グーグルPixelはハードウエア暗号が標準に

今月、グーグルから発表された新製品のPixelは、iPhoneをかなり意識して作られたグーグルブランドのスマートフォンです。この製品では、ハードウエア暗号が標準で搭載されており、システムの性能を落とすことなく暗号化機能が利用できるようになっています。

iPhoneではハードウエア暗号はかなり前からサポートしていましたが、Androidの場合、コストやパフォーマンスの問題もあってなかなか搭載が進みませんでした。グーグルはAndroid6.0から端末の暗号化を義務化していますが、暗号化をソフトウエアで行うとCPUに負担がかかり、パフォーマンスに影響を与えます。最近になってCPUの性能が良くなって、ようやくAndroid6.0の端末が標準になりつつあります。

しかし、CPUの性能に依存した暗号化は、OSやアプリケーションのパフォーマンスに影響を与えますので、今回のPixelのようなハードウエア暗号機能を搭載した端末が増えてくれば、そのうような問題も解消していくことになります。

さらに、Android端末のハードウエア暗号が普及すれば、製造コストも安くなり、他の情報家電や、IoT端末等に一気に暗号化が普及するきっかけになっていくことでしょう。

テレワークの鍵を握るクラウドセキュリティ

数年前から、政府の「働き方改革」により、テレワークの推進が盛んになってます。テレワークとは情報通信技術を利用して、時間と空間に束縛されずに仕事ができるようにすることです。昔から在宅勤務という言葉はありましたが、それはテレワークの中では一部分を表しているにすぎません。在宅に限らず、いつでも、どこでも自分の職場にすることができるのがテレワークの特徴です。

これは多くのクラウドサービスが充実してきたことにより、IT関係に限って言えば、ほとんどオフィスにいなくても仕事ができるようになってきたということがあると思います。最近では、多くの大手企業のテレワーク導入がニュースになり、つい先日も高市総務大臣がテレワーク推進企業としてヤフージャパンを視察したことも報道されています。

このようにテレワークを重要課題として推進する政府ですが、総務省からテレワークのセキュリティガイドラインを出していて、職場外での社内資料の閲覧や情報漏えい対策は、「インターネットの高速化や、暗号化等の情報セキュリティ技術の活用」により、解決できるとなっていて、女性の活躍できる社会、子育て世代の支援、労働人口の減少などの対策を急ぐ政府の切り札としての積極性が良く分かります。

テレワークを実現するために重要なのは社内でのルール作りとセキュリティ教育、そして、技術的な課題としては、重要情報の暗号化と安全な通信経路の確保がポイントとなります。

テレワークに限らず、社外でスマートフォン、タブレット、または、ノートPCなどでクラウドサービスを利用する機会は増えていると思いますので、もういちど情報セキュリティ対策を見直していただければと思います。

クラウドの暗号化で何から守るのか?

最近、クラウド事業者がさまざまな暗号化サービスの提供を始めていますが、暗号化という言葉の響きは、その分野に詳しくない人からすると、きっと暗号化するとデータが守られて安全なのだろうなと考えてしまいます。しかし、暗号化したからといってすべての攻撃からデータを守ることができるわけではありません。セキュリティ担当者は暗号化することによってどのような攻撃からデータを守ろうとしているのかを常に意識していなければなりません。そうでないと、想定した攻撃から正しくデータを守ることができなくなってしまいます。

通信の暗号化は、最近は当たり前になっています。この場合、通信データの盗聴という攻撃から守ることになります。しかし、今は暗号化通信を前提としたなりすましなどの攻撃が多いので、通信データを暗号化しただけでは安心できません。

多くのクラウドサービスではサーバのデータディスク全体の暗号化ができるようになってきました。これはどのような攻撃からデータを守ろうとしているのでしょうか?

いわゆるディスク暗号はOSからみると暗号化しているようには見えません。このような暗号化ではOSにログインできればすべてのデータが見えることになります。ということはOSが攻撃を受ければ、すべてのデータが盗まれる可能性があるのです。

つまり、この暗号化では、その上位層であるクラウドサービス全体の攻撃からの情報漏えいを防ぐことを前提としています。例えば仮想マシン全体やデータディスク自体をコピーされて盗まれてしまうとか、他には、利用しているクラウド事業者が間違って利用者のデータを見ることができないようにするという意味もあります。

このように現在クラウド事業者が提供しているデータディスクの暗号化サービスは本質的にOSの攻撃に対しては無防備です。ですからそれだけで安心することなくOSやアプリケーションレベルでの攻撃にも耐えられる暗号化サービスも検討する必要があります。

IoTと暗号化ポリシー

IoTというと「物のインターネット」と言われるようにすべての物がインターネットにつながる世界を想定しています。いままではPCやスマートフォンといった人間が直接操作するものがほとんどでしたが、IoTではすべての電子機器がつながることを前提にしています。

総務省も今年7月にIoTセキュリティガイドラインを発表しました。ここではすべてのものがインターネットにつながる世界では。いままでの情報セキュリティ対策だけでは対応できなくなるといいます。つまり、人が介在しない自律型のシステムが増えるので、個々の端末をより安全にコントロールすることが求められ、データ暗号化の推奨がされています。

前に通信の暗号化の次はデータの暗号化に向かうと言いましたが、今、IoTの世界ではまさにそのようなセキュリティの話題が中心になっています。IoTでは膨大な数の自立したシステムがインターネットに接続してきます。このような中で、データを守るための暗号化の技術は重要度を増しているのです。

なぜ、暗号化するのかといえば、それは攻撃者からデータを守るためです。しかし、単にデータを暗号化すれば、安全というわけではありません。最近では無料であったり、とても安価な暗号化のサービスが提供されていることもありますが、それが本当に攻撃者からデータを守れるのか見極める必要があります。

つまり、暗号化は手法によってそれぞれ目的が違うということです。適切な暗号化手法を選ばないと実際に想定していた攻撃から守れないことになり、これを分かっていないと間違った暗号化をしてしまうことになります。

では、適切な暗号化とは何なのでしょうか?

一言でいえば暗号化ポリシーが作成できるかということなのですが、つまり、誰が暗号化し、誰が復号化できるか細かく設定できるのかということです。この暗号化ポリシーが細かく設定できない暗号化は攻撃者から見れば、ほとんど無意味です。

そして無料や安価な暗号化サービスはほとんどの場合この細かな暗号化ポリシーの設定ができないのです。このあたりの詳しい内容はまた別の機会にご説明させていただければと思います。