こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
敦賀信用金庫は4月1日、顧客情報の紛失について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】顧客情報が記録されたCD-ROMの紛失が判明しましたが、データは暗号化されていたとのことです。外部記憶媒体の紛失に伴うインシデントの対策と、データの暗号化について説明します。
今回のインシデントは、顧客情報が記録されたCD-ROM1枚の紛失が判明しました。紛失したCD-ROMには、氏名、口座番号、取引種類、取引金額、残高、防犯カメラ画像等、25,000件の取引情報が記録されていたとのことです。なお、CD-ROM内のデータは暗号化されているため、第三者による解読は極めて困難であると発表されています。
再発防止策として、今後、全役職員に顧客情報の厳格な取扱いについて周知するとともに、管理体制を見直し再発防止に努めるということです。
CD-ROMなど外部記憶媒体の紛失に伴うインシデントの再発防止策として、今回の対策としても取られていた「データの暗号化」や、「外部記憶媒体を使用する機会自体を限定すること」が挙げられます。
例えば、Aさんが僕から会社の機密書類を預かったとします。1週間預かってくれと言われたAさんは、書類をなくしてしまわないか気が気ではないかもしれませんね。書類をなくしてしまうリスクを低減させるために、Aさんは対策をしたいと思うかもしれません。
考えられる方法として、機密書類を金庫に入れて鍵をかけ、他人が取り出せないようにすることができます。鍵さえ適切に管理できていれば、書類を盗まれることは少ないでしょう。他には、依頼を断ることもできるかもしれません。書類を持たないという選択をすることで、Aさん自身が紛失するリスクはゼロにすることができるわけです。
このように、有効なセキュリティ対策を行うためには、まずリスクの特定を行うことが必要です。CD-ROMなど外部記憶媒体の場合、最も発生しやすいと考えられるリスクの一つは「紛失による情報漏えい」です。外部記憶媒体に記憶されたデータが暗号化されていれば、紛失した媒体を拾った第三者がデータを読み取ることは困難となります。また、外部記憶媒体の使用を本当に必要とされる場合に限定することで、紛失自体が発生する機会を減らすことができます。つまり、リスクを軽減したり除去したりすることができていれば、有効なセキュリティ対策ができていると判断することができます。
暗号化されたデータが解読されてしまうかどうかは、使われている暗号化の強度に依存します。暗号化の強度を高めるためには、暗号化に使う鍵の長さを長くするか、信頼性の高い暗号化アルゴリズムを使うことが有効です。
例えば、Aさんが再び、機密書類を金庫に入れて鍵をかけたとします。鍵がダイヤルロック式になっていた場合、Aさんは他人が予測できない番号を設定してくれるでしょう。この場合、ダイヤルロックの桁数が、3桁であった場合と4桁以上であった場合は、他人がダイヤルロックの番号を予測できる可能性が異なることはお判りいただけるのではないでしょうか。
暗号化でも同様に、鍵の長さが短いのと長いのでは、解読される可能性が異なります。3桁のダイヤルロックのように、鍵の長さが短すぎればすぐに解読されてしまいますし、十分に長い鍵であれば、同じ鍵を作るために膨大な時間がかかることでしょう。つまり、暗号化されたデータを解読することは困難になります。
また、Aさんは金庫の鍵自体も選択することができるとします。ダイヤルロック式の鍵よりも、形状が複雑な鍵を複数本使用することができれば、ちょっと安心できますよね。逆に、簡単な南京錠だと、Aさんであっても、心細く感じるかもしれません。
暗号化でも同様に、暗号化アルゴリズムが簡単であるのと複雑であるのとでは、解読される可能性が異なります。南京錠のように、古い暗号化アルゴリズムだと簡単に解読されてしまいますし、最新の暗号化アルゴリズムであれば複雑性が十分に担保されているため、簡単に複合化することはできません。
ただし、暗号化の歴史はコンピュータの処理能力とのいたちごっこであることも合わせて理解しなければなりません。過去のコンピュータでは解読するために数百兆年かかる暗号化でも、将来の処理能力が上がったコンピュータでは数年で解読できることが、今まで何度も繰り返されてきました。つまり、暗号化の技術も常に最新の情報を入手することが必要とされることになります。
今回は、外部記憶媒体のインシデント対策とデータの暗号化についてお届けしました。暗号化は情報漏洩対策の一つですが、情報資産を持たないこともシンプルなセキュリティ対策となりますので、リスクの高い不要なデータは削除することも検討しましょう。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ