【応用情報技術者試験】セキュリティの基礎を固めよう！　　　　　　~第1章~情報セキュリティと暗号技術

情報セキュリティは、個人や企業が保有する機密情報、個人情報、知的財産などを、不正アクセス、漏洩、改ざん、ウイルス感染などの脅威から守るために非常に重要です。適切な対策を怠ると、信用の失墜、金銭的な損失、法的責任、事業継続の危機につながるリスクがあります。情報セキュリティは、事業継続と企業の信頼維持に不可欠な要素のためしっかり学習しておきましょう。 

画像参照：https://group.gmo/security/security-all/information-security/

情報セキュリティ

情報セキュリティで考慮するべき事柄は主に3つあり、CIAと呼ばれています。

事柄	概要
機密性Confidentiality	許可された情報に、許可された人だけがアクセスできる状態を維持すること。
完全性 Integrity	情報が正確かつ完全であり、不正な改ざんや破損から保護されている状態を保証すること。
可用性 Availability	利用者が必要なときに、いつでも情報やシステムに安全にアクセスできる状態を維持すること。

機密性を維持するためには、データを暗号化して第三者には読めないようにする方法があります。
完全性を維持するためには、ディジタル署名を付け、第三者が改ざんしたことを検知できるようにする方法があります。
可用性を維持するためには、システムの冗長化を行い負荷の上昇や故障に備える方法があります。
また、追加の4要素も存在するため、確認しておきましょう。

情報セキュリティ活動を行う組織

情報セキュリティに関する活動を行っている代表的な組織を下記に整理します。

• JPCERT/CC（JPCERTコーディネーションセンタ）
• J-CSIP（サイバー情報共有イニシアティブ）
• NISC（内閣サイバーセキュリティセンタ）
• JVN（Japan Vulnerability Notes）
• CSIRT

暗号技術

暗号技術とは、データを「暗号化」して第三者から保護し、「復号」して元のデータに戻す技術です。この技術は、通信の秘密性、完全性、認証性を保証するために、オンラインバンキングやメール、個人情報の保管など、現代の様々なデジタルサービスで不可欠です。主な方式として、共通鍵と公開鍵の2種類があります。

暗号技術の仕組み

• 暗号化:元のデータ（平文）を、解読できない形（暗号文）に変換することです。
• 復号:暗号化されたデータ（暗号文）を、元のデータ（平文）に戻すことです。
• 鍵:暗号化と復号を行うための秘密のデータ（手順や規則）です。
• 主な保証機能:
  • 秘匿性:盗聴や不正なアクセスから情報を守ります。
  • 完全性:データが改ざんされていないことを保証します。
  • 認証:通信相手が本人であることを確認します。

暗号化の主な方式

• 共通鍵暗号方式:
  • 暗号化と復号に同じ鍵を使用します。
  • メリット:処理が高速です。
  • デメリット:鍵を安全に送受信する必要があり、第三者に盗まれるリスクがあります。また、通信相手ごとに鍵を用意する必要があるため、管理が煩雑になりがちです。
• 公開鍵暗号方式:
  • 暗号用と復号用で異なる鍵（公開鍵と秘密鍵）を使用します。
  • 仕組み:受信者が公開鍵を公開し、送信者はその公開鍵で暗号化します。受信者は、自身だけが持つ秘密鍵で復号します。
  • メリット:秘密鍵を安全に送る必要がないため、鍵交換のリスクがありません。
  • デメリット:処理速度が遅い傾向があります。

鍵の危殆化

暗号鍵の危殆化とは、暗号鍵や暗号アルゴリズムが、技術の進歩などによって安全性や強度を失い、解読される可能性が高まる状態のことです。これは、コンピュータの計算能力の向上、量子コンピュータの登場、あるいは暗号鍵の管理不備などによって引き起こされます。対策として、安全性の低下した暗号鍵を失効させ、新しい鍵に更新することが不可欠です。 

主な原因

• 計算能力の向上: コンピュータの性能向上により、これまで解読に膨大な時間がかかっていた暗号アルゴリズムが、現実的な時間で破られる可能性が出てきます。
• 量子コンピュータ: 量子コンピュータは、現在の公開鍵暗号の基盤となっている素因数分解や離散対数問題を高速に解けるため、将来的に多くの暗号システムが危殆化するリスクがあります。
• 鍵の管理不備: 秘密鍵が漏洩したり、パスフレーズを紛失したりするなど、鍵の管理がずさんな場合にも危殆化が起こります。
• 実装上の脆弱性: 暗号化・復号処理を実装したソフトウェアやハードウェアのバグや脆弱性によって、暗号鍵が盗み取られる危険性があります。 

具体的な状況例

• 秘密鍵が第三者に漏洩し、なりすましや盗聴が可能になる状態。
• RSA-2048のような公開鍵暗号が、将来のコンピュータ技術の進歩によって破られる可能性がある状態。
• ハッシュ関数の「衝突耐性」が失われ、同じハッシュ値を持つ異なるデータが生成可能になる状態。 

対策

• 危殆化のリスクがある場合は、速やかに既存の暗号鍵を失効させ、新しい鍵に更新する。
• 将来の危殆化に備え、安全なアルゴリズムへの移行を検討する。
• 鍵の管理体制を見直し、漏洩や紛失を防ぐための対策を強化する。