暗号化されたHDDからデータ漏洩の危険性

Computerworld.jpの記事「暗号化されたHDDからデータ漏洩の危険性――大学の研究チームが明らかに」からです。

これは、「「Microsoft Office Word」や「Google Desktop」などの一般的なアプリケーションが暗号化ファイルを扱う際、HDD内の非暗号化セクションへデータを格納している」ということによるもののようです。

最近いろんなところで「まずは、(漏洩対策は)暗号化」とか「暗号化していれば…」などという表現をよく耳にします。
これは、情報セキュリティの考え方としては、適切ではありません。
「まずは、アクセスコントロール(認証)」であるべきで、「さらに、暗号化」なのです。
そして、暗号化が万能のセキュリティ機能のように思っていてはいけません。

コメント

暑くてばてそうです...。
気が緩んだ時に、セキュリティ面も甘くなりますよね。
飲んだ帰りにPCの入ったバックを忘れる...巷でそのようなニュースが出ないことを祈るばかりです。

今回の内容、とても勉強になりました。
やはり「暗号化していれば安心」「○○対策しているから大丈夫」な、ところはあります。
ホームセキュリティが流行っていますが、私は万能では無いと思います。警備会社が来る数分の間に攻撃対象（家）への「バックドア」を仕掛ける、なんてことも可能ですし。

改めて、気を引き締められる内容でした。ありがとうございます。

投稿 hase_tetsu | 2008年7月22日 (火) 08時23分

>hase_tetsuさん

とっくに、夏バテしております…

さて、とにかく「万能のシステム」というものは、世の中には存在しません。「そんなことは、言われなくてもわかる」なんてコメントが返ってくることも多いのですが、「では、なぜ情報セキュリティ対策は、暗号化しているから十分なのですか？」などと問いかけると明確に答えられない方も多いです。

やはり、「実効性」「合理性」で、情報セキュリティ対策を考えないと「(規格には適合・準拠しているから)これで十分」という解釈にもなってしまうんですね。

投稿 Hase | 2008年7月22日 (火) 23時37分