暗号化するデータをどのように決めるのか?

データの暗号化をする場合には、どのデータを暗号化するのかを決めなくてはなりません。しかし、これはどのように決めればよいのでしょうか?

いわゆる企業内では秘密情報と呼ばれるものがそれに当たるのですが、いったい誰が、いつ決めているのか、そして、その判定基準はと言われると、すぐに答えられる人は少ないのではないかと思います。

ちなみに個人情報保護法の施行や、プライバシーマークなどの普及により、個人情報は秘密情報であるという認識は一般的に共通のものとなりつつありますが、それ以外の情報については、あまり気にかけない方も多いようです。

経済産業省は、平成28年2月に「秘密情報の保護ハンドブック ~企業価値向上に向けて~」という114ページもある冊子を発行しています。これはISMS(ISO27001)をベースにした記述になっていますが、非常にわかりやすくまとめてあるので一読されることをおすすめします。

この中で秘密情報を簡単に定義するのであれば、例として漏洩した場合に次のようなことが起こるものです。
・法令または契約違反となる
・取引先や他社に損失を与える恐れがある
・社会的な信用の毀損の恐れがある
・自社の競争力が低下する恐れがある

会社によって何が秘密情報になるのかは、上記のような基準を元に十分に話し合って決めていく必要があります。それを決めていないと何でも機密情報にしてしまったり、逆に知らずに機密情報を漏洩してしまったりするかもしれません。

このような基準が先に決まっていれば、簡単にシステム上でも何を暗号化するかを判断することが可能になります。

Linux上の暗号化でお困りではありませんか?
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

クラウドセキュリティに対する意識の変化と不安

安価なクラウドサービスが増えたこともあって、企業におけるクラウドシステムの利用の実態は大きく変わりつつあります。以前までは当然のように不安視していたセキュリティも、実際に利用してみて問題なく利用できることが分かれば、その後、多くのシステムをクラウド上に構築するようになり、新サービスのほとんどはクラウド上で構築されるようになってきました。

不思議なもので、多くの人や企業がクラウドを利用し始めると、急に安心感が出るのか、「クラウド」=「安全」という単純な考えを持つ人も現れ始めました。弊社が独自に行ったアンケートでは企業がクラウドを利用する理由として「セキュリティ面で安心できる」と答えた人が39%ともっとも多く、「システムの管理を任せられる」が35%と続きました。つまり、もはやクラウドのイメージは「不安」から「安心」に変わりつつあるのです。

これはクラウドサービスを提供している会社にとっては喜ばしいことだと思いますが、この単純なイメージの変化はセキュリティ意識の薄れととらえることもできます。どんなサービスでもある程度普及すると、よく中身を知らないまま利用する人が一定数現れてきてトラブルを引き起こします。

たしかに、クラウドサービスのセキュリティ機能は大きく向上していますが、それをどのように利用するのかは、利用者の判断になります。セキュリティ意識の低い人が何も分からず利用すると、正しい設定ができずに逆にリスクが大きくなります。

「クラウド」だから「安心」ではなく、どのようなセキュリティ対策をとっているのかしっかりと把握し利用していただければと思います。

Linux上の暗号化でお困りではありませんか?
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/

「Vault 7」で明らかになった暗号化前の盗聴

今年の3月の初めにウィキリークスは「Vault 7」というCIAの機密文書を公開しました。
ここではCIAがどのようにして監視対象者のコンピュータを盗み見るのかという具体的な方法が記されており、多くの人がその内容に驚かされました。それはコンピュータのネットワークインターフェースのファームウエアを書き換えてEFIに感染して情報を送ったり、通信アプリで暗号化がされる前に盗聴されたりします。

ここで特徴的なのは以下の2点です。

「ファームウエアを書き換えてEFIに感染する」
EFIとはコンピュータの起動時にファームウエアやOSを管理するもので、昔で言うSystem BIOSから発展してきたものです。このファームウエアやEFIというのはコンピュータのOSとは関係なくハードウエアと密接に関係した部分で通称OSの起動前に実行されます。これではOS側でいくらセキュリティ対策をとっていたとしても効果がありません。一度EFIに感染すればハードディスクを交換しても感染が続くことになるというのが恐ろしいところです。

「暗号化する前に盗聴する」
これはアプリケーションの構造に詳しくないとできませんが、今回は「ワッツアップ」などのメッセージアプリの暗号化が対象となったようです。暗号化される前にデータを盗むというのは、OSがウイルス等に感染してしまえば、簡単に実現可能ですので、OSのセキュリティ対策を万全にしておく必要があります。

CIAの場合、監視対象者をFBIなどに別件で逮捕させて、抑留されているあいだに、本人の持ち物に監視ウイルスを忍ばせるというのが、具体的な手口として紹介されています。

日本でもつい先日警察が勝手に操作対象の人物とそのまわりの人たちの所有している車にGPS発信器をつけて監視した事件で、令状なしなしの捜査が違法と裁判所が判断しました。しかし、テロ等準備罪(共謀罪)が今年中にも国会で成立しそうですし、知らない間に自分が当局の監視対象になっているという事態が起こる可能性は高まっていくでしょう。

これからは以前にも増して自分のデータは自分で守るという意識をもって、セキュリティ対策をする必要があると思います。

Linux上の暗号化でお困りではありませんか?
http://www.softagency.co.jp/products/server-general/

データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/

MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise

もし、ご興味があればお気軽にご連絡をいただければと思います。
よろしくお願いします。

「一歩先ゆくクラウドセキュリティ」
ブログ
http://sg-blog.softagency.net/
ツイッター
https://twitter.com/server_general/
フェイスブック
https://www.facebook.com/ServerGENERAL.JP/