暗号化は、権限のないユーザーから機密情報を隠すために、読み取り可能な平文を読み取り不可能な暗号文に変換するプロセスです。組織は、機密データを不正アクセスやデータ侵害から保護するために、データ・セキュリティーで暗号化を定期的に使用します。
暗号化は、暗号化アルゴリズムを使用してデータを解読できない形式にスクランブルする働きがあります。復号鍵として知られる正しい秘密鍵を持つ認可された当事者だけが、データのスクランブルを解除できます。
暗号化により、データがオンプレミスのコンピューター・システムにあるかクラウドにあるかに関係なく、保存中、転送中、処理中のデータを保護できます。このため、暗号化は、クラウド・セキュリティーの取り組みや、より広範なサイバーセキュリティー戦略にとって不可欠なものとなっています。
IBM 2023 データ侵害のコストに関する調査によると、暗号化を使用する組織は、データ侵害による財務上の影響を22万米ドル以上削減することができます。
また、PCI DSSやGDPRのような規制要件や標準に準拠するためにも、暗号化の必要性が高まっています。
個人や組織が増大する脅威やサイバー攻撃に直面する中で、暗号化への投資は拡大しています。最近の推計によると、世界の暗号化ソフトウェア市場は2025年までに201億米ドルに達し(ibm.com外部へのリンク)、2020年から2025年までの年平均成長率は15.1%です。
また、人工知能(AI)は暗号化の状況を変革しています。具体的には、組織は鍵管理の最適化と暗号化アルゴリズムの強化にAIがどのように役立つかを模索しています。
IBM X-Force Threat Intelligence Indexを使用することで、より迅速かつ効果的にサイバー攻撃に備え、対応するためのインサイトを得ることができます。
データ侵害のコストに関する調査に登録する
暗号化は、時間の経過とともに大幅に進化してきました。暗号化および暗号化に似た技法の初期の事例は、エジプト人やメソポタミア人などの古代文明にまで遡ります。暗号化はその後、戦時中やスパイ活動で普及し、第二次世界大戦中にドイツ軍が秘密のメッセージを暗号化するために使用した暗号機、エニグマ・マシンと関連があることで知られています。
今日、暗号化は、特に組織がクラウドに移行したり、ハイブリッドクラウド環境を採用したりする際に機密データを保護する上で非常に重要です。この変化は、多くの場合、データの無秩序な増加や攻撃対象領域の拡大など、データの複雑化につながります。
このようなデータの複雑さの結果、データ侵害はよりコストがかかり、発生する頻度も高くなる可能性があります。データ侵害のコストに関する調査によると、2023年のデータ侵害を修復するための世界平均コストは445万米ドルで、3年間で15%増加しました。
暗号化により、組織はデータ侵害を抑止したり、深刻さを軽減したりすることができます。これは、ハッカーが社会保障番号、クレジット・カード番号、その他の個人情報(PII)を含む、最も機密性の高いデータにアクセスできないようにすることで達成されます。
特に医療や金融サービスなどの組織は、コンプライアンス基準を満たすためにも暗号化を使用しています。
例えば、Payment Card Industry Data Security Standard(PCI DSS)では、販売業者が取り扱う顧客の支払いカード・データを暗号化することを義務付けています。同様に、一般データ保護規則(GDPR)では、個人データを不正アクセスや開示から保護するための重要な手段として暗号化を強調しています。
しかし、暗号化を要求しているのは組織だけではありません。暗号化がもたらす安心感を求めるユーザーはますます増えています。エンドツーエンドの暗号化を使用するメッセージング・アプリであるSignalは、WhatsAppのプライバシー・ポリシーとデータ共有の慣行に対する懸念が高まる中、2022年にユーザーが1,200万人から4,000万人に急増したと報告しました(ibm.com外部へのリンク)。
近年、最新の暗号化アルゴリズムが、データ暗号化標準(DES)などの時代遅れの標準に大きく取って代わりました。
新しいアルゴリズムは、データをマスクするだけでなく、完全性、認証、否認防止といった情報セキュリティーの主要原則もサポートします。完全性により、権限のない当事者がデータを改ざんしないことを保証します。認証により、データの出所を検証します。また、否認防止により、ユーザーが正当なアクティビティーを拒否することを防止します。
現在の暗号化のトレンドは、進化するサイバー脅威やテクノロジーに対応するために、暗号化アルゴリズムとプロトコルを強化することに重点を置いています。
量子暗号化は量子力学の原理を利用して、理論的にはブルートフォース攻撃の影響を受けない暗号鍵を作成します。
準同型暗号化により、組織は暗号化されたデータに対し、復号化することなく計算を実行できます。このアプローチは、組織が機密性や個人のプライバシーを損なうことなく、AIモデルのトレーニングや分析などに機密データを使用できることを意味します。
暗号化には主に2つのタイプがあります。
対称暗号化: トランザクションに関与するすべての当事者によって共有される秘密対称鍵を使用して、データを暗号化および復号化します。
非対称暗号化 (公開鍵暗号化および公開鍵暗号と呼ばれる):2つの異なる鍵を用いてデータの暗号化と復号化を行います。誰でも公開鍵を使用してデータを暗号化できますが、そのデータを復号化できるのは、対応する秘密鍵の所有者だけです。
どちらの方法にも長所と短所があります。対称暗号化は、より高速で効率的です。しかし、対称鍵を入手すれば誰でもデータを復号化できるため、細心の鍵管理も必要です。
非対称暗号化は、その複雑さのゆえに速度は遅くなりますが、安全な鍵交換の必要がないため、セキュリティーがより強化されます。
非対称暗号化を管理するための最も汎用的でよく知られたソリューションの1つが、公開鍵基盤(PKI)です。PKIは、安全な通信と認証のための包括的な枠組みを提供し、公開鍵と秘密鍵のペアの作成、配布、検証を可能にします。PKIは、Eメール、デジタル署名、Web閲覧用のSSL/TLS暗号化など、さまざまなアプリケーションの保護に役立ちます。
組織は一般に、大量のデータを暗号化する場合や、閉じたシステム内の通信を保護する場合など、速度と効率が重要な場合に対称暗号化を選択します。
オンライン取引、Eメールの暗号化、デジタル署名など、安全でないチャネルを介した当事者間の安全な通信が不可欠な場合、組織は非対称暗号化に頼る可能性があります。
暗号化は、保護が必要な機密情報を特定することから始まります。この情報には、メッセージ、ファイル、写真、通信、その他のデータが含まれます。このデータは平文形式で存在します。保護する必要があるのは、元の読み取り可能な形です。
暗号化アルゴリズムは、データを解読不能な文字列にスクランブルすることにより、この平文を暗号文に変換します。このプロセスにより、意図した受信者のみが元のデータを読み取ることができます。
次に、暗号鍵が作成されます。暗号鍵は、金庫の鍵を開けるために必要な複雑なコードのようなものです。正しい暗号鍵がなければ、暗号化されたデータにアクセスできません。鍵のサイズを長くすると、復号化プロセスの複雑さが非常に増すため、セキュリティーが高まります。
対称暗号化(「データ暗号化の種類」を参照)では、暗号化と復号化に1つの共有鍵が使用されます。非対称暗号化(「データ暗号化の種類」を参照)では、暗号化用の公開鍵と復号化用の秘密鍵の2つの鍵が作成されます。
復号鍵がなければ、暗号化されたメッセージを解読することは事実上不可能です。しかし、復号鍵を持つユーザーはデータを正常に復号化し、暗号化プロセスを基本的に逆転させて、暗号文を暗号化されていない読み取り可能な平文に戻すことができます。
復号化には、認証段階が含まれることもあります。ここで、復号化されたデータは、その完全性と真正性を保証するために検証されます。このステップには、送信中にデータが改ざんされていないことを確認するためのデジタル署名、ハッシュ関数(次のセクションを参照)、またはその他の認証形式の検証が含まれる場合があります。
ハッシュ関数は暗号化と密接に関連していますが、これらのツールは異なるセキュリティー問題に対処します。
ハッシュ関数は暗号アルゴリズムの一種で、主にデータの完全性と認証に使用されます。入力(またはメッセージ)を受け取り、ハッシュ値 または ハッシュ・コードと呼ばれる固定サイズの文字列を生成することで機能します。
それらの決定的な特徴は決定論的な性質であることです。同じ入力があれば、ハッシュ関数は常に同じ出力を生成します。このプロセスにより、ハッシュ関数はデータの完全性を検証する上で重要な役割を果たします。ユーザーは、送信または保存の前後でハッシュ値を比較できます。ハッシュ値が一致する場合、誰もデータを変更していないことになります。
暗号化は可逆的なプロセスですが、ハッシュ関数は不可逆的です。ハッシュ値だけから元の入力データを導き出すことは計算上不可能です。このため、ハッシュ関数の主な目的は、機密データをマスクすることではなく、サイバーセキュリティー専門家がデータの完全性と信頼性を検証するために使用できる固有のデジタル・フィンガープリントを作成することです。
鍵管理は、効果的なデータ暗号化に不可欠です。その理由を理解するために、金庫を例にとってみましょう。金庫の暗証番号を忘れたり、それが悪人の手に渡ったりすると、最も貴重な財産にアクセスできなくなったり、盗まれたりする危険性があります。
同じロジックが暗号鍵にも適用されます。組織が鍵を適切に管理しない場合、データを復号してアクセスすることができなくなったり、データ侵害にさらされたりする可能性があります。
このため、組織は多くの場合、鍵管理システムへの投資を優先します。組織が暗号鍵の複雑なネットワークを管理することが多く、多くの脅威アクターがその場所を知っていることを考えると、これらのサービスは非常に重要です。
暗号鍵管理ソリューションには、多くの場合、次のような機能が含まれています。
- 暗号化および暗号鍵のポリシーと設定のための集中管理コンソール
- オンプレミスおよびクラウド・データのファイル、データベース、アプリケーション・レベルでの暗号化
- ロールベースおよびグループベースのアクセス制御と監査ログにより、コンプライアンスへの対応を支援
- 自動化された鍵ライフサイクル・プロセス
- AIなどの最新テクノロジーと統合し、分析と自動化を使用して鍵管理を改善
- Data Encryption Standard(DES):IBMは1970年代に標準暗号化アルゴリズムとしてDESを導入し、長年にわたり採用してきました。しかし、その鍵の長さは比較的短く(56ビット)、ブルートフォース攻撃に対して脆弱でした。やがて、より安全なアルゴリズムがこれに取って代わりました。
- トリプルDES(3DES):DESの拡張として開発された3DESは、DESアルゴリズムを各データ・ブロックに3回適用することで、鍵の長さを大幅に増やし、セキュリティーを強化します。3DESはDESよりもセキュリティーが向上したにもかかわらず、現在では時代遅れと考えられています。AESがほぼそれに取って代わりました。
- Advanced Encryption Standard(AES):データ暗号化のゴールド・スタンダードと称されるAESは、米国政府や米国国立標準技術研究所(NIST)をはじめ、世界中の組織や政府で広く採用されている対称型暗号化アルゴリズムです。AESは128、192、256ビットの鍵の長さで強力なセキュリティーを提供します。
- Twofish:Twofishは対称鍵ブロック暗号で、その速度と安全性で知られています。ブロック・サイズが128ビットのデータ・ブロックを処理し、128、192、または256ビットの鍵の長さをサポートします。Twofish はオープンソースであり、暗号解析に耐性があるため、セキュリティーとパフォーマンスが重要な場合、Twofishが利用されることがよくあります。
- RSA(Rivest-Shamir-Adleman):RSAは非対称暗号化アルゴリズムで、発明者の名前にちなんで命名されました。これは、素数の数学的複雑さを利用して、鍵ペアを生成します。暗号化と復号化に公開鍵と秘密鍵のペアを使用するため、安全なデータ送信やデジタル署名に適しています。RSAは、HTTPS、SSH、TLSなどの通信プロトコルの保護にしばしば役立っています。
- 楕円曲線暗号(ECC):ECCは、有限体上の楕円曲線の数学的性質に基づく非対称暗号化方式です。他のアルゴリズムよりも短い鍵の長さで強固なセキュリティーを提供するため、スマートフォンやIoT(モノのインターネット)デバイスのようなリソースに制約のあるデバイスに適しています。
暗号化は、オンプレミスとクラウドの両方でさまざまなデータ保護のメリットをもたらします。最も重要なメリットは、次のとおりです。
データ・セキュリティー
暗号化は、最も重要で広く普及しているデータ・セキュリティー・ツールの1 つです。暗号化は、平文を暗号文としてエンコードすることで、ランサムウェアやその他のマルウェアを含む、さまざまなサイバー攻撃からデータを保護するのに役立ちます。
注目すべきことに、2024年のIBM X-Force Threat Intelligence Indexによると、機密データを盗み出す情報窃取マルウェアの使用は、2022年から266パーセント増加しています。暗号化は、ハッカーがデータを使用できないようにし、データを盗む意味をなくすことで、この脅威に対抗できるようにします。
AIを活用した暗号化システムの最近の進歩は、データ・セキュリティーの実践にも革命をもたらしています。これらのソリューションは、AIを使用して、ネットワーク・トラフィック、デバイスの種類、ユーザーの行動などのコンテキスト要因に基づいて暗号化パラメーターを動的に調整します。この適応的なアプローチにより、組織は暗号化アルゴリズムをリアルタイムで最適化し、進化するセキュリティーの脅威に合わせてデータ保護戦略を調整することができます。
クラウド・セキュリティー
クラウド・サービス・プロバイダー(CSP)はクラウドのセキュリティーに責任を負いますが、顧客はあらゆるデータのセキュリティーを含むクラウド内のセキュリティーに責任を負います。企業全体のデータ暗号化は、オンプレミスおよびクラウド上の機密データを保護するのに役立ちます。
多くの業界や管轄区域には、機密データを保護するために暗号化を使用することを組織に義務付ける規制要件やセキュリティー対策があります。これらの規制を遵守することで、組織は法的処罰を回避し、顧客の信頼を維持することができます。
データ完全性
ハッシュ関数などの暗号化ツールは、不正な変更や改ざんの試みを検知するのに役立ちます。こうすることで、保存および送信されるデータの正確性と完全性を確保できます。
安全な通信
暗号化により通信チャネルが安全に保たれるため、個人や組織は傍受のリスクを軽減しながら機密情報を交換し、取引を行い、共同作業を行うことができます。
内部脅威からの保護
暗号化により、機密データへのアクセスは、適切な復号化キーを持つユーザーのみに制限されます。この対策は、従業員が意図的または意図せずに機密情報にアクセスしたり、誤用したり、誤って置き忘れたりするのを防ぐのに役立ちます。例えば、従業員が会社から支給されたノートPCを紛失した場合でも、ハード・ディスク上の適切に暗号化されたデータにはアクセスできません。
暗号化には多くのメリットがありますが、一部の攻撃や悪用に対しては脆弱です。現在の暗号化テクノロジーの一般的な弱点としては、次のようなものがあります。
量子コンピューティング
量子コンピューティングの台頭により、従来の暗号化方法が脅かされています。量子コンピューターは、Shorのアルゴリズムのような強力な量子アルゴリズムを実行することで、RSAやECCなどの一部の暗号化アルゴリズムを破る可能性があります。Shorのアルゴリズムは、大きな数値を効率的に因数分解し、多くの暗号化スキームが依存する難しい数学上の問題である離散対数問題を解くことができます。
しかし、組織は人工知能(AI)を使用して耐量子暗号化方式を開発するようにもなっています。これらの暗号化ソリューションは、従来の暗号化アルゴリズムを破られる前に、AIを使用して潜在的な量子コンピューティングの脅威を予測し、適応します。
ブルートフォース攻撃
ブルートフォース攻撃とは、ハッカーが正しい暗号鍵を発見するまで、ありとあらゆる暗号鍵を体系的に試すことです。歴史的に見て、強力な暗号化アルゴリズムは、ブルートフォース方式を使って突破するには非常に長い時間がかかります。しかし、計算能力の向上により、一部の暗号化方式はブルートフォース攻撃に対して脆弱になっている危険性があります。
アルゴリズムの脆弱性
攻撃者は、暗号化アルゴリズムの脆弱性を悪用して、暗号化されたデータを復号化できます。重大な脆弱性の1つに「Padding Oracle Attack(パディング・オラクル攻撃)」があります。これは、ハッカーがパディング(平文に追加される余分なビット)を操作して、平文のデータを明らかにするというものです。
サイドチャネル攻撃
サイドチャネルとは、タイミングの不一致、消費電力や電磁放射の変動など、情報漏洩のための意図しない経路のことです。ハッカーはこのようなサイドチャネルを利用して、暗号化プロセスに関する情報を入手し、暗号鍵や平文データを復元することができます。
サイドチャネル攻撃の一例として、モバイル決済システムに誘導コイルを隠すことが挙げられます。この方法では、攻撃者は取引を記録し、クレジット・カードの偽造や不正請求を行うためのキーを抽出することができます。
不適切な鍵管理
暗号化されたデータのセキュリティーは、一般に暗号鍵の秘密性と管理に依存しています。暗号鍵が紛失、盗難、侵害に遭った場合、暗号化されたデータへの不正アクセスにつながる可能性があります。
しかし、AIシステムは、鍵の生成、配布、ローテーションなどの鍵管理プロセスの自動化にも役立ちます。この自動化により、暗号化システムの効率とセキュリティーが向上します。人為的ミスのリスクが減り、暗号鍵の定期的な更新と安全性が確保されます。
暗号化は、多くの場合、ハッカーやデータ侵害に対する最初で最後の防御策です。組織は、希望するセキュリティー・レベル、データの種類、規制環境、その他の要因に応じて、異なる暗号化ソリューションを使用することができます。
最も一般的な暗号化ソリューションには次のようなものがあります。
- 暗号化ソフトウェア:さまざまな業界の組織は、保存中および転送中のデータを保護するために暗号化ソフトウェアを利用しています。このソフトウェアは一般に、鍵管理やデータベース、クラウド・プロバイダー、通信プラットフォームなどの既存のソフトウェアとの統合など、暗号化と復号化の操作を容易にする機能やツールを備えています。
- 仮想プライベート・ネットワーク(VPN):VPNは、インターネット・トラフィックを暗号化して、プライバシーとセキュリティーを確保します。これらは、特に従業員がリモートで仕事をしたり、安全な企業ネットワークの外で機密情報にアクセスする必要がある場合に、パブリック・ネットワーク経由の通信を保護するために不可欠です。
- クラウド暗号化: クラウド暗号化は、機密情報を暗号化してからクラウド環境に保存することで、データの機密性と完全性を保証します。これらのソリューションは、クラウドベースのアプリケーション、プラットフォーム、ストレージ・サービス内のデータを、不正アクセスやデータ漏洩などのクラウドに関連するリスクから保護します。
- ネットワーク暗号化: ネットワーク暗号化は、ネットワークを介して2つのエンドポイント間で交換されるデータを暗号化して、機密性と完全性を確保します。例えば、Secure Sockets Layer(SSL)の更新バージョンであるTransport Layer Security(TLS)プロトコルは、オンライン小売Webサイトを通じて送信されるクレジット・カード情報や、オンライン・バンキング・セッション中に送信されるログイン認証情報など、ブラウザー経由で送信されるデータを保護します。
- データベース暗号化:データベース暗号化は、データベースに保管されている顧客記録、財務データ、知的財産などの機密情報を暗号化して、不正アクセスや盗難を防止します。
- ディスク全体の暗号化:ディスク全体を暗号化することで、ノートPCやモバイル機器などのエンドポイント・デバイスに保存されたデータを保護します。
- ハードウェアベースの暗号化:暗号化チップやモジュールのようなデバイス内の特殊なハードウェア・コンポーネントは、特にソフトウェアベースの暗号化では不十分な場合に、機密データの保護をさらに強化することができます。スマートフォン、ノートPC、ストレージ・デバイスには、多くの場合、ハードウェアベースの暗号化ソリューションが搭載されています。
- ファイルとフォルダーの暗号化:個人や組織では、不正アクセスを防ぐために、ファイルやフォルダーの暗号化を使用して、機密性の高い写真、文書、その他のデジタル資産など、コンピューターやネットワーク上の機密性の高い個々のファイルやフォルダーを暗号化することがよくあります。
- Eメールの暗号化:Eメール・メッセージと添付ファイルを暗号化して安全な通信チャネルに送信することで、Eメールで共有される機密情報の機密性を維持し、不正な傍受や改ざんから保護します。
- エンドツーエンド暗号化(E2EE):エンドツーエンド暗号化は、第三者による改ざんを防ぐために、データを別のエンドポイントに転送する前にデバイス上で暗号化する安全な通信プロセスです。チャットやメッセージング・アプリ、Eメール・サービス、その他の通信プラットフォームでは、ユーザーのプライバシーと機密性を保護するためにE2EEが使用されることがよくあります。
ハイブリッドクラウド全体でデータを保護し、コンプライアンス要件を簡素化します
IBMのデータおよびAIセキュリティー・サービスは、機密情報や知的財産の保護、規制への準拠のサポート、サイバーセキュリティーの脅威による影響の軽減に役立ちます。
IBM暗号化ソリューションは、テクノロジー、コンサルティング、システム統合、およびマネージド・セキュリティー・サービスを組み合わせて、データの保護、プライバシーの強化、コンプライアンス義務の遵守を支援します。
IBMは、6大陸にわたる12の研究所に3,000人を超える研究者擁し、研究と革新の最前線に立っています。
暗号化とは、コード化されたアルゴリズムを開発および使用して、送信された情報を保護して不明瞭にし、復号化する許可と能力を持つ人だけが読み取れるようにする手法のことです。
Commercial International Bankが、IBM Securityのソリューションとコンサルティングを使用して、どのようにデジタル・セキュリティーをモダナイズし、組織のためにセキュリティーの充実した環境を作り出したのかをご覧ください。