第4回　電子情報の安全な扱い方と暗号化対策暗号だけで情報は守れるか

まずは「規程」を定めよう

ペーパー・ベースのビジネス文書を取り扱う際、ほとんどの企業ではその取扱規程が定められており、文書ごとに極秘、社外秘、取扱注意といった重要度のランクが付けられ、その管理と取り扱いに注意を払っている。ところが、電子文書に対して同様の規程を定めている企業はいまだに少ない。社員が安易に重要な情報を電子メールの添付ファイルとして送受信していたり、大事な顧客データや見積書をモバイル端末とともに社外へ持ち出したりするといったことが日常的に行われているようでは、情報漏洩のリスクは高まる一方である。ペーパー・ベースのビジネス文書のみならず、電子文書を取り扱う際にもきちんとした管理／取扱規程を定め、全社員に徹底させる必要がある。

この規程は、企業内ネットワークに関しても同様に適用するべきである。もしもあなたの会社に、イントラネットはファイアウォールなどのセキュリティ・システムによって外部からの不正な侵入や攻撃から守られているという理由に基づいて、重要な情報を安易に送受信している社員がいたとすれば、その考え方を直ちに改めさせなければならない。ファイアウォールといえども決して完璧な防護壁ではない。最近では、社内のサーバに不正な手段で侵入される事件が多発しており、イントラネット上の情報も盗聴される危険性があるということは周知の事実と化している。

また、外部からの不正な侵入以外に、内部の人間が社内情報の漏洩事件にかかわるといったケースも考えられる。例えば、イントラネットを通じて極秘の情報や顧客リストなどが本来知る立場にない者に漏れてしまう、あるいは席を離れている間にPCのモニタ画面を第三者にのぞき見られる、場合によっては、本人の知らないうちに勝手にファイルを開かれて持ち出されてしまうといった悪質な事件も実際に起こっている。特に、電子データの場合はその場で容易にデータをコピーしたり送信したりすることが可能なため、窃盗行為であるにもかかわらず、罪の意識や心理的な抵抗を感じにくいという問題がある。内部の人間によるデータ流出事件の背景にはこうした要因があると考えられる。

電子情報の暗号化技

ネット上にあるデータを盗聴されたり、PC内のファイルを他人に盗み見られたりするリスクを回避し、情報そのものを守る手段として、現在最も利用されているのが電子情報の暗号化技術である。これは、ファイルやアプリケーションに“かぎ”をかけるような仕組みを施してデータを保護する技術である。つまり、暗号化されたファイルやアプリケーションを開く（復号化する）際には、それに対応したかぎが必要となり、そのかぎがない限りこれらを盗み見ようとしても開くことができない仕組みになっている。

暗号というとコード表を利用したものをイメージしがちだが、電子情報の暗号化技術では数学的な理論に基づいたアルゴリズムが利用されるのが一般的だ。もちろん、ある一定の数学的な理論で暗号化が施されているため、たとえ正しいかぎを知らなくとも解読することは理論上不可能ではない。だが、それを行うには天文学的な時間とコストがかかる。

しかしながら、これはつまり絶対に解けない暗号は今のところ存在しないということでもある。そのため、最近では、複数の暗号アルゴリズムによってさらに解読困難な暗号技術を採用するといったケースが増えてきた。

現在、ファイルやアプリケーションにかぎをかける場合、暗号化ソフトウェアを利用するのが一般的である。またここにきて、簡単な操作でデータを暗号化できる使い勝手のよいソフトウェアがいくつも登場してきた。ただし、極度に暗号化を施したファイルは、何重にもかぎがかけられたロッカーと同様、開く（復号する）のにも相当な手間と時間がかかるため、利用者にとっての利便性はあまりよくない。

適切な暗号強度とは

電子情報の暗号技術を効果的に利用しようとする際に、最も重要となるポイントは、情報の用途と重要度に応じて暗号のレベルを使い分けることである。安直に、すべてのファイルやアプリケーションを暗号化するのは問題だ。暗号化は簡単であっても、それを復号化する手間と時間を考えると、すべての情報に暗号をかけるのは実用的ではない。どのデータを暗号化するかは、利用者にとっての利便性と情報の重要度との兼ね合いで決定されるべきだろう。逆に、最高機密とされるような重要な情報に対して、容易に復号化できてしまうような非力な暗号化を施すのも意味がない。情報漏洩のリスクを十分に考慮して、重要度の高い情報にはそれにふさわしい強度の暗号を施すべきである。

もちろん、暗号の度合いを用途に応じて的確に使い分けるためには、各情報が重要度別にランク付けされていることが前提となる。前述したように、電子文書についてもペーパー・ベースのビジネス文書と同様、きちんとした管理／取扱規程を定め、その重要度に応じてアクセス権限の範囲や詳細な取り扱いのルールなどを明確にしておく必要がある。

さらには、社員全体に対して組織的にITリテラシーを向上させることも求められよう。重要度に応じたファイルの暗号化をいくら指示したところで、それが実践されなければ、せっかくのセキュリティ対策も絵に描いた餅に終わる。情報の重要度を見極める目を持ち、情報が漏洩してしまった場合に起こりうるリスクを把握し、そして、セキュリティを保持しようとする意識を養うことが大切である。重要なファイルにはきちんと暗号化を施し、モバイル端末にデータを取り込んで持ち出す場合にも同等の対策を実施する。まずは、そうした指導を周知徹底させることが基本となろう。また、それと併せて、利用する側の立場に立った運用ルールを定めたり、目的に合った暗号化ソフトを選択したりといったように、ファイルやアプリケーションの暗号化を容易に実践できるような環境を作ることも大切である。

企業にとって情報こそ競争優位を確立するための源泉だと叫ばれるなか、その情報のセーフティ・ネットとして暗号技術にスポットが当たるのは当然のことだと言える。ただし、それを効果的に活用するためには、重要度に応じた情報のランク付けや組織的なITリテラシーの向上などが不可欠だ。こうした社内情報の整理や全社的なITリテラシーを徹底させるために、CIOの果たすべき役割はきわめて大きい。