ストレージ暗号化とは、不正アクセスからデータを保護するために、ハード ドライブやソリッド ステート ドライブなどのストレージ メディアにデータを書き込む前にデータを暗号化することを指します。

これは、AES (Advanced Encryption Standard) や RSA (Rivest、Shamir、Adleman) などのさまざまな暗号化アルゴリズムを使用して実行でき、復号化にはキーが必要です。

このキーはリモートに保存することも、デバイス自体に保存することもできますが、前者の方が安全です。保存データの暗号化、つまりストレージ暗号化は、データ セキュリティ、特に機密データのベスト プラクティスの 1 つです。

透過的暗号化とは、保存データを暗号化する方法を指し、暗号化と復号化のプロセスがユーザーとアプリケーションに対して透過的に行われます。

これは、ユーザーまたはアプリケーションがデータを暗号化または復号化するために明示的なアクションを実行する必要がないことを意味します。このプロセスは、基盤となるストレージまたはデータベース管理システムによって自動的に処理されます。

透過的暗号化は、既存のアプリケーションやインフラストラクチャを変更せずに機密データを保護するために、データベース、ファイル システム、ストレージ デバイスでよく使用されます。

これにより、アプリケーションがデータとやり取りする方法を変更することなくデータを暗号化できるため、追加コストをかけたり、既存のシステムを中断したりすることなくデータを暗号化したい組織にとって人気のソリューションとなっています。

透過的暗号化ソリューションの例は次のとおりです。

• ストレージデバイス全体を暗号化するためのフルディスク暗号化 (FDE)。
• ファイルとディレクトリを暗号化するためのファイルレベルの暗号化。
• 列レベルの暗号化や TDE (透過的データ暗号化) など、データベース データを暗号化するためのデータベース暗号化。

エンドツーエンド暗号化 (E2EE) は、ネットワーク上で 1 つのエンドポイントから別のエンドポイントに送信されるデータを暗号化する方法です。暗号化は送信者のデバイスで行われ、復号化は受信者のデバイスで行われます。

これは、データが送信中に傍受されたり改ざんされたりしないように保護されることを意味します。データを復号化するために必要なキーを持っているのは、送信者と対象の受信者だけです。

E2EE は、暗号化が送信者と受信者間の特定の通信にのみ適用され、ネットワーク トラフィック全体には適用されないという点で、SSL/TLS などの他のタイプのネットワーク暗号化とは異なります。

このため、E2EE は、メッセージング アプリ、電子メール、音声通話やビデオ通話など、通信のプライバシーが最優先される機密性の高い通信に特に役立ちます。

E2EE ソリューションの例は次のとおりです。

• Signal、WhatsApp、および iMessage メッセージング アプリ。
• ProtonMail および Tutanota 電子メール サービス。
• Zoom と Facetime ビデオ会議アプリ。

E2EE の安全性は、使用される暗号化アルゴリズムの強度と鍵管理プロセスのセキュリティによって決まることに注意することが重要です。

また、エンドポイント デバイスが安全であり、エンドポイント デバイス上の悪意のある内部関係者やマルウェアから保護されていないことも前提としています。

ポイントツーポイント暗号化 (P2PE) は、2 つの特定のエンドポイント間でネットワークを介して送信されるデータを暗号化する方法です。

暗号化は、カード リーダーや支払い端末などの 1 つのエンドポイントで行われます。復号化は、支払い処理業者や銀行などの他のエンドポイントで行われます。

P2PE は、金融取引中にクレジット カードや銀行口座情報などの機密データを保護するためによく使用されます。

データを取得時に暗号化し、目的の宛先でのみ復号化することで、トランザクションのセキュリティと整合性を確保し、データ侵害や詐欺のリスクを軽減します。

通常、P2PE ソリューションには、P2PE 対応のカード リーダーまたは支払い端末、暗号化および復号化ソフトウェア、安全なキー管理システムが含まれます。

通常、独立したセキュリティ評価機関がこれらのソリューションを検証して、暗号化が堅牢であり、鍵管理が安全であることを確認します。

P2PE は、Payment Card Industry Data Security Standards (PCI-DSS) などの一部の業界のコンプライアンス要件です。

P2PE は、エンドポイント デバイスが安全であり、エンドポイント デバイス上の悪意のある内部関係者やマルウェアから保護されていないことを前提としています。

暗号化されたネットワークとは、不正なアクセスや改ざんからデータを保護するために、パブリック ネットワークまたはプライベート ネットワーク上でデータが送信される場所です。データを、適切な復号化キーを持っている人だけが読み取れる形式に変換します。

このメカニズムにより、パスワード、クレジット カード番号、個人メッセージなどの機密情報が保護され、送信中の機密性が保たれます。

ネットワーク暗号化は次のように機能します。まず、TLS や VPN などのプロトコルを使用して、2 つのデバイス間に安全なチャネルを確立します。このプロセス中に、暗号化アルゴリズムと暗号キーが合意され、安全に交換されます。

データ パケットは暗号化されたネットワーク経由で送信されるため、復号キーがなければ傍受されたデータを読み取ることはできません。受信デバイスはデータを復号化し、使用できるようにします。ネットワーク暗号化により、データの整合性と信頼性が保証されます。通信が成功すると、セッションは終了し、セッション キーは破棄されます。プロセス全体により、ネットワークが暗号化されます。

ネットワーク暗号化は、SSL (Secure Sockets Layer)/TLS (Transport Layer Security)、IPSec (Internet Protocol Security)、VPN (Virtual Private Network) などのさまざまなプロトコルを使用して実行できます。

SSL (Secure Sockets Layer) と TLS (Transport Layer Security) は、コンピュータ ネットワーク上で安全な通信を提供するために設計された暗号化プロトコルです。

これらは、クライアント (Web ブラウザーなど) とサーバー (Web サイトなど) の間で送信されるデータを暗号化することで機能し、権限のない第三者が傍受したデータを読み取ることができないようにします。 SSL/TLS は、安全な Web サイトで見られる HTTPS プロトコルが示すように、Web トラフィックを保護するために広く使用されています。

IPSec (インターネット プロトコル セキュリティ) は、通信セッション内の各 IP パケットを認証および暗号化することにより、IP 通信のセキュリティを確保することを目的とした一連のプロトコルです。

これはネットワーク層で動作し、安全なサイト間接続やリモート アクセス接続の作成によく利用され、仮想プライベート ネットワーク (VPN) の基礎となります。

VPN (仮想プライベート ネットワーク) は、データが通過できる安全な暗号化されたトンネルを作成することにより、ネットワーク上で送信されるデータを暗号化します。このテクノロジーにより、リモート ユーザーは直接接続しているかのようにプライベート ネットワークに安全に接続できます。

暗号化を使用して、送受信されるデータのプライバシーと整合性を確保します。組織は通常、従業員にネットワークへの安全なリモート アクセスを提供するために VPN を使用します。

ネットワーク暗号化はネットワーク スタックのさまざまな層で適用でき、それぞれが異なるレベルのセキュリティと機能を提供します。.

アプリケーション層では、HTTPS などのプロトコルが SSL/TLS を使用して、アプリケーション間でデータを直接暗号化します。これにより、ユーザーの資格情報や個人データなどの機密情報がエンドツーエンドで保護されます。

トランスポート層では、トランスポート層セキュリティ (TLS) などのプロトコルが 2 つのエンドポイント間のデータ交換を保護し、盗聴や中間者攻撃から保護します。

さらに下に進むと、IPSec はネットワーク層で IP パケットの暗号化と認証を提供します。これは、セッション全体とネットワーク全体を保護する安全な VPN を作成する場合に特に役立ちます。暗号化の各層は、特定の要件と脅威に合わせて調整された独自のセキュリティ層を追加します。

企業がデジタル ソリューションやクラウドベースのサービスにますます依存しているため、アプリケーション層の暗号化またはアプリケーション レベルの暗号化の必要性が高まっています。その結果、潜在的な脆弱性が増加しました。

アプリケーション層暗号化とは、OSI モデルの最上位層であるネットワーク スタックのアプリケーション層でのデータの暗号化を指します。これは、暗号化が HTTP トラフィックなどの特定の種類のネットワーク トラフィックに適用され、ネットワーク層やトランスポート層などの基盤となるインフラストラクチャではなく、アプリケーション自体によって暗号化が行われることを意味します。この層でデータを暗号化することで、セキュリティ対策が保護対象のデータに近づき、機密性が維持されます。

アプリケーション層でデータを暗号化すると、保存、処理、送信中のライフサイクル全体にわたって情報が保護されます。このきめ細かなセキュリティ レベルにより、さまざまな段階での傍受や不正アクセスからデータが保護されます。

アプリケーション層暗号化の最も一般的な例、つまり、Web サーバーと Web ブラウザーの間で送信されるデータを暗号化する HTTPS (Hypertext Transfer Protocol Secure) を理解しましょう。

HTTPS は、SSL/TLS (Secure Sockets Layer/Transport Layer Security) プロトコルを使用してデータを暗号化し、脆弱なインターネット上に安全な通信チャネルを提供します。この形式の暗号化により、データが盗聴から保護され、転送中にデータが変更されないことが保証され、データの整合性が維持されます。

SSL/TLS 証明書は認証局 (CA) によって発行され、CA は証明書を発行する前に Web サイト所有者の身元を確認し、サイトにアクセスするユーザーに信頼の層を追加します。

転送中または保存中のデータのみを保護する他の方法とは異なり、アプリケーション層の暗号化はエンドツーエンドのセキュリティを提供します。

エンドツーエンド暗号化は、メッセージング アプリ、電子メール、音声通話やビデオ通話など、2 つの特定のエンドポイント間でデータを送信するときにデータを暗号化する方法です。

この形式の暗号化では、データは送信者のデバイスで暗号化され、受信者のデバイスでのみ復号化されるため、通信しているユーザーだけがメッセージを読むことができます。この方法は、WhatsApp や Signal などの安全なメッセージング アプリケーションで広く使用されています。

他のアプリケーション層暗号化またはアプリケーションレベル暗号化タイプには次のものがあります。

PGP: 対称暗号化と公開キー暗号化を使用して電子メールとファイルを保護します。 S/MIME (Secure/MultiPurpose Internet Mail Extensions): 通常は電子メールのセキュリティのために、MIME データを暗号化して署名します。 XML 暗号化: XML ドキュメント全体または特定の要素を暗号化します。 JSON Web Encryption (JWE): Web アプリの安全な通信のために JSON データ構造を暗号化します。ディスク暗号化ソフトウェア: アプリケーション (BitLocker、VeraCrypt など) によって使用されるディスク上のデータを暗号化します。データベース暗号化: データベース、テーブル、またはフィールドを暗号化します (SQL Server を使用した TDE など)。安全なファイル転送プロトコル: ファイル転送中にデータを暗号化します (SFTP、FTPS など)。アプリケーション層の暗号化は、宛先アプリに到達するまでデータを保護し、アプリ内のフィールドを暗号化して不正アクセスを防ぎ、攻撃ベクトルを最小限に抑えます。また、送信中のデータの整合性を保証し、通信当事者の信頼性を検証します。

攻撃者がインフラストラクチャにアクセスした場合でも、データは暗号化されたままとなるため、情報抽出は困難になります。これは、厳格なデータ保護措置を義務付ける GDPR や HIPAA などの規制要件や基準に準拠するのに役立ちます。

動的マスキングは、データベースやその他のストレージ システム内の機密データをマスクするためにデータ暗号化で使用される技術です。

この手法には、システムに入力されたデータにマスクまたは一連のルールを適用することが含まれます。

マスクは、データにアクセスするユーザーや要求されている特定のデータなど、データのコンテキストに基づいて動的に適用できます。

これにより、システムはデータの整合性を維持しながら、不正なアクセスからデータを保護できます。

フルディスク暗号化 (FDE) は、オペレーティング システム、アプリケーション、ユーザー データなど、ディスク ドライブ上のすべてのデータを暗号化するセキュリティ メカニズムです。これにより、通常はパスワードまたは暗号化キーの形式による適切な認証がなければ、ディスクに保存されているすべてのデータにアクセスできなくなります。

サイバーセキュリティにおけるフルディスク暗号化 (FDE) の仕組み

フルディスク暗号化 (FDE) セキュリティは、ディスクに保存されているデータのあらゆるビットを暗号化するアルゴリズムを採用しています。このプロセスには、すべてのシステム ファイル、ユーザー ドキュメント、アプリケーション、さらにはドライブ上の空き領域が含まれます。 FDE を備えたデバイスの電源がオンになっている場合、ユーザーは、オペレーティング システムを起動する前に、パスワード、PIN、または暗号化キーを使用して認証する必要があります。

ユーザーが認証に成功すると、暗号化されたデータがリアルタイムで復号化されます。これは、データがドライブに読み書きされるときに、暗号化と復号化のプロセスがバックグラウンドで実行されることを意味します。この透過的な操作により、ユーザーは通常のデバイス使用時にパフォーマンスへの影響が最小限に抑えられます。

FDE は、ラップトップ、デスクトップ コンピューター、リムーバブル ストレージ ドライブなど、盗難や紛失の危険性が高いポータブル デバイスを保護するために使用されます。 FDE は、これらのデバイスに保存されているすべてのデータを暗号化することで、物理デバイスが悪者の手に渡った場合でも、権限のない個人がそのデバイスに含まれる機密情報にアクセスできないようにします。

FDE に関する重要なポイントをいくつか示します。

• 暗号化範囲: ディスク全体を暗号化し、データの一部が公開されたままにならないようにします。
• 保存時の保護: デバイスの電源がオフになっているとき、または休止状態のときにデータのセキュリティを提供します。
• 透過的な操作: 多くの場合、ユーザーに対して透過的に操作され、システム パフォーマンスへの影響は最小限に抑えられます。
• 認証: オペレーティング システムの起動前にユーザー認証を要求し、セキュリティ層を追加します。

サイバーセキュリティにおける自己暗号化ドライブ (SED) とは何ですか

自己暗号化ドライブ (SED) は、ハードウェアベースの暗号化メカニズムを使用して、ドライブに書き込まれるすべてのデータを自動的に暗号化し、読み取り時に復号化するストレージ デバイスです。

自己暗号化ドライブ (SED) の仕組み

自己暗号化ドライブ (SED) は、暗号化および復号化機能が組み込まれたハード ドライブの一種です。暗号化がホスト デバイス上のソフトウェアによって管理される従来のソフトウェア ベースの暗号化方式とは異なり、SED の暗号化プロセスはドライブのハードウェアによって直接処理されます。このハードウェアベースの暗号化により、マルウェアやその他の攻撃に対して脆弱になる可能性があるソフトウェアへの依存が排除されます。

データが SED に書き込まれると、内蔵の暗号プロセッサが自動的に情報を暗号化します。逆に、データがドライブから読み取られるときは、リアルタイムで復号化され、プロセスがユーザーに対して透過的であることが保証されます。これにより、手動による暗号化や復号化の手順が不要になるため、SED が便利になります。これらの操作はすべてドライブ自体内で行われるため、パフォーマンスへの影響は最小限です。

暗号化キーはドライブ内に保存されるため、アクセスや改ざんが非常に困難になります。これにより、データの迅速なサニタイズも容易になります。たとえば、ドライブを安全に消去する必要がある場合、暗号化キーを削除するだけでドライブ上のすべてのデータが読み取り不能になり、すべてのセクターを上書きする必要がなくなります。

SED に関する重要なポイントは次のとおりです。

• ハードウェア ベースの暗号化: 専用のハードウェアを使用して暗号化と復号化を実行します。これにより、通常、ソフトウェア ベースの暗号化と比較してパフォーマンスが向上します。
• 自動操作: ユーザーによるアクションを必要とせずに、データを自動的に暗号化します。
• セキュリティの強化: 暗号化キーはドライブ自体に保存されることが多いため、アクセスや改ざんが困難になります。
• クイック消去: 暗号化キーを削除するだけで迅速なデータのサニタイズが可能になり、すべてのセクターを上書きすることなく、ドライブ上のすべてのデータを読み取り不能にします。

保存データとは、ネットワーク経由で送信されるのではなく、ハード ドライブ、フラッシュ ドライブ、テープ、その他の記憶媒体などの物理デバイスに保存されているデータを指します。

このデータは休止状態または非アクティブ状態にあり、現在アクセスまたは変更されていません。保存データには、ファイル、データベース、バックアップ、その他の形式のデータ ストレージが含まれます。

保存データの暗号化には、これらのデバイスに保存されているデータを保護し、権限のないユーザーがデータを読み取ったりアクセスしたりできないようにすることが含まれます。

これには通常、暗号化アルゴリズムを使用してデータをエンコードし、適切な復号キーがなければデータを読み取ることができなくなります。

これにより、データ ストレージ デバイスが盗まれたり、権限のない人物によってアクセスされた場合でも、データは保護され、読み取ることができなくなります。

保存データの暗号化は、ストレージ デバイス全体、個々のファイルやパーティション、データベース内の特定のフィールドに適用できます。

データ センター インターコネクト (DCI) は、ワイド エリア ネットワーク (WAN) 経由で 2 つ以上のデータ センターを接続し、リソースを共有し、災害復旧機能を提供する方法です。

レイヤ 2 暗号化は、OSI モデルのデータ リンク層で適用される暗号化のタイプです。スイッチやルーターなどの 2 つのネットワーク デバイス間でデータが送信されるときに、データを暗号化します。

データセンター相互接続のコンテキストでは、DCI レイヤ 2 暗号化とは、データセンター間で送信されるデータを保護するためにデータリンク層で暗号化を使用することを指します。

これには、WAN リンク経由で送信されるデータの暗号化や、データセンター内の異なるスイッチまたはルーター間で送信されるデータの暗号化が含まれます。

これにより、データセンター間で送信される機密データに追加のセキュリティ層が提供され、不正なアクセスや改ざんからデータを保護できます。

さまざまなサービスにわたって暗号化が広く使用されると、サイロ化、制御の欠如、セキュリティおよびコンプライアンス チームの可視性の制限などの課題が生じ、機密データや規制対象データを一貫して管理することが困難になります。