この記事では、企業環境で情報を保護する最も一般的な方法の1つとして透過的な暗号化について説明し、複数のユーザーの暗号化の一般原則(複数の公開キーを使用した暗号化)を検討し、ネットワークフォルダーの透過的な暗号化を構成する方法についても説明しますCyberSafe Files Encryptionソフトウェア。
透過的な暗号化の利点は何ですか?
仮想暗号化ディスクまたはフルディスク暗号化機能の使用は、ユーザーのローカルコンピューター上で非常に正当化されますが、企業スペースでは、この機能は複数のユーザーに対して同時に分類されたファイルを使用して迅速かつ便利な作業を提供するため、 透過的暗号化の使用がより適切です。 ファイルを作成および編集するとき、暗号化および復号化のプロセスは「オンザフライ」で自動的に行われます。 セキュリティで保護されたドキュメントを操作するために、会社の従業員は暗号化スキルを持っている必要はありません。秘密ファイルを解読または暗号化するために追加のアクションを実行する必要はありません。
機密文書の処理は、標準のシステムアプリケーションを使用した通常の方法で行われます。 暗号化を設定し、アクセス権を区切るためのすべての機能は、システム管理者などの1人に割り当てることができます。
複数の公開キー暗号化とデジタルエンベロープ
透過的暗号化は次のように機能します。 ファイルを暗号化するために、ランダムに生成された対称セッションキーが使用され、ユーザーの非対称公開キーによって保護されます。 ユーザーがファイルに変更を加えるためにファイルにアクセスすると、透過的暗号化ドライバーはユーザーのプライベート(プライベート)キーを使用して対称キーを解読し、対称キーを使用してファイル自体を解読します。 透過的暗号化の仕組みの詳細については、 前のトピックで説明しました。
しかし、複数のユーザーがいて、分類されたファイルがローカルPCではなく、リモートサーバーのフォルダーに保存されている場合はどうでしょうか。 結局、暗号化されたファイルはまったく同じですが、各ユーザーは独自の一意のキーペアを持っています。
この場合、いわゆるデジタルエンベロープが使用されます。
図からわかるように、デジタルエンベロープには、ランダムに生成された対称キーと、各ユーザーの開いている非対称キーで保護されたこの対称キーのコピーを使用して暗号化されたファイルが含まれています。 保護されたフォルダーへのアクセスが許可されているユーザーと同数のコピーがあります。
透過的暗号化ドライバーは次のように機能します。ユーザーがファイルにアクセスすると、ユーザーは自分の証明書(公開キー)が許可されたもののリストにあるかどうかを確認します。 その場合、公開キーを使用して暗号化された正確なキーは、このユーザーの秘密キーを使用して復号化されます。 このユーザーが証明書リストにない場合、アクセスは拒否されます。
CyberSafeによるネットワークフォルダーの暗号化
システム管理者は、CyberSafeを使用して、 IPSecやWebDAVなどの追加のデータ保護プロトコルを使用せずにネットワークフォルダーの透過的な暗号化を構成し、1つまたは別の暗号化フォルダーへのユーザーアクセスをさらに制御できます。
機密情報へのアクセスを許可する各ユーザーに透過的な暗号化を設定するには、CyberSafeをコンピューターにインストールし、個人証明書を作成し、公開鍵をCyberSafe公開鍵サーバーに公開する必要があります。
次に、リモートサーバーのシステム管理者が新しいフォルダーを作成し、CyberSafeに追加し、将来このフォルダー内のファイルを操作できるユーザーにキーを割り当てます。 もちろん、必要な数のフォルダーを作成し、重要度の異なるフォルダーに機密情報を保存できます。また、システム管理者はいつでもフォルダーにアクセスできるユーザーからユーザーを削除したり、新しいフォルダーを追加したりできます。
簡単な例を考えてみましょう。
ABCエンタープライズファイルサーバーは、重要度の異なる機密情報を含む3つのデータベース(DSP、Secret、Top Secret)を格納します。 ユーザーIvanov、Petrov、NikiforovのDB1、PetrovとSmirnovのDB2、SmirnovとIvanovのDB3へのアクセスを提供する必要があります。
これを行うには、ネットワークリソースであるファイルサーバーで、データベースごとに3つの個別のフォルダーを作成し、対応するユーザーの証明書(キー)をこれらのフォルダーに割り当てる必要があります。
もちろん、これまたはアクセス権の区別を伴う別の同様のタスクは、Windows ACLの助けを借りて解決できます。 ただし、この方法は、社内の従業員のコンピューターのアクセス権を区別する場合にのみ有効です。 それ自体では、ファイルサーバーへのサードパーティ接続の場合に機密情報を保護せず、暗号化を使用してデータを保護する必要があります。
また、ファイルシステムのセキュリティ設定によるすべての設定は、コマンドラインを使用してリセットできます。 Windowsには、calcsと呼ばれる特別なツールがあります。これを使用して、ファイルやフォルダーのアクセス許可を表示したり、それらをリセットしたりできます。 Windows 7では、このコマンドは「icacls」と呼ばれ、次のように実行されます。
1.管理者権限を持つコマンドプロンプトで、「cmd」と入力します。
2.ディスクまたはパーティションに移動します。例:CD / DD:
3.すべての権限をリセットするには、icacls * / T / Q / C / RESETと入力します
icaclsが初めて動作しない可能性があります。 次に、ステップ2の前に、次のコマンドを実行する必要があります。
takeown / R / F *
その後、以前に設定したファイルとフォルダーのアクセス許可はリセットされます。
仮想暗号化ディスクとACLに基づいてシステムを作成できます(組織で暗号化ディスクを使用する場合のこのシステムの詳細については、 こちらを参照してください)。 ただし、暗号化ディスク上のデータへの従業員の絶え間ないアクセスを確保するために、そのようなシステムは脆弱です。管理者は、1日を通して接続(マウント)し続ける必要があり、接続中に攻撃者が接続されている場合、暗号化ディスクの機密情報を侵害しますサーバーに接続できるようになります。
暗号化が組み込まれたネットワークドライブでも、誰も操作していないときにのみデータ保護が提供されるため、問題は解決しません。 つまり、内蔵の暗号化機能は、ドライブ自体が盗難された場合にのみ、機密データが危険にさらされるのを防ぐことができます。
CyberSafeでは、ファイルの暗号化/復号化はファイルサーバーではなくユーザー側で実行されます。 したがって、機密ファイルは暗号化された形式でのみサーバーに保存されます。これにより、攻撃者がファイルサーバーに直接接続した場合に機密ファイルが侵害される可能性がなくなります。 透過的な暗号化で保護されたフォルダーに保存されたサーバー上のすべてのファイルは暗号化され、確実に保護されます。 同時に、ユーザーとアプリケーションは、それらを通常のファイル(メモ帳、Word、Excel、HTMLなど)として認識します。アプリケーションは、これらのファイルを直接読み書きする手順を実行できます。 暗号化されているという事実は、それらに対して透過的です。
非アクセスユーザーもこれらのファイルを見ることができますが、それらを読み取ったり変更したりすることはできません。 これは、システム管理者がいずれかのフォルダ内のドキュメントにアクセスできない場合でも、ドキュメントをバックアップできることを意味します。 もちろん、すべてのバックアップファイルも暗号化されます。
ただし、ユーザーが自分のコンピューターで作業するためにファイルの1つを開くと、不要なアプリケーションがそのファイルにアクセスする可能性があります(もちろん、コンピューターが感染している場合)。 これを防ぐために、システム管理者は保護されたフォルダーのファイルにアクセスできるプログラムのリストを決定できるため、追加のセキュリティ対策として信頼できるアプリケーションのシステムが CyberSafeに存在します。 信頼できるリストに含まれていない他のアプリケーションはすべてアクセスできないため、スパイウェア、ルートキット、その他のマルウェアの機密情報へのアクセスを制限します。
暗号化されたファイルのすべての作業はユーザー側で実行されるため、CyberSafeはファイルサーバーにインストールされず、企業スペースで作業する場合、プログラムを使用してWindows Storage ServerなどのNTFSファイルシステムでネットワークストレージの情報を保護できます 。 暗号化された形式のすべての機密情報はこのようなリポジトリにあり、CyberSafeは暗号化されたファイルにアクセスするユーザーのコンピューターにのみインストールされます。
これはTrueCryptや、ファイルの物理的な保存場所にインストールする必要がある他の暗号化プログラムに対するCyberSafeの利点です。つまり、ネットワークドライブではなくパーソナルコンピューターのみをサーバーとして使用できます。 もちろん、企業や組織でのネットワークストレージの使用は、従来のコンピューターを使用するよりもはるかに便利で正当化されます。
したがって、CyberSafeを使用すると、追加のツールなしで、貴重なファイルの効果的な保護を編成し、暗号化されたネットワークフォルダーで便利な作業を提供し、機密情報に対するユーザーアクセス権を区別することもできます。