暗号化とは？仕組みとアルゴリズム一覧

暗号化とは、データを読み取り可能な形式から暗号化キーを使用して復号化された後にのみ読み取れるエンコード形式に変換するデータセキュリティの方法です。暗号化は、メッセージや情報をエンコードする一般的なプロセスであり、許可された当事者のみがアクセスでき、許可されていない者はアクセスできません。

効果的なセキュリティ対策として、暗号化は機密データが盗まれたり侵害されたりするのを防ぎ、個々のユーザーから大企業に至るまで、ブラウザとサーバー間で送信されるユーザー情報を保護するために広く使用されています。

暗号化は、人間が読み取れる平文を「暗号文」として知られる理解不能なテキストに変換します。暗号化は、平文を暗号文にエンコードする暗号化アルゴリズムとして知られる暗号数学モデルを使用して機能します。データを再び平文にデコードするには、アルゴリズムによって作成された一連の数字やパスワードである復号化キーを使用する必要があります。

データセキュリティの重要な部分として、暗号化はデータを盗難、改ざん、または侵害から保護します。データを混ぜ合わせて秘密のコードにし、特定の暗号化キーだけがそのロックを解除できるようにします。暗号化はデータを保護し安全にするための実証済みの方法ですが、必要なときにアクセス可能な状態で暗号鍵を慎重に管理することが重要です。

暗号化はサイバーセキュリティとデータ保護に不可欠であり、個人情報や機密データを保護し、クライアントアプリとサーバー間の通信のセキュリティを強化します。暗号化は、機密データを暗号文に変換することで保護するため、すべての組織にとって重要です。

データセキュリティの重要な要素として、暗号化は暗号鍵を持つ者だけがデータの真の情報にアクセスできるため、サイバー犯罪者やその他の不正な当事者がデータを盗んで悪用することをほぼ不可能にします。暗号化は、データの傍受、データ漏洩、およびさまざまな形態のサイバー攻撃からデータを保護します。

一般的に使用される暗号化には、対称暗号化と非対称暗号化の2種類があります。

対称暗号化

対称暗号化は、暗号化と復号化の両方に同じキーを使用するシンプルなタイプの暗号化です。これにより、送信者と受信者はデータを復号化するために同じキーにアクセスする必要があります。対称暗号化は非対称暗号化よりも高速かつ効率的であるため、大量のデータを送信する際に好まれる方法です。一般的な対称暗号化方法には、AES（高度暗号化標準）、DES（データ暗号化標準）、および3DES（トリプルデータ暗号化標準）があります。

非対称暗号化

非対称暗号化、または公開鍵暗号方式としても知られるこの方法は、暗号化プロセスに2つの異なるキーを使用します。1つはデータを暗号化するために使用される公開鍵で、もう1つはデータを復号化するために使用される秘密鍵です。所有者は秘密鍵を秘密にし、公開鍵は認可された受信者間で共有されるか、公開されます。受信者の公開鍵を使用して暗号化されたデータは、対応する秘密鍵でのみ復号化できます。非対称暗号化は対称暗号化よりも遅く、複雑ですが、より安全であり、セキュアなキー交換の必要がありません。一般的な非対称暗号化方法には、RSAおよびECC（楕円曲線暗号）があります。

ハッシュ化は暗号化の一形態ではありませんが、暗号化に関連する技術です。ハッシュ化は、ファイルやメッセージの内容を要約する固定長の値を生成します。これはデータの完全性を検証し、データへの不正な変更を検出するために使用されます。

暗号化は、個人および組織に以下のような複数のメリットを提供します。

• データ保護: 暗号化は、機密データが不正なユーザーによって盗まれたり、読まれたり、改ざんされたりするのを防ぎます。適切な復号化キーを持つ者だけがデータにアクセスできるようにすることで、サイバー犯罪者がデータを盗んだり悪用したりするのをほぼ不可能にします。
• コンプライアンス: 暗号化は、組織がデータ保護に関する規制や法的要件を満たすのに役立ちます。多くの業界、例えば医療や金融は、消費者データの使用および保存方法について厳格な規制を遵守する必要があります。暗号化は、組織がこれらの基準を満たし、コンプライアンスを確保するのに役立ちます。
• セキュリティの強化: 暗号化は、データ漏洩、サイバー攻撃、その他の脅威から保護するための追加のセキュリティ層を提供します。暗号化により、サイバー犯罪者がデータを傍受するのが難しくなり、組織の評判を保護します。適切な復号化キーを使用しない限り、機密データが読めない形式で保存されます。
• データ完全性の維持: 暗号化は、データが改ざんされたり変更されたりしていないことを確認することで、データの完全性を保持するのに役立ちます。暗号化は、バックアップの完全性を検証し、データの送信中の完全性を維持するために使用され、ハッカーが通信を傍受しデータを改ざんするのを防ぎます。
• 消費者の信頼向上: 暗号化技術の使用を公に開示することで、消費者の信頼と自信を高めることができます。顧客は、会社に対する信頼が増し、他の人に勧める可能性が高くなるため、暗号化は信頼と顧客ロイヤルティの証となります。

暗号化には魅力的なメリットがありますが、考慮すべきいくつかのデメリットもあります。暗号化のデメリットには以下が含まれます。

• コスト: 暗号化の実装と維持には費用がかかり、そのようなタスクを実行するために追加のリソースやアップグレードが必要です。
• キー管理: 暗号化の重大な欠点の1つはキー管理であり、暗号化キーと復号化キーを紛失すると回復できません。
• 互換性: 暗号化技術は異なるシステムやアプリケーションを扱う際に難しい場合があります。すべての許可されたユーザーが暗号化データを読み取れるようにすることが困難であり、データの可視性や使用性が制限される可能性があります。
• 非現実的な要件: 組織が暗号化のベストプラクティスを採用せず、特にデータ暗号化技術によって課される制約を遵守しない場合、非現実的な要件が生じ、データセキュリティが危険にさらされる可能性があります。
• パフォーマンスへの影響: 暗号化は、特に大量のデータを扱う場合、データ処理と分析の速度と効率に影響を与えることがあります。
• データの取得: ユーザーが暗号化キーを忘れた場合、コンピュータ上のデータにアクセスできなくなります。

これらのデメリットにもかかわらず、暗号化のメリットはデメリットを上回り、サイバーセキュリティおよびデータ保護において暗号化が不可欠となっています。

Triple DES（3DES）

Triple DES は、元となるデータ暗号化標準 (DES) がハッカーによって簡単に破られるようになってしまったため、その後継として考えられました。かつて、Triple DES は標準規格として推奨され、業界で最も幅広く使用される対称アルゴリズムでした。

Triple DES では、それぞれ 56 ビットの個別のキーを 3 つ使用します。キーの長さの合計は 168 ビットになりますが、専門家は実質的なキーの強度は 112 ビットだと言います。

Triple DES は徐々に消えゆく状況にありますが、金融サービスなどの業界ではいまだに信頼されるハードウェア暗号化ソリューションです。

RSA

RSA は公開キー暗号化アルゴリズムの一種であり、インターネット経由で送信されるデータ暗号化の標準規格です。また、PGP と GPG のプログラムで使用されている数々の方式の 1 つでもあります。

Triple DES と違い、RSA はキーのペアを使用することから非対称暗号化アルゴリズムと見なされます。暗号化には公開キーが使用され、復号化には秘密キーが使用されます。攻撃者がこの暗号化コードを破るには、かなりの時間と処理能力が必要となります。

AES

AES（高度暗号化標準）は、米国政府や数多くの組織により標準規格として信頼されるアルゴリズムです。

128 ビット型でも十分に有効ですが、AES では安全性の強化が求められる場合に 192 ビットと 256 ビットキーも使用しています。

Blowfish

Blowfishは、データを暗号化および復号化するために使用される対称暗号化アルゴリズムです。その高速性と効率性で知られ、迅速な暗号化と復号化を必要とするソフトウェアアプリケーションでよく使用されます。

Twofish

Blowfishに似た対称暗号化アルゴリズムですが、より安全と見なされるTwofishは、金融や医療アプリケーションなど、高いレベルのセキュリティを必要とするソフトウェアアプリケーションで一般的に使用されます。

RC4

同様に対称暗号化アルゴリズムであるRC4は、迅速な暗号化と復号化を必要とするソフトウェアアプリケーションで広く使用されています。しかし、現在ではRC4は安全でないと見なされ、推奨されていません。

暗号化技術に関する標準規格は数多く存在します。暗号化処理には次の標準規格があります。

• DES (今では使用されていない)
• AES（高度暗号化標準）
• RSA (最初の公開キーアルゴリズム)

ファイル暗号化:

ファイル暗号化とは、ファイルシステムによって個々のファイルやディレクトリを直接暗号化することです。フォルダの暗号化とも呼ばれます。

ディスク暗号化:

ディスクやボリュームに保存されているすべてのデータが暗号化され、適切な復号化キーがないと読み取れません。ディスク暗号化は、ソフトウェアや専用ハードウェアによって実行されます。

メール暗号化:

メール暗号化は、不正な目からメールを保護します。通常、メールはクリアテキストで送信されるため脆弱です。メールの暗号化方法には、トランスポート層セキュリティ（TLS）やエンドツーエンド暗号化が含まれ、PGPやS/MIMEプロトコルが一般的なオプションです。これらの方法は、メールの内容を保護し、送信者と受信者の認証を確認することができます。

1. 法律を知る: 個人識別情報を保護する場合、組織は共通する部分のある数多くのプライバシー関連法を遵守する必要があります。多くの組織に影響のある主な法規制は 6 つあります。FERPA、HIPAA、HITECH、COPPA、PCI DSS、および州ごとのデータ侵害通知法です。
2. データを評価する: HIPAA (米国 医療保険の相互運用性と説明責任に関する法律) のセキュリティルールでは暗号化について明確に求めていませんが、組織がデータ リスク アセスメントを実行すべきであり、評価により暗号化が「合理的かつ適切な」保護になると示された場合には暗号化を実施すべきであると述べています。組織が電子的に保護されるべき医療情報 (ePHI) を暗号化しないと判断した場合、当該組織はその判断を記録して正当性を示し、「同等の代替措置」を講じる必要があります。
3. 暗号化に求められる、または必要なレベルを決定する: 国保健福祉省 (HHS) は米国標準技術研究所 (NIST) に実務に推奨される暗号化レベルの見解を求めました。HHS と NIST はどちらも HIPAA のセキュリティルールに準拠した説得力のあるドキュメントを作成しました。NIST Special Publication 800-111 (特別刊行物 800-111) はユーザーデバイスでの暗号化に幅広いアプローチをしています。簡単に言うと、わずかでもリスクの可能性があるならば、暗号化を実施する必要があると書かれています。プロトコルに AES を実装した FIPS 140-2 が理想的な選択です。FIPS 140-2 により、教育機関は個人情報が「不正ユーザーには使用できず、読めず、解読できなくなっている」ことを保証できます。FIPS 140-2 要件を満たしているデバイスには、「対象データの暗号化を活用して、対象データの暗号化キーのサニタイズを有効にし、暗号文だけをメディアに残して、実質的にデータをサニタイズする」暗号的消去機能があります。
4. 機密データの転送とリモートアクセスに注意する: 暗号化するのがノート PC やバックアップドライブだけでは不十分です。インターネットで通信する、またはデータを送信するには、ネットワークでデータを転送するためのプロトコルであるトランスポート層セキュリティ (TLS)、それに AES 暗号化が必要です。従業員が組織のローカルネットワークにアクセスするとき、ePHI が関係する場合はセキュア VPN 接続が欠かせません。また、学生ファイルをシステム間や職場間で転送するために物理的な外付けデバイスに保存する場合、その前にデバイスが暗号化され、考えられる違反行為を回避するために FIPS 140-2 の要件を満たしている必要があります。
5. 注意事項の詳細に気を付ける: 残念ながら、多くの学校では、サードパーティ サービスのプライバシーポリシーやデータ セキュリティ ポリシーの確認に適切なデュー デリジェンスを実施できておらず、保護者や学生が容認できないと考える、または FERPA に違反するデータ収集やデータマイニングを不注意で許可してしまいます。規制コンプライアンスには単に職場のワークステーションをパスワードで保護するよりはるかに多くのことが必要です。それには、学校のシステムやリムーバブル メディア デバイスに格納されたデータに暗号化を適用することが求められます。学校のファイアウォールの外に格納されたデータ (または「野放しのデータ」) は、セキュリティ違反の最大の原因であることを覚えておいてください。

メール暗号化は、財務データ、個人情報、知的財産などの機密情報を保護する必要がある組織にとって不可欠です。企業のメール暗号化は、暗号化アルゴリズムを使用してメッセージを読めない形式にスクランブルし、受信者が復号化キーを使用してのみ解読できるようにします。この暗号化プロセスにより、メッセージは安全であり、不正なユーザーによって傍受されたり読まれたりすることはありません。

企業向けのメール暗号化ソリューションには、Microsoft Purview Message Encryption、S/MIME、IRM、TLSなどがあります。これらのソリューションは異なるレベルの暗号化とセキュリティを提供しており、企業は自社のニーズに最も適したものを選択できます。

企業のメール暗号化の利点には、セキュリティの向上、規制要件の遵守、機密情報の保護などがあります。しかし、企業のメール暗号化には、コスト、キー管理、互換性、パフォーマンスへの影響などの課題も伴います。

Proofpointは、業界をリードするサイバーセキュリティ企業であり、企業がメールで送信する機密情報を保護するための複数のメール暗号化ソリューションを提供しています。Proofpointのメール暗号化ソリューションは以下の利点を提供します。

• 自動保護: Proofpointのメール暗号化ソリューションは、メッセージと添付ファイルを完全に透過的に自動保護し、ユーザーが手動でメールを暗号化する必要をなくして、メッセージを安全に送受信できるようにします。
• 簡素化されたポリシー管理: すべてのメール暗号化ポリシーはゲートウェイで集中管理および施行され、便利なグラフィカルインターフェイスを使用して暗号化ポリシーを定義できます。これらのポリシーは、規制対象情報や知的財産を含むメッセージによってトリガーされます。
• 手間のかからないキー管理: Proofpointのメール暗号化ソリューションは、キー管理作業を排除します。キーが生成されると、安全に保管され、管理され、Proofpointのクラウドベースのインフラストラクチャを通じて高可用性が確保されます。管理者は、エンドユーザーが暗号化されたメールメッセージへのアクセスを取り消したり、期限切れにしたり、復元したりすることも許可できます。
• 統合された情報保護: Proofpointのメール暗号化ソリューションは、既存のEmailおよびInformation Protectionソリューションへの投資を最大限に活用します。製品には、PCI、HIPAA、PIIなど、80以上のテンプレートベースのポリシーが含まれています。

Proofpointのメール暗号化ソリューションは、企業が機密情報を保護し、規制要件を遵守し、セキュリティを強化するのに役立ちます。詳細については、Proofpointにお問い合わせください。