セキュリティ対策として、
「暗号化すれば安全」という言い方を
よく耳にします。
応用情報技術者試験では、
暗号化を万能な防御策としてではなく、
守れるものと守れないものを区別できているかが
問われます。
この回では、
暗号化は何を守っていて、
何を守れないのかを
応用情報視点で整理します。
暗号化が守っているもの
暗号化が直接守っているのは、
データの内容そのものです。
- 通信中のデータ
- 保存されているデータ
- 第三者に盗み見られる可能性のある情報
内容を意味の分からない形にすることで、
漏えい時の被害を抑えます。
応用情報では、
機密性を守る手段として位置づけられます。
暗号化では守れないもの
一方で、暗号化をしていても、
- 正規の利用者による不正操作
- 認可ミスによる情報閲覧
- マルウェアによる内部侵入
といった問題は防げません。
暗号化は、
「誰が」「何をしてよいか」を
判断する仕組みではないためです。
応用情報での典型的な出題意図
午後問題では、
- 通信は暗号化されている
- それでも情報漏えいが起きている
という状況が描かれることがあります。
ここで、
暗号化以外の対策不足に
目を向けられるかが
正解への分かれ道になります。
暗号化と鍵管理の重要性
暗号化の強さは、
鍵の管理に大きく依存します。
- 鍵が漏れれば意味がない
- 鍵の保管方法
- 鍵の更新ルール
これらを含めて、
初めて暗号化が機能します。
応用情報では、
暗号アルゴリズムだけでなく、
運用面も含めて考えさせます。
実務での考え方
実務では、
- 暗号化で守る範囲を明確にする
- 他の対策と組み合わせる
- 侵入される前提で被害を抑える
といった設計が重要になります。
応用情報は、
暗号化を対策の一部として扱えるかを
見ています。
まとめ
- 暗号化はデータ内容を守る
- 操作や権限までは守れない
- 応用情報は対策の役割分担を問う
暗号化を見るときは、
「何を守るために使っているのか」
を常に意識することが重要です。
次回予告
次回は、
「ログは誰のために残すのか」
を扱います。
セキュリティの運用面に進みます。
コメント