連載 :
社外持ち出し前提の情報漏えい対策暗号化技術の変遷と最新のトレンドを知る
2010年11月22日(月)
次世代の透過式暗号化技術(New DRM Technologies)
新しい透過式暗号化技術(New DRM Technologies)は、従来型のDRMで課題であった多大な開発コストと時間を削減すると共に、カーネル・レイヤーにおけるセキュリティ懸念を払拭しました。新透過式暗号化技術は下記の仕組みでコストの削減および安全性をより強固なものにしています。
- アプリケーション・レイヤーでのAPI HOOK技術を利用することにより、保護されたファイルのI/Oプロセスにおいて、できる限り早いタイミングでの暗号化とできる限り遅いタイミングでの復号化をすることで、ファイルが平文状態にあるメモリ上でアクセスされる可能性を最小限にしています。さらに、各認証項目判断の処理を強化して、アプリケーションの実行をシンプル化でき、システム・クラッシュやファイル破損の発生を回避しています。
- 暗号化と復号化モジュールをセットにすることで、アプリケーション・レイヤーにおけるHOOKモジュールが何らかの方法で削除された場合、暗号化と復号化の機能を同時に無効にし、暗号化のプロセスを解析されないようにします。これにより保護されたアプリケーションが永久にルールに従うことを保証させます。そのルールとは、「保護されたアプリケーションで暗号化されたファイルを読み取ることが可能な場合、作成された全てのファイルが強制的に暗号化される。」また、「作成されたファイルが暗号化されていない場合、そのアプリケーションで暗号化されたファイルを読み取ることが不可能」というものです。
- アクセス・コントロールと自己保護モジュールはドライバ・レベルで動かします。それは上位レイヤーのアプリケーション・プログラムによる防御機能を侵害しない様にするためです。
最後に比較表で改善された技術についてまとめます。
| 従来のDRM技術 (OLD DRM Technology) |
カーネル・レイヤー(層)の透過式暗号化技術 (Kernel Mode) |
新透過式暗号化技術 (New DRM) |
|
|---|---|---|---|
| 保護方法 | APIをコールして暗号化・復号化を 実行する(非対称式キー) |
カーネル層で自動的に 暗号化・復号化を実行する(対称キー) |
ダイナミック・コントロールとマルチ・キー (総合非対称式と対称式キー) |
| 保護対象 | オフィス系のファイル | 1. 各種電子ファイル 2. マルチメディア |
1. 各種電子ファイル 2. C/S型のファイル 3. マルチメディア |
| 優位性 | ファイル別の権限管理 | ファイル・フォーマットを限定しない | ファイル別の権限管理 ファイル・フォーマットを限定しない |
| サーバーの パフォーマンス |
1台のサーバーで 同時約200クライアント |
1台のサーバーで 同時約3,000クライアント |
1台のサーバーで 同時約3,000クライアント |
| ファイル暗号化の パフォーマンス |
低 | 中 | 高 |
| 保護範囲 | |||
| セキュリティ・ コントロール |
API | APIに制限されない | APIに制限されない |
| 部署別の権限管理 | ○ | × | ○ |
| オフラインの管理 | × | ○ | ○ |
| SaaSサービス | 無 | 無 | 可 |
|
|
| 図3:各暗号化技術の機能別比較グラフ(クリックで拡大) |
各項目について
- メンテナンスコスト (System Maintain):アプリケーション更新(バージョンアップ)時に投入するコスト(コストが低いほど点数が高い)
- 対応フォーマット (Supported Formats):対応するフォーマットの種類 (多いほど点数が高い)
- 暗号化のパフォーマンス (Utilization):暗号化時のシステムリソースの使用 (少ないほど点数が高い)
- 操作制限項目(Operations Control):ファイル操作時に選択可能な制限できる項目 (制限できる項目が多いほど点数が高い)
- 権限管理:ファイルにおける権限管理 (簡単に操作できるほど点数が高い)
- 外部での保護(Exterior Protection):外部(社外)でファイル操作(利用)時の制限 (制限が少ないほど点数が高い)
連載バックナンバー
Think ITメルマガ会員登録受付中
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
