。これは以前、ここでもテロ対策と称して当局の暗号化規制が厳しくなる可能性があると取り上げましたが、その流れの中にあります。

一般的に端末同士の通信の暗号化では途中を中継するサーバでは解読できません。しかし、この法案では解読用の鍵を事前に事業者が確保しておくように要請され、必要に応じて当局が利用できることになっています。

プライバシーやセキュリティに敏感な企業、団体は、こぞってこの法案に反対しています。また、事業者が鍵を管理することで当局以外の第三者が悪用する可能性も否定できません。さらに事業者はもともと通信データも保持していますから、他人の鍵とデータを同時に持つということになります。これは暗号化の管理上もっとも危険なことです。

英国だけで法案が成立してしまうとグローバルなサービスを提供する企業にとって余計な負担が増えるという側面もあるでしょう。実際、中国で米国の多くのサービスが利用できないのは、当局の検閲要求に答えるのが難しいからにほかなりません。

当局や第三者が絶対に悪用しないという性善説に立つのは、かなりの楽観主義者でなければ無理でしょう。セキュリティというのは最悪の事態を考えて準備するものなので、安全のためには第三者が鍵とデータを同時に取得できる状況になることは少なくとも避けることが今後も重要になってくることでしょう。

オブジェクトストレージの活用と暗号化

最近、オブジェクトストレージを利用したいというお客様が増えてきました。オブジェクトストレージとは最近の多くのクラウドサービスで提供されるストレージサービスで、一般的には頻繁に利用しないバックアップファイルや、大容量の画像や動画などの保存に向いているとされています。

オブジェクトストレージは、バックエンドのサーバを増やすことで、動的に実質無制限に拡張できるので、保存容量をあまり気にする必要がありません。また、複数のサーバにデータが分散して保存されるので耐障害性が高いのも特徴です。このオブジェクトストレージの一般的な実装では、一つのファイルは3台のサーバに分散して保存されます。これは、データの紛失を防ぐために非常に重要な仕組みで最大2台まで同時にサーバが壊れても復旧できるということになります。

利用者の観点からするとデータ紛失のリスクが少ないことは大変ありがたいことですが、データのコピーが3つもできることはセキュリティ上のデータ漏洩の不安を感じることも少なくありません。クラウド事業者のサーバのオペレーションは基本的に非公開ですので裏でどのようなことが起きているのかは一般ユーザは知るよしもありませんので、それは仕方のないことなのかもしれません。

しかし、実際の業務での利用においては、厳しい目で判断しなければなりません。多少でもリスクがあるのであれば、それを回避する方法を考える必要があります。クラウド事業者側で暗号化の機能を提供している場合もありますが、リスク分散という意味では、独自に保存するデータを暗号化する方が、セキュリティは、より高くなるでしょう。

オープンソースの暗号化と特許

先日、米国企業の大手66社がHTTPSの暗号化の特許を侵害していると訴えられました。このような暗号化の特許に対しての訴訟は最近では非常に珍しいものです。

というのも、ソフトウエア業界では特許による独占の否定的な考え方として、オープンソースソフトウエアが普及してきたからです。

ある会社が、特定のソフトウエア技術で特許を主張すると、それを回避するための別のソフトウエアがすぐに開発され無償で公開されるという繰り返しが行われてきました。

OSではBSDの特許問題を避けるように、Linuxが普及し、画像フォーマットのGIFの特許問題に対してPNGが生まれ普及しました。

オープンスースの暗号化を使うメリットは、公開技術であるがゆえに検証が容易で、特許侵害のリスクが比較的少なく、もし侵害があったとしても代替手段がすぐに提供されるということにあります。

ちなみに、Server-GENERALはオープンソースのecryptfsという暗号化を採用しています。

企業における暗号化ポリシー

企業における暗号化が顧客のデータを守るために使われる場合、暗号化ポリシーの策定は非常に重要になります。

一般的にプライバシーポリシーとして、ホームページ上で顧客情報の取り扱いについて公開する企業が増えていますが、よく似た大雑把な文章が並んでいて、その文章だけで顧客の信頼を得られるのか、怪しくなっています。

もし、顧客データを暗号化しているのであれば、暗号化ポリシーを明確化することで、プライバシーポリシーを強化することができます。
暗号化ポリシーとは、いつどのように暗号化しているのかということを開示可能な範囲で公開することです。また社内のおいても、誰が暗号化されたデータにアクセスできるのかを明確化することで、セキュリティが格段に向上します。

データの暗号化ポリシーを作成することは、顧客の信頼を勝ち取り、社内のセキュリティ意識の向上のために、非常に良い手段となりますので、活用いただければと思います。