暗号化を用いたルール構築

shibata
柴田 大輔 記事一覧
カテゴリー: ISMS/ISO27001, 情報セキュリティ,

情報セキュリティ対策といえば何を想像しますか。「ファイルの中身を見られないようにするためにパスワードをかける」、「PCがウイルス感染しないようにウイルス対策ソフトを導入する」などが一般的でしょうか。他に効果的なセキュリティ対策として「暗号化」があります。

今回は、ISMSでルールを構築するときに必ず出てくる「暗号化」について説明したいと思います。

暗号化とは?

「暗号化」を一言で表すと「限られた人だけにしか情報を見ることができないようにする処理」です。この処理は、他人に知られたくない情報をやり取りするときや、情報が入った媒体(USBメモリなど)を紛失したときに効果があります。

「暗号化」に対して、上述した「限られた人」が情報を見るために行う処理を「復号化」といいます。「暗号化」と「復号化」をするために必要なアイテムを「鍵」といいます。

ISMSでは暗号化のルールは必要なの?

ISMSは、自分たちにあったルールをつくることができます。基本的にどんなルールをつくるかは組織の自由ですが、ISMSで「暗号化」に関するルールは必要不可欠といってもいいほど重要です。

なぜISMSでは「暗号化」のルールが必要なのでしょうか。

仮に、会社の情報が漏えいしてしまったとしましょう。その情報が重要であればあるほど、会社に対する影響は甚大なことは容易に想像できます。さらに、その漏洩した情報が個人情報だったらどうでしょう。同じようにして、自分の情報も漏えいされる可能性があるので、その会社に対して自分の個人情報を渡したくないと思うのが当然です。ここで重要なのが、情報を漏えいさせない対策と漏えいしてしまったときの対策で、これらの対策に効果的なのが「暗号化」といえます。

そもそも組織がISMSを取得する動機には、「自分たちは情報を適切に扱っているということを証明したい」という理由が多いです。情報セキュリティについて対外的な信頼を得るためには、ISMSに「暗号化」のルールがあるのは必然的とも言えるでしょう。

実際に、ISMSを構築するためのルールや手引が書いてあるISO/IEC 27002には、暗号化に関するルールがあります。それぞれのルールについて見ていきましょう。

暗号による管理策の利用方針

組織の事業活動で暗号化を使う方法に関する方針を決めるというルールです。具体的には、どの情報を暗号化するのか、どうやって暗号化するのか、また誰が責任をもって実施をするのかなどを決めます。

鍵管理

暗号鍵の管理についてのルールです。暗号鍵の作成から破棄までのライフサイクル全体に関するルールを決めます。具体的には、鍵を作成するのは誰か、必要な人に暗号鍵を渡すための方法、暗号鍵の保管方法などです。

ここで注目したいのが、「どうやって暗号化するのか」や「どうやって暗号鍵をつくるのか」です。これらは暗号化の種類によって異なってきます。暗号化の種類は「共通鍵暗号方式」と「公開鍵暗号方式」の2種類あります。ここではそれぞれについて簡単に説明します。

共通鍵暗号方式

「暗号化」と「復号化」で同じ鍵を使う方法を「共通鍵暗号方式」といいます。処理速度が速いという長所がありますが、情報をやり取りする相手が増えるほど管理する鍵の数が膨大になるという短所があります。

公開鍵暗号方式

「暗号化」と「復号化」で別々の鍵を使う方法を「公開鍵暗号方式」といいます。暗号化の鍵は誰でも見れる状態(公開鍵)で、復号化の鍵は限られた人だけ見れる状態(秘密鍵)になっています。「共通鍵暗号方式」とは対照的に、処理速度は遅いという欠点がありますが、管理する鍵の数は少なくて済むという長所があります。

実際にISMSで採用されるルールの一例は以下のようなものになります。

  • SSL通信で保護されていないWebサービスは使わない。
  • ネットワークへの接続は、WPA2以上の強度が保たれたWi-Fiのみに限る。
  • インターネットでの取引はディジタル署名を用いる。

ここで出てきたSSL通信やWPA2、ディジタル署名こそが暗号化を用いた情報セキュリティ対策です。いずれも上記で説明したような暗号化方式や、暗号化方式の1つであるハッシュ化を組み合わせたものです。現代では、安全にインターネットを使うためには当たり前といえるほど一般的な機能といってもいいでしょう。

おわりに

今回はISMSでルールを構築するときに出てくる「暗号化」について説明しました。

「暗号化」は情報セキュリティにとって重要な対策の1つであって、ISMSでは避けて通れない点です。「暗号化」のルールに気をつけて、より情報セキュリティが保たれたISMSの構築を目指しましょう。

暗号化を用いたルール構築

情報セキュリティ対策といえば何を想像しますか。「ファイルの中身を見られないようにするためにパスワードをかける」、「PCがウイルス感染しないようにウイルス対策ソフトを導入する」などが一般的でしょうか。他に効果的なセキュリティ対策として「暗号化」があります。

今回は、ISMSでルールを構築するときに必ず出てくる「暗号化」について説明したいと思います。

暗号化とは?

「暗号化」を一言で表すと「限られた人だけにしか情報を見ることができないようにする処理」です。この処理は、他人に知られたくない情報をやり取りするときや、情報が入った媒体(USBメモリなど)を紛失したときに効果があります。

「暗号化」に対して、上述した「限られた人」が情報を見るために行う処理を「復号化」といいます。「暗号化」と「復号化」をするために必要なアイテムを「鍵」といいます。

ISMSでは暗号化のルールは必要なの?

ISMSは、自分たちにあったルールをつくることができます。基本的にどんなルールをつくるかは組織の自由ですが、ISMSで「暗号化」に関するルールは必要不可欠といってもいいほど重要です。

なぜISMSでは「暗号化」のルールが必要なのでしょうか。

仮に、会社の情報が漏えいしてしまったとしましょう。その情報が重要であればあるほど、会社に対する影響は甚大なことは容易に想像できます。さらに、その漏洩した情報が個人情報だったらどうでしょう。同じようにして、自分の情報も漏えいされる可能性があるので、その会社に対して自分の個人情報を渡したくないと思うのが当然です。ここで重要なのが、情報を漏えいさせない対策と漏えいしてしまったときの対策で、これらの対策に効果的なのが「暗号化」といえます。

そもそも組織がISMSを取得する動機には、「自分たちは情報を適切に扱っているということを証明したい」という理由が多いです。情報セキュリティについて対外的な信頼を得るためには、ISMSに「暗号化」のルールがあるのは必然的とも言えるでしょう。

実際に、ISMSを構築するためのルールや手引が書いてあるISO/IEC 27002には、暗号化に関するルールがあります。それぞれのルールについて見ていきましょう。

暗号による管理策の利用方針

組織の事業活動で暗号化を使う方法に関する方針を決めるというルールです。具体的には、どの情報を暗号化するのか、どうやって暗号化するのか、また誰が責任をもって実施をするのかなどを決めます。

鍵管理

暗号鍵の管理についてのルールです。暗号鍵の作成から破棄までのライフサイクル全体に関するルールを決めます。具体的には、鍵を作成するのは誰か、必要な人に暗号鍵を渡すための方法、暗号鍵の保管方法などです。

ここで注目したいのが、「どうやって暗号化するのか」や「どうやって暗号鍵をつくるのか」です。これらは暗号化の種類によって異なってきます。暗号化の種類は「共通鍵暗号方式」と「公開鍵暗号方式」の2種類あります。ここではそれぞれについて簡単に説明します。

共通鍵暗号方式

「暗号化」と「復号化」で同じ鍵を使う方法を「共通鍵暗号方式」といいます。処理速度が速いという長所がありますが、情報をやり取りする相手が増えるほど管理する鍵の数が膨大になるという短所があります。

公開鍵暗号方式

「暗号化」と「復号化」で別々の鍵を使う方法を「公開鍵暗号方式」といいます。暗号化の鍵は誰でも見れる状態(公開鍵)で、復号化の鍵は限られた人だけ見れる状態(秘密鍵)になっています。「共通鍵暗号方式」とは対照的に、処理速度は遅いという欠点がありますが、管理する鍵の数は少なくて済むという長所があります。

実際にISMSで採用されるルールの一例は以下のようなものになります。

  • SSL通信で保護されていないWebサービスは使わない。
  • ネットワークへの接続は、WPA2以上の強度が保たれたWi-Fiのみに限る。
  • インターネットでの取引はディジタル署名を用いる。

ここで出てきたSSL通信やWPA2、ディジタル署名こそが暗号化を用いた情報セキュリティ対策です。いずれも上記で説明したような暗号化方式や、暗号化方式の1つであるハッシュ化を組み合わせたものです。現代では、安全にインターネットを使うためには当たり前といえるほど一般的な機能といってもいいでしょう。

おわりに

今回はISMSでルールを構築するときに出てくる「暗号化」について説明しました。

「暗号化」は情報セキュリティにとって重要な対策の1つであって、ISMSでは避けて通れない点です。「暗号化」のルールに気をつけて、より情報セキュリティが保たれたISMSの構築を目指しましょう。

Author: 柴田 大輔
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする