みなさん、こんにちは!
先日アップした <小規模オフィスのマイナンバーセキュリティ対策ソリューション、Symantec File Share Encryption セットアップ編> 。セットアップ編では、自分の公開鍵に関連する名前と電子メールアドレス、秘密鍵に紐づくパスフレーズの設定、そして、公開鍵と秘密鍵のペア鍵を作成しましたね。
本日のエントリーは、第 2 部として「運用編」をご紹介いたします。この「運用編」では、自分の公開鍵の配布方法や他のユーザの公開鍵の取得方法、実際のフォルダ暗号化やアクセス権の設定をみていきましょう。
※ Symantec File Share Encryption の製品概要は、先日公開したばかりの特設ページをご覧ください
自分の公開鍵の配布・他人の公開鍵の取得方法
まず、運用の準備として、自分の公開鍵の配布・他人の公開鍵の取得からはじめましょう。前回のエントリーでは、「社内の共有フォルダを暗号化し、A さんと B さんのみで共有する場合」のイメージ図を載せましたが、この例では事前に B さんの公開鍵を「インポート」する必要があります(今回は自分が管理者となり、事前に B さんの公開鍵を預かり暗号化を実行します)。今回も「社内の共有フォルダを暗号化し、A さんと B さんのみで共有する場合」を例にとり進めていきます。
画像をクリックすると拡大します
・自分の公開鍵のエクスポートと配布
セットアップ完了後、Symantec File Share Encryption を起動します(タスクトレイから起動)。
ソフトウェアを起動したら、左カラムの [PGP 鍵] を選択し、前回のエントリーの <セットアップ手順 その5 名前と電子メールアドレスの割り当て> で設定した名前と電子メールアドレスの鍵を確認します。鍵を確認したらその上で右クリックし、「エクスポート」を選択します。
今回はデスクトップにエクスポートをしましたが、下記のキャプチャの様なアイコンのファイルが作成されますので、これが自分の公開鍵となります(今回の例では、自分の公開鍵をエクスポートし、配布する必要はありません)。
・B さんの公開鍵のインポート
続いて、上記の手順等で B さんから送られてきた「 B さんの公開鍵をインポート」します。[ファイル] > [インポート(I)...] を選択し、B さんの公開鍵をインポートします。
インポートが完了したら準備は完了です。
フォルダを暗号化
B さんの公開鍵のインポート完了後、さっそく自分と B さんのみで共有したいフォルダを暗号化します。今回は「社内管理_経理」というフォルダを PGP 公開鍵暗号方式で暗号化してみます。
暗号化作業は実にシンプルです。この「社内管理_経理」フォルダを指定の場所にドラッグし、自分と B さんの公開鍵を追加するだけです。
ユーザーの追加項目では、自分と事前にインポートした B さんの公開鍵を追加します。
[追加] を選択し、[次へ]
鍵ソースから自分と B さんの公開鍵を [追加] し、[OK]
※ キャプチャ画像では他人の公開鍵をインポートしていないので、鍵ソースは自分の公開鍵しか表示されていません
署名の選択は、そのまま [次へ]
暗号化が完了したフォルダは、南京錠のアイコンが表示されます。イメージとして今回のケースで言うと、自分と B さんの 2 個の南京錠のみが「社内管理_経理」フォルダにかかり、この両者の南京錠のペアとなる鍵(秘密鍵)でしか解錠できないようになりました。解錠するためには、前回のエントリーの <セットアップ手順 その6 パスフレーズの作成> 時に設定したパスフレーズが必要になりますが、このパスフレーズは自動的にキャッシュとして保存されています。
「test」というテキストファイルを「社内管理_経理」フォルダに保存した図
暗号化したフォルダのアクセス権の設定
暗号化したフォルダのアクセス権設定も容易に可能です。管理者・グループ管理者・ユーザーに異なる権限を割り当てることによって、3 段階のレベルで設定し、役割の分離に対応します。
- 管理者 - データ復号・アクセス権変更・データ参照
- グループ管理者 - アクセス権変更・データ参照が可能なユーザー(グループ管理者)
- ユーザー - 参照のみ可能なユーザー(ユーザー)
ユーザーアクセスでユーザーを選択し、[ロールの変更] から設定します
Zip 暗号化や Excel のパスワード設定などは共通鍵暗号方式と呼ばれ、この共通鍵暗号方式の最大の弱点は、暗号化と復号化の鍵(パスワード)が共通であり、暗号化につかった鍵(パスワード)を別途送っておかなければいけない事です。その為、鍵(パスワード)の配送面をみても、共通鍵暗号方式のセキュリティ上の担保は無に等しいのです。一方、PGP 公開鍵暗号方式では「公開鍵のみ」でしか暗号化できず、その公開鍵のペアとなる「秘密鍵のみ」でしか復号化はできません。公開鍵自体は、不特定多数に配布・公開鍵サーバ(PGP Global Directory)にアップロードする事は問題ありません。よって、その公開鍵で誰でも「暗号化作業」は実行できます。しかし、その公開鍵のペアとなる秘密鍵の所持情報は自分のみしか分からない仕組みとなっているので、復号化は秘密鍵を持つ本人のみしか行えません。共通鍵暗号方式の最大の弱点を克服した技術が、Symantec File Share Encryption でも採用されている PGP 公開鍵暗号方式なのです。
いかかでしたでしょうか?「セットアップ編」と「運用編」の 2 部に渡って Symantec File Share Encryption をみていきました。小規模オフィスにおいては、大規模なシステム導入やエンドポイントセキュリティの運用は難しいのが現状です。「大事なもの(機密情報等のファイル)を暗号化でピンポイントで守る!」という発想は、情報資産を強固に守る最終的な手段としては大変理にかなった方法ではないでしょうか(仮に、暗号化したファイルが漏洩しても、復号化できない限りは「情報漏洩」扱いにはなりません)。PGP 公開鍵暗号方式の肝となる「公開鍵」と「秘密鍵」の概念さえしっかり押さえとおけば、今回ご紹介したように運用は何ら難しい事はありません。
テクニカルサポート - TH
- PGP 技術を使用した暗号化による、安全な共同作業・クラウド共有を実現 -
- act2 サポートサイト -
0 件のコメント:
コメントを投稿