6.5 暗号化

情報の漏洩を未然に防ぐには、 たとえ、盗まれたり盗聴されたとしても、 情報を搾取した人には理解できないように 暗号化（Encryption） を施しておく必要があります。

ホームページを作るとき

個人情報を入力するホームページでは https になっているかどうかを確認する、 という話をしました。
ということは、個人情報を入力させるホームページを作ったら、 その人の個人情報を守るという意味で、同様に https の通信にして暗号化しなければならない、 ということです。
一般的なプロバイダのホームページのサービスでは https 通信はサポートされていません。 もし、https の通信をするのであれば、 そのようなサービスを行っているプロバイダを探すか、 独自にサーバを作って、 https 通信ができるようにセットアップする必要があります。
詳しい設定方法についての説明は省略しますが、 原則として、https 通信をするには デジタル証明書（Digital Certificate） というものを用意しなければなりません。 この証明書は VeriSign のような公的な認証局（CA : Certificate Authority） から発行してもらう必要があります。 つまり、その証明書が正当なものであることを認証しなければ信用できない、ということです。

認証局は Web サーバに対して証明書を発行します。     パソコンがアクセスするとサーバは証明書を渡します。     パソコンは認証局に証明書が正しいものかを確認します。     証明書が正しい場合、パソコンと Web サーバ間に暗号化通信の回線が作られます。

なお、正式なデジタル証明書の発行には年間10万円程度の費用がかかります。 つまり、他の人の大事な個人情報を扱うには、 それだけの投資も必要である、 ということを認識しておきましょう。

通信の暗号化だけを行う場合、 自己発行のデジタル証明書 で代用することも可能です。 しかし、その場合、公的に認証された証明書ではないので、 利用者に十分、周知しておく必要があります。

メール

メールの内容が盗聴されることは先に説明しました。
盗聴されても、内容がわからないよう、 重要な情報が含まれているメールは、メールの内容を暗号化すべきです。 メールの暗号化は先に示したとおり、PGP、GPG、S/MIME などがあります。

これらを使用するには、メーラが使用する暗号方式をサポートしていなければなりません。 また、暗号化されたメールを受信する側も同じ暗号方式をサポートしたメーラを使用する必要があります。

• PGP（Pretty Good Privacy）
  PGP は公開鍵方式という暗号化で、 世界標準となってる暗号化方式の１つです。 公開鍵と秘密鍵を組み合わせて使用します。 仕組みはかなり複雑なので、ここでは説明しませんが、 現状ではかなり強固な暗号化です。
  PGP は無償配布されていますが、 PGP の暗号化には IDEA や RSA という著作権がからんだ方式が使用されているため、 自由に使うには多少、ハードルが高いものになっています。 国内では ソースネクスト などの製品があります。
  
  
• GPG（GnuPG）
  PGP が IDEA や RSA という著作権がからんでいましたが、 Free Software Foundation の GnuPG はこれらの仕組みを使っていません。 GnuPG は GnuPGサイト から自由にダウンロードできます。
  
  
• S/MIME（Secure MIME）
  MIME（Multipurpose Internet Mail Extension） というのは、 インタネットで主にメールなどでテキストでないデータを送信するための国際標準規格です。 メールの添付ファイルや、日本語のメールの表題などは、 この MIME の規格で変換されて送受信されています。
  S/MIME は、この MIME の拡張規格で、 公開鍵方式を使用した暗号化ができます。 なお、この暗号化には公開鍵として デジタル証明書 を入手する必要があります。
  
  

通信

契約したプロバイダに接続し、 ホームページの閲覧と メールのやりとり だけしかインターネットを使用しないのであれば、 信用あるホームページを利用する （信用のないホームページに個人情報を書き込まない） などに注意するだけで、通信の暗号化を考えなくてもよいでしょう。

一方、プロバイダ以外のメールサーバを利用したり、 会社など、契約しているプロバイダ以外（会社など）から、 プロバイダのメールボックスにアクセスしたり、 また、メールやホームページ閲覧以外の通信を行う場合、 何も対策をしない場合は、 入力したパスワードなどは盗聴者に丸見えの状態で通信が行われます。
メールの内容の暗号化は上記の方法で行うことができますが、 暗号化・復号化の手間を考えると、 すべてのメールを暗号化するわけにもいきませんし、 メールの内容を暗号化したとしても、 メールサーバとの通信は暗号化されていないために、 送信時に POP before SMTP などの認証方式を使用した場合などは、 メールを送信するためのパスワードが漏洩してしまう可能性があります （先に説明した APOP や SMTP Auth を使用することで、 パスワードを暗号化することができます（「通信の暗号化」を参照）。 しかし、メール本文は暗号化されません）。

このような通信の盗聴を防ぐ方法として、 通信全体を暗号化 してしまう方法があります。 ただし、どちらも、通信先のサーバ側にその機能を持っていなければなりません。

• VPN（Virtual Private Network）
  たとえば、２台のコンピュータで通信をするとき、 直接、専用の回線で繋いでしまえば、 インターネットとは関係ないため、インターネット上の盗聴者が手出しすることができません。 それを真似て、 VPN ではネットワーク（インターネットも含む）上に仮想的な専用線を作り出します。
  
  
  VPN は専用ソフトウェアや専用ハードウェアを用意する必要があります。
  
  
• SSH（Secure Shell）
  SSH は UNIX の Shell（Windows の DOSプロンプトのようなもの）の１つです。 主に、あるコンピュータから別のコンピュータを操作するときに使用されます。 このとき、２台のコンピュータ間の通信が暗号化されるのが、 一般的な Shell と異なるところです。
  この SSH は ポートフォワーディング（Port Forwarding） という機能を持っていて、Windows では TTSSH（TeraTerm の SSH 対応版） や PortForwarder（SSH のポートフォワード機能だけを使うソフト） などで、この機能を利用できます。 ポートフォワーディングは、SSH が相手のサーバに接続している状態で、 特定の通信を SSH が持つ暗号化通信経由で行います。
  

  SSH ポートフォワードは、指定された通信だけ、 特定のサーバと結んだ暗号化通信に乗せます。 指定外の通信は通常の通信でアクセスするため、 暗号化が必要ない通信は今までどおり使用できます。

  
  これを利用すると、メールの受信（POP3）、メールの送信（SMTP）、 ファイルの転送（FTP）などさまざまな通信を暗号化することができます。 この暗号化は通信のすべてが暗号化されますので、 通信の内容もパスワードもすべて盗聴から守ることができます。
  
  
• SMTP over SSL（TSL）/POP3 over SSL（TSL）
  これはメールサーバとメーラが通信する SMTP や POP3 をホームページの暗号化のための手法である SSL を使って暗号化してしまおう、というものです。
  SMTP over SSL（SMTPS）/POP3 over SSL（POP3S） は上記のような VPN や SSH という別機能を使用せずに暗号化通信することができます。 ただし、こちらもメールサーバやメーラがこれらの機能に対応している必要があります。
  
  メーラの中にはすでに SMTPS, POP3S に対応しているものもある （上記は Becky!2）
  

ハードディスク、メモリカード、USBメモリ

パソコンが盗難にあった、 メモリカードや USB メモリを紛失した、といった場合に、 その中に重要な情報（会社の機密情報や個人情報など） が入っていると、これは大きな社会問題になります。 会社の情報であれば懲戒は免れないでしょう。
そのような場合に遭遇しても、 あらかじめ、パソコンのハードディスクやメモリカード、 USB メモリの中身が高度に暗号化されていて、 専用のキーがないと復号（解読）できないようになっていれば、 たとえ盗まれたところで、中の情報を悪用されることだけは避けることができます。
この暗号化で主流なのは、PointSec というソフトがあります。

あくまで筆者が探してきたものであって、 宣伝等の目的は一切ありません。
以下は、ホームページの内容の変更の恐れがあるため、 メーカのトップページへのリンクとします。 製品のページはトップページの「製品」「Product」などのメニューからたどってください。 また、それぞれのソフトウェアの詳細は、各メーカサイトを参照してください。

• メトロ
• NECソフト
• 日立情報システムズ
• 東芝パソコンシステム

などが国内で販売しています。
この PointSec は、

• パソコンのハードディスク全体を暗号化する。
• Windows を起動する前に PointSec のパスワード確認があるため、 PointSec のパスワードがわからない限り、Windows すら起動することもできない。
• ハードディスクは完全に暗号化されているため、 取り出して、別のパソコンにつなげても読み出すことはできない。
• PointSec のパスワードを探すために何度も試すと、 二度とハードディスクが読み出せなくなる。

といった強固な暗号化の仕組みを実現します。 なお、この PointSec にはメモリカードなどを暗号化する別製品もあります。

さて、よく、個人情報が入っているパソコンの盗難で、 盗まれた会社が

パソコンにはパスワードがかかっており、 中にある個人情報を悪用される恐れはない

という釈明をよく耳にします。 もし、この「パスワード」が Windows のログオンパスワードのことであれば、 その会社の釈明はまったくの嘘です。 騙されないでください。
それだけであれば、 泥棒がそのコンピュータ内の個人情報を読み取ろうとするなら、 ハードディスクを取り出して、 別の Windows のパソコンにつなげるだけで、 Windows のログオンパスワードなど関係なく情報を読み出すことができます。 したがって、Windows のログオンにパスワードをかけるだけでは、 盗難に対する予防には何の意味もありません。

重要な情報が入っているパソコンは、 たとえ盗まれても決して読み出せないよう、

ハードディスク全体の暗号化が必須です。