ローカル・ドライブに保存されたファイルを暗号化することで、攻撃者がネットワーク環境やユーザーのデバイスからファイルを抽出した場合に、ファイルを読み取ることができなくなります。保存時に暗号化されたデータは、サイバーセキュリティ、データ保護、コンプライアンスにおける重要な要素です。攻撃者がシステムに侵入してファイルを盗んだとしても、暗号化キーがなければ読めない形式で保存されているため、攻撃者は暗号化されたファイルを読むことができません。
ファイルレベルの暗号化
ファイルベースの暗号化やファイルシステムレベルの暗号化とも呼ばれるファイルレベルの暗号化により、ローカル・デバイスやネットワーク・ストレージに格納されている個々のファイルやフォルダを、ストレージ媒体全体を暗号化することなく暗号化できます。暗号化されたファイルは、長い文字列のランダムな文字のように見えますが、ファイルの暗号化に使用されるキーは、その文字をファイルの元の状態に変換します。管理者は、暗号化する必要があるファイルやデータを指定できるため、ユーザー・ワークステーションに暗号化されていないファイルが存在する可能性があります。通常、機密性の高い企業データ、知的財産、企業秘密、顧客情報を含むファイルは暗号化されます。
病院のネットワーク環境は、ファイルレベルの暗号化のユースケースの好例です。病院は、個人を特定できる情報(PII)、支払い情報、機密の電子カルテなどの患者データを保存します。病院を含む米国の医療機関は、HIPAA(医療保険の携行性と責任に関する法律)の規制の対象となります。HIPAA では、医療提供者が電子保護医療情報(ePHI)を暗号化することを義務付けています。ファイルレベルの暗号化を使用することで、病院は現地の規制を遵守し、侵害後に機密データを第三者に開示することを回避できます。
>> ピュア・ストレージは、効率を犠牲にすることなく医療データを保存するシンプルで安全な方法を提供します。詳しくは、こちらをご覧ください。
ファイルレベルの暗号化の仕組み
ファイルレベルの暗号化に関わるプロセスは、ワークステーションやローカル・デバイス上では目に見えません。ファイルを復号化するには、ユーザーを環境内で認証する必要があり、ローカル・ストレージ・ドライブに保存されると、ファイルは自動的に暗号化されます。ファイル・アクセス・リクエストごとに、システムはリクエストを傍受し、ユーザーが環境内で認証されていることを確認してから、暗号化を解除します。
ファイルを暗号化して復号化するには、ユーザーがキーにアクセスできる必要があります。性能を維持するために、ほとんどのファイルレベルの暗号化サービスでは、AES(Advanced Encryption Standard)が対称アルゴリズムとして使用されています。対称アルゴリズムは、同じキーを使用してデータの暗号化と復号化を行います。キーはファイルの復号化に使用できるため、多くの場合、システム上の安全な場所に保持され、管理者のみが利用できる秘密キーによって暗号化されます。
ファイルレベルの暗号化技術とサービス
Microsoft と Apple は、それぞれ独自の形式のファイルレベルの暗号化をオペレーティング・システムに組み込んでいます。Microsoft Windows オペレーティング・システムには BitLocker が含まれています。ユーザーは、ローカル・デバイスで BitLocker を有効または無効にすることができ、Windows ネットワークの管理者は、グローバル・ポリシーを使用してファイルレベルの暗号化を強制できます。
Apple は、Mac オペレーティング・システムに FileVault を搭載しています。全てのファイルはローカル・ストレージ・デバイスで暗号化されるため、Mac の ノート PC が盗難にあってもデータを盗まれることはありません。ローカルのノート PC の認証情報を持つユーザーのみが、暗号化されたファイルにアクセスできます。
ファイルレベルの暗号化の 3 番目の選択肢は、オープンソースソフトウェアの VeraCrypt です。Windows、Linux、macOS 用の無料のサードパーティ・ファイル暗号化アプリケーションです。主要なオペレーティング・システムで利用可能な一般的な暗号化ツールを使用したくない場合は、サードパーティのオプションがあります。しかし、ファイルレベルの暗号化の経験がない場合は、オペレーティング・システム内蔵のソフトウェアよりも管理が難しい場合があります。
データセンターでは、保存時の暗号化のセキュリティを次のレベルに引き上げることができます。ピュア・ストレージの FlashArray は、業界をリードする AES-256 標準を導入し、保存データの暗号化を実現します。FlashArray は、アレイ・キー、SSD キー、データ暗号化キーの 3 つの内部キー層を使用してデータを暗号化します。アレイ・キーはランダムなシークレットで生成され、複数の SSD に分散されます。現在のアクセス・キーを再作成するには、アレイ・ドライブの半分に加えて、さらに 2 つのドライブが必要です。
ファイルレベルの暗号化のメリットとデメリット
企業やデータセンターは、ファイルレベルの暗号化を使用して、侵害後も機密データを保護します。ハッカーやマルウェアが環境にアクセスすると、ネットワークは機密データのスキャンを受けます。データは、通常、攻撃者が管理するサーバーに送信され、恐喝に利用されたり、ダークネット市場で販売されます。
ファイルが暗号化されると、抽出されたファイルは読み取り不能になり、悪用されたり販売されたりすることはありません。暗号化キーを持つユーザーのみがファイルを復号することができ、ユーザーは、環境内で認証され、承認されると、ファイルへのアクセスを自動的に与えられます。管理者は、ローカル・デバイスのグループ・ポリシーや特定の権限を使用してファイルへのアクセスを制御できます。HIPAA などのコンプライアンス規制によっては、ファイルレベルの暗号化が必要なため、暗号化ツールを実装することで、組織のコンプライアンスを維持できます。
暗号化キーを失うとファイルが失われるため、管理者はシステムを維持する必要があります。暗号化キーは、権限のある人物のみが利用できる必要があります。第三者がキーにアクセスできる場合、盗まれたファイルは復号化される可能性があります。ファイルレベルの暗号化により、環境が複雑になりますが、優れたアプリケーションにより、管理者にとっては便利で、ユーザーには見えません。
ファイルレベルの暗号化に代わる方法
ファイルレベルの暗号化は、フルディスク暗号化(FDE)とは別に行われます。FDE では、ファイルシステム全体とドライブ上の全てのデータを暗号化します。管理者は、ファイルレベルの暗号化で暗号化するファイルを選択できますが、フルディスク暗号化は、より安全な環境と見なされることがよくあります。政府機関は、ローカル・ファイル・システムや機密データをより適切に保護するために、FDE を頻繁に利用しています。
アプリケーションレベルの暗号化は、データベース・エンジンなどの重要なソフトウェアを管理する管理者にとっても選択肢となります。ほとんどの主要なデータベース・エンジンは、その機能にアプリケーションレベルの暗号化が組み込まれています。アプリケーションレベルの暗号化機能は、機密性の高い情報を含むデータベース・テーブルの特定のフィールドなどのデータのサブセットを暗号化します。例えば、Microsoft SQL Server はエンタープライズ・バージョンでアプリケーションレベルの暗号化機能を備えています。
まとめ
データ保護とコンプライアンスを強化するために、クラウドでサービスを提供するデータセンターや企業は、ファイルレベルの暗号化の使用を検討する必要があります。攻撃者は、侵害後に盗まれたファイルを使用できないため、データ侵害後も機密情報をより適切に保護できます。ファイル暗号化に使用されるソフトウェアは、サーバーやユーザー・デバイスのバックグラウンドで実行されるため、生産性やその他の日常業務を妨げません。
