情報システム部門 2022年4月25日

インターネットを安全に使う~暗号化技術~

私が今学習中の『IPA情報セキュリティマネジメント試験』ですが、前回の記事で様々なサイバー攻撃手法について書きました。

今回も『情報セキュリティマネジメント』について覚えたことをみなさんに紹介していけたら良いなと思っています。みなさんの頭の中でふんわりイメージが浮かぶと嬉しいです。

安心してインターネットを使うために、『情報セキュリティマネジメント』を少しでも身近に感じて頂ければ幸いです。

普段何気なく使っているインターネットですが、ネットショップで買い物する時や、人にメッセージを送る時、そのやりとりは暗号化技術で安全に守られています。

暗号化とは

暗号化とは、普通の文章(平文)を読めない文章(暗号文)にすることです。ただし、誰も読めなくなってしまったら役に立たないので、特定の人や機器だけは読めるようにする必要があります。

読めなくすることを暗号化、元の読める文章に戻すことを複合といいます。

暗号化と複合のために必要なのは、暗号化や復号の方法である暗号化アルゴリズム(手順、やり方)と、暗号化や復号を行うときに使うです。暗号化するときの鍵は暗号化鍵、複合するときの鍵は複合鍵と呼ばれます。

出典:徹底攻略 情報セキュリティマネジメント教科書

暗号化の方式

暗号化の方式には、共通鍵暗号方式と公開鍵暗号方式の2種類があるそうです。

共通鍵暗号方式

暗号化鍵複合鍵同じ暗号方式です。暗号方式の基本で、鍵は1種類しかないので秘密にしておく必要があります。そのため、秘密鍵暗号方式とも呼ばれます。

よくパソコンで「.ZIP(pass)」を使ってファイルやフォルダにパスワードを設定をすることがあります。これは、暗号化と複合に同じ鍵(パスワード)を使う共通鍵暗号方式による暗号化です。

公開鍵暗号方式

暗号化鍵複合鍵異なる暗号方式です。鍵が2種類となり、暗号化を行うために公開鍵秘密鍵キーペア(鍵ペア)を作成します。秘密鍵は自分だけの秘密にしておきます。

ホームページを作る時によく使うSSH(Secure Shell)は公開鍵暗号方式による暗号化のひとつです。サーバー側(ホームページデータが保存してあるサーバー)に公開鍵を保管して、クライアント側(ホームページを作っているパソコン)に秘密鍵を保管しておきます。サイトデータを更新してアップロードする時は公開鍵(サーバー側)と秘密鍵(クライアント側)のキーペアを使って暗号化通信された作業を行います。

出典:徹底攻略 情報セキュリティマネジメント教科書

他にも、ネットショップなどにアクセスするとサイトURLに、”https://~”と表示されているのを見かけると思います。”http://~”ではなく”https://”とsが入っているホームページの裏側では、公開鍵暗号方式と秘密鍵暗号方式を使って決済情報やメッセージなどの暗号化通信が行われています。

こういった暗号化技術は、インターネットを使う上でとても大切だと思います。普段目に見えていない技術も意識して、インターネットを利用していけたらと思いました。

暗号の危殆化(きたいか)

考案された当時は容易に解読できなかった暗号アルゴリズム(手順、やり方)が、コンピュータ性能の飛躍的な向上などによって解読されやすい状態になることを、暗号の危殆化(きたいか)といいます。

使用しているシステムでの暗号の危殆化を避けるためには、CRYPTREC(Cryptography Research and Evaluation Committeer※1)などの暗号監視機関の情報を確認し、現在及び将来にわたって安全と判断できる暗号アルゴリズムを使用することが大切です。

※1電子政府が推奨する暗号技術を監視し、暗号技術の使い方を調査・検討するプロジェクトです。CRYPTREC(くりぷとれっく)では、「電子政府における調達のために参照すべき暗号のリスト」(CRYPTREC暗号リスト)を公開しています。

出典:徹底攻略 情報セキュリティマネジメント教科書

インターネットで情報のやりとりを暗号化する技術にSSL(Secure Socket Layer)があります。SSLは危殆化により2015年6月頃から使用を禁止されました。その後は、後継のTLS(Transport Layer Security)を使って暗号化する方法が推奨されています。

このように 暗号化技術の中には、脆弱性(弱点)があり攻撃手法が見つかっているものがあります。暗号化技術を使っていれば安全な訳ではなく、推奨されない技術は使わないように注意していく必要があります。

その為には、暗号化に関する技術を少しでも理解しておくことは大切な事だと思いました。

「情報セキュリティマネジメント」は奥が深くて大変そうですが、IT資産の利用はセキュリティ投資とセットで考えていくことがとても重要だと思います。できることで良いので少しずつ対策を取って行けたらと思います。

弊社には「情報処理安全確保支援士(略して:登録セキスペ)」が在籍しています。
『情報セキュリティ』についてお困りの方は、弊社までお問い合わせください。
ご連絡お待ちしております。

記事の著者:

Web制作ならアズシエルにご相談ください。

Web制作パートナーとしてサイトの企画からデザイン、運用まで支援します!Webサイト制作についてはこちらからサービスをご確認ください!

この記事をSNSでシェアする!