最近の数年間で、world wide webは、ハッカー、マルウェア、ランサムウェア、その他の悪意のあるソフトウェアまたは当事者が指数関数的に増加しており、常に個人データを盗む方法を見つけようとしています。このシナリオを考えると、データの保護が、通常の役割に関係なく、優先すべき最も重要なタスクの一つになったことは言うまでもないです。 個人情報、機密情報、その他重要な情報への不正アクセスを防ぐための一般的な(そして緊急の)必要性は、エンドユーザー、サービス所有者、サーバー管理者など、誰もが認

言うまでもなく、データを保護するための適切な方法を選択する行為は、多くの場合、適切に実行されたリスク評価に続いてコスト便益分析が続きます。 これは、Gdpr第32条–処理のセキュリティに記載されているように、一般データ保護規則(GDPR)に従って行動する適切な方法でもあります。:

最新技術、実施コスト、処理の性質、範囲、コンテキスト、目的、および自然人の権利と自由の可能性と重症度の変化のリスクを考慮して、管理者と処理者は、リスクに適したレベルのセキュリティを確保するための適切な技術的および組織的措置を実施しなければならない

ここでは、今日のデータの保護とセキュリティを確保するための最も一般的な技術的および組織的措置のリストを示します。:

  • アクセス制御: キー、破片カード、壁、ロッカー、警報および同類が付いているあなたのサーバー、顧客やデータ部屋へのすべての物理的なアクセスを保護して下さい。
  • 最小化:許可されたすべての関係者が、他のものを見ることを許可されずに、特定のタスクおよび/または承認に特に関連するデータのみにアクセスできる
  • 整合性:適切な対策(火災/洪水センサー、災害復旧など)を使用して、偶発的な損失、破壊または損傷からデータを保護します。
  • : ユーザー関連のデータをランダムな匿名のテキストブロックに置き換えて、所有者が(統計目的のために)エントリを保持し、同時に個人情報からそれらを削
  • 転送中の暗号化:データが常に強力な転送中の暗号化標準(SSL/TLS証明書)を使用して安全な接続を介して送信されることを確認します:これは、フォーム、ログイン画面、アップロード/ダウンロード機能などを含むあらゆる種類のwebサイトおよびwebベースのサービスにも適用されます。
  • 保存時の暗号化: ローカルのデータストレージユニット(サーバーやデスクトップ&モバイルクライアントで使用されるものを含む)を強力な保存時暗号化標準で保護します。
  • 機密性:懸念の分離&職務の分離、パスワードポリシーの強制などの概念を実装することにより、不正または違法な処理を防止します。
  • : 関連するすべてのデータが定期的にバックアップされていることを確認し、データが正常に取得できることを確認するために定期的に確認してくださ
  • 評価:システム全体を定期的な技術レビュー、第三者監査、効果的なセキュリティ指標のセットの採用などに提出します。

この記事では、転送中の暗号化と保存中の暗号化という2つの技術的対策について説明します。

: デジタルデータの三段階

最初にすべきことは、デジタルデータが実際に持つことができる”状態”の数を列挙し、それぞれを理解することです:

  • 非常に短い言葉では、誰か(ソフトウェア、第三者、人間などを含む)によって使用されたり、送信されたりすることなく、どこかに保存されたデータを示しま ローカルハードドライブからネットワーク接続ストレージ、USB pendrivesからモバイルデバイス、システムフォルダからデータベースサーバーまで、物理的および論理的なストレー
  • 輸送中:”動いている”とも呼ばれます。 これは、どこか別の場所に送信されているデータに関連しています。 「データ転送」の概念は、2つ(送信者と受信者)に限定するのではなく、任意の数の当事者間で行われる可能性があることは注目に値します。: たとえば、デスクトップPCからラップトップにLANを使用してファイルを転送する場合、基本的には単一の当事者(us)を含むデータ転送を実行しています。
  • 使用中: データが単にハードドライブや外部記憶メディアに受動的に保存されるのではなく、1つ以上のアプリケーションによって処理されている場合、生成、表示、更新、追加、消去などの処理が行われている場合はいつでも、「使用中」であることを意図しています。 使用中のデータは、システム内のどこにあり、誰がアクセスおよび/または使用できるかに応じて、さまざまな種類の脅威の影響を受けやすいことは言 しかし、使用中のデータの暗号化は、実際にアクセスしているアプリケーションを不具にしたり、妨げたり、クラッシュさせたりする可能性が最も高いため、

上記で説明した三つのステートメントの合計は、”デジタルデータの三段階”と呼ばれています:今、私たちはそれらの要点を得たので、私たちは暗号化の

保存時のデータ暗号化

上記の”保存時”の定義から、この種のデータが通常どのように安定した状態にあるかを簡単に理解することができます。 それは、少なくとも一時的に、目的地に達したものです。

それを使用する理由

なぜそれらのデータを暗号化する必要がありますか? まあ、そうするための良い理由の数があります:のは、最も重要なものを見てみましょう。

物理的な盗難

デバイスが盗まれた場合、保管中の暗号化により、泥棒がすぐにデータにアクセスできるようになります。 確かに、それはまだブルートフォースや他の暗号化クラッキングの方法を使用してそれを復号化しようとすることができますが、これは合理的な時間; GoogleまたはAppleのリモートデバイス管理サービスを使用して、当社のデバイスを追跡し、および/または「すべてのデータを消去」を発行します。

論理的な盗難

悪意のあるユーザーやソフトウェアによってPC、ウェブサイト、または電子メールアカウントがハッキングされた場合、保管中の暗号化は、盗まれたりダウンロードされたりしても、犯罪者がデータにアクセスできなくなります。

ジョン-Tが発した素晴らしい言葉を覚えているもう一つの良いチャンスです。 Chambers、Cisco,Inc.の元CEO。:

ハッキングされた企業と、ハッキングされたことを知らない企業の2つのタイプがあります。

今日のインターネットの現状と、マルウェアの過剰な量と測定可能なハッキングの試みを考慮すると、web対応デバイスを持つエンドユーザーにも同じ文が言えます。100%保証されています。

ヒューマンエラー

物理的および/または論理的な盗難はおろか、保管中のデータ暗号化が命の恩人になる可能性がある他の多くのシナリオがあります: たとえば、スマートフォンを紛失した場合(そして誰かがそれを見つけた場合)、権限を割り当てている間に間違いを犯したり、権限のないユーザー(または顧客)にファイル/フォルダ/データへのアクセスを許可したり、ローカルPCや電子メールのパスワードを忘れてしまったりすると、プライバシーを尊重したくない人が私たちのものを見てみることができます。そして、リストはしばらく続く可能性があります。

どのように役立つのでしょうか

すべてを要約すると、保存データを暗号化することで、データ侵害の可能性に対処するのに役立つと言って、以前の質問

それは私たちがそれが起こらないようにするのに役立ちません–これは主にファイアウォール、アンチウイルス、グッドプラクティス、セキュリティプロトコルの仕事です–しかし、間違いなく私たちに適切な対策を設定する機会(そして時間)を与え、うまくいけば可能性のあるリークによって行われる全体的な被害を最小限に抑えることができます。

それを実装する方法

保存時のデータ暗号化セキュリティプロトコルを実装することは、次の要因によっては簡単か難しいかのいずれかです:

  • 物理ソースにはハードディスク、NAS要素、スマートフォン、USBペンドライブなどが含まれ、論理ソースにはローカルまたはリモートデータベース、クラウドベースの資産、仮想化:
  • セキュリティを高めるために、全体的なパフォーマンスやアクセスの容易さの面でどれだけ犠牲にしても構わないか:すべてのローカル(およびリモート)ユーザーに、これらのデータにアクセスできるようにする前に、これらのデータを復号化するよう求めることはできますか? パスワード、物理トークン、またはOTPコードを使用する必要がありますか? 暗号化を透明にして、外部ユーザーを妨げないようにしたり、ソフトウェアアプリやツールが暗号化されたデータに対処する必要があるときにいつでも対

幸いなことに、これらの要因は、環境の全体的な機能を損なうことなくデータを保護するように設計されているほとんどの保存時の暗号化ツールで:

  • 物理的な(または論理的な)ハードディスクドライブを暗号化する場合は、VeraCrypt(100%無料)やAxCrypt(無料版が利用可能)などの優れたソフトウェアツールを使用できます。;
  • USBペンドライブを保護する必要がある場合は、前述のツールを使用するか、指紋ベースまたはパスワードベースのロック解除メカニズムを実装するハードウェア暗号化フラッシュドライブを購入することができます(20~30ドルから)。
  • データベース管理システム内に格納されているデータを暗号化したい場合は、今日利用可能なDBMSのほとんどがネイティブ暗号化技術(MySQLおよびMariaDBのInnoDBテーブルスペース暗号化、MSSQLの透過的データ暗号化など)を提供しています。;
  • 電子メールメッセージを安全に保存する方法を探しているなら、S/MIMEやPGPなどの安全な電子メール暗号化標準を簡単に採用することができます(どちらも無料です)。これらのプロトコルは主に転送中の暗号化に関連していますが、主にリモートパーティに転送されるデータを保護するため、実際にはクライアント側の暗号化を実行するために一般的に使用されています。つまり、電子メールメッセージを保存している間に保護することを意味します。 言うまでもなく、これらのメッセージは送信される可能性が最も高いため、宛先もそれらを読むために同じ基準を採用する必要があります。

転送中のデータ暗号化

名前が示すように、転送中のデータは送信ストリームのように見えるはずです。 ここでは一言で言えば、ボンネットの下で何が起こるかです:

  1. 訪問しているwebサイトをホストしているサーバーにHTTP(またはHTTPS)要求を送信します。
  2. webサーバーは要求を受け入れ、要求した(静的または動的な)コンテンツを見つけて処理し、指定されたTCPポート(通常はHTTPの場合は80、HTTPSの場合は443)を介してHTTP(またはHTTPS)応答として送信します。
  3. 私たちのクライアント、通常はGoogle Chrome、Firefox、Edgeなどのwebブラウザは、HTTP(s)応答を受信し、内部キャッシュに保存し、それを私たちに示します。

ご覧のように、サーバーとクライアントの間でデータ転送が行われていることは明らかです: そのtrasmissionの間に、要求されたデータ(webページのHTMLコード)は、少なくとも五つの異なる状態を通過するフローになります:

  1. 保存時(サーバーストレージ)、
  2. 、使用中(webサーバーメモリ)、
  3. 、転送中(特定のTCPポートでハイパーテキスト転送プロトコルを使用)、
  4. 、再び使用中(webブラウザ)、
  5. 、最後に

それを使用する理由

さて、サーバーとクライアントの両方が保存時の強力なレベルのデータ暗号化を実装していることは当然のことです。 ただし、サーバーとクライアントが実際にデータの送信に使用しているプロトコルによっては、データが転送中の3番目の状態が暗号化されているかどうか

HTTPプロトコルが使用されているときに、通常は内部で何が起こるかは次のとおりです:

Encryption in-transit and Encryption at-rest-Definitions and Best Practices

ご覧のように、セキュリティ上の問題は非常に明白です:webサーバーが着信要求を処理し、要求されたデータを透過的に復号化すると、webクライ…..HTTPなどの暗号化されていないTCPベースの伝送プロトコルに対してどのような種類の攻撃を使用できるか興味がある場合は、次の2つの脅威に注意:

  • 盗聴:他のコンピュータによって送信されたネットワークから小さなパケットをキャプチャし、任意のタイプの情報(詳細はこちら)を求めてデータコンテン
  • : 攻撃者が密かに中継および/またはそれらは、彼らが直接お互いに通信していると思わせるために二者間の通信を変更改ざんベースの攻撃(詳細はこちら)。

重要なデータ転送エンドポイントを保護するために適切な暗号化転送プロトコルを実装することは、この種の脅威を防ぐのに役立ちます。

それを実装する方法

効果的な暗号化転送中のパターンを実装することは、実際のデータ転送を設計する際に、広く知られている一連の推奨事項とベス 例えば:

  • 送信デバイスがwebインターフェイスを介して到達可能な場合は、Webトラフィックは、Transport Layer Security(TLS)などの強力なセキュリティプロトコルを使用してSecure Sockets Layer(SSL): これは、電子メールサーバーなどを含む、任意のwebサイトおよび/またはWAN到達可能なサービスに適用されます。 今日の時点で、TLSセキュリティを実装し、任意のwebサイトの転送中に暗号化を実装するための最良の(そして最も簡単な)方法は、SSL/TLS HTTPS証明書を取得することです:これらは、登録されたCA当局(Comodo、GlobalSign、GoDaddy、DigiCertおよびその巨大な再販業者/サブセラーズリスト)から購入するか、この記事で簡単に説明したように、自己署名プロセスによって自動生成されます。 自己署名証明書はCA署名された同等の暗号化レベルを付与しますが、ブラウザクライアントは発行者id(あなた)の誠実さを検証できず、webサイトを「信頼できない」とフラグを立てるため、一般的にユーザーから信頼されることはありません。この理由から、非本番環境(または公開されていない)のサーバー/サービスでのみ使用する必要があります。
  • 電子メールを介して送信されるデータは、s/MIMEやPGPなどの暗号的に強力な電子メール暗号化ツールを使用して保護する必要があります。
  • バイナリデータは、電子メールに添付したり、他の方法で送信したりする前に、適切なファイル暗号化ツールを使用して暗号化する必要があります。 ZIP、RAR、7Zを含むほとんどの圧縮プロトコルは、今日ではまともなレベルのパスワードで保護された暗号化をサポートしています:それらを使用することは、:
    • アプリケーションデータベースがアプリケーションサーバーの外部にある場合、データベースとアプリケーション間の接続は、FIPS準拠の暗号化アルゴリズムを使用して暗号化する必要があります。
    • アプリケーションレベルの暗号化が利用できない場合は、IPSecやSSHトンネリングなどのネットワークレベルの暗号化を実装するか、強力なファイアウォー

次の表は、避けるべき安全でないネットワークプロトコルの例と、代わりに使用する必要がある安全なネットワークプロトコルの例を示しています:

Transfer Type What to avoid (insecure) What to use (secure)
Web Access HTTP HTTPS
E-Mail Servers POP3, SMTP, IMAP POP3S, IMAPS, SMTPS
File Transfer FTP, RCP FTPS, SFTP, SCP, WebDAV over HTTPS
Remote Shell telnet SSH2
Remote Desktop VNC radmin, RDP

エンドツーエンドの暗号化

転送中の暗号化は本当に便利ですが、大きな制限があります。 言い換えれば、私たちのデータは、インターネットプロバイダ、通信サービスプロバイダ、および転送中にデータを復号化するために必要な暗号化キーにアクセ

このような制限を克服することは、エンドツーエンド暗号化(E2EE)のおかげで可能であり、これは、通信するエンドパーティ(例えば、ユーザー)のみが復号化してメッセージを読むことができる通信パラダイムである。 エンドツーエンドで暗号化されたデータは、送信される前に暗号化され、エンドパーティが受信するまで暗号化されたままになります。

それを使用する理由

盗聴者に対する耐性の面でエンドツーエンドの暗号化スーパーシード転送中の暗号化方法をよりよく理解するには、次のシナリオを想像してみましょう。

  1. 第三者が信頼できる認証局に独自のルート証明書を植えることができると仮定します。 これを行うことができる人は誰でも、TLS接続自体に対する中間者攻撃を正常に操作し、会話を盗聴し、おそらくそれを改ざんすることさえできます。 エンドツーエンドの暗号化されたデータは、暗号化がサーバーレベルで実行されないため、この種の攻撃に対してネイティブに回復力があります。
  2. エンドツーエンドの暗号化は、オペレーティングシステムによって生成されたユーザープロセス間の保護レベルを高めることもできます。 SPECTREとMELTDOWNと呼ばれる最近のCPUの欠陥を覚えていますか? どちらも、悪意のあるサードパーティ(不正なプロセスなど)が、許可されずにメモリデータを読み取ることを許可しました。 エンドツーエンドの暗号化は、暗号化が(カーネルとは対照的に)ユーザープロセス間で実行される限り、このようなシナリオを回避することができ、暗号化され

それが私たちを助けることができる方法

エンドツーエンドの暗号化は、あなたとあなたが通信している人だけが送信されたものを読むことができ、間に誰も、実際にピア間の送信を実行するサービスでさえないことを保証するため、今日使用できる最も安全な通信形式です。 さまざまなエンドツーエンドの暗号化の実装は、ほとんどのメッセージングアプリやサービス(Whatsapp、LINE、Telegramなどを含む)ですでに有効です。 一般的な”通信アプリ”のシナリオでは、メッセージはロックで保護され、送信者と受信者だけがロックを解除して読み取るために必要な特別なキーを持

それを実装する方法

エンドツーエンドの暗号化は、チャットメッセージ、ファイル、写真、IoTデバイス上の感覚データ、永続的または一時的なデータから何かを保護するために使用することができます。 エンドツーエンドで暗号化するデータを選択できます。 たとえば、チャットアプリに関連する良性の情報(タイムスタンプなど)を平文で保持し、メッセージの内容をエンドツーエンドで暗号化したい場合があ

  • すべてのユーザーは、サインアップ時または次回ログイン時にユーザーのデバイス上でソフトウェアが生成する必要がある秘密の&公開鍵を持っています。
  • ユーザーの公開鍵が公開されている場所(RESTベースの鍵管理サービスなど):これは、ユーザーがお互いの公開鍵を見つけて、お互いにデータを暗号化できるようにす
  • ユーザーの秘密鍵は、オペレーティングシステムのネイティブキーストア(または他のセキュアストア)によって保護されたユーザーのデバイスに残ります。
  • チャットメッセージを送信したり、ドキュメントを共有する前に、アプリは受信者の公開鍵(クライアント側)を使用してコンテンツを暗号化します。

結論

さまざまな暗号化パラダイムを通じた私たちの旅は完了しました:この概要が、ユーザーとシステム管理者が今日利用可能なさまざまな種類の暗号化の意識を高めるのに役立つことを心から願っています。

コメントを残す

メールアドレスが公開されることはありません。

lg