こんにちは。

最近、情報セキュリティに関連する用語として、「無害化」や「無意味化」という言葉をよく目にするようになりました。

無害化とは?

無害化とは、主にメール無害化を指しており、最近、被害が拡大している標的型メール攻撃に対する対策で、メール本文や添付ファイルにウィルスなどが混入しないようにする手法です。

無害化の手法

2016年の春頃から新しい製品やサービスが次々と登場しており、仕組みは製品やサービスにより異なりますが、具体的にはメールの本文や添付ファイルを画像化し画像データとしてユーザに転送する方法や、攻撃者の仕掛けた罠として利用されるHTMLメールをテキスト化やJavaScriptの削除、リンクの削除、添付ファイルのマクロ削除などを行い無害化する方法などがあります。

いずれの仕組みにおいても、メールを無害化するための処理を行なう必要がありますので、メールがユーザに届くまでの間に遅延が発生するのですが、メールの場合は、ほとんどリアルタイム性を求められないコミュニケーションですので問題になることはないのです。

無害化の課題

課題としては、画像化した場合、内容の確認はできますが、文面をコピーしたり、リンクをクリックしたりすることはできなくなります。また、他の無害化の場合でも、届いたメールの使い勝手という面では不便になる点があります。

安全性と使い勝手のトレードオフですね。

無意味化とは?

無意味化とは、個人情報や機密情報などのデータを加工して、万一、データが漏えいしたとしても、第三者にデータが使えない=無意味化するという情報漏えい対策です。

無意味化の手法

従来からデータ漏えいに備えてデータを暗号化しておくという対策はあるのですが、暗号化の場合は、万一、第三者が暗号化されたデータを復号することができれば解読されてしまいますので、100%安全とは言えないものでした。

そこでより解読されないために秘密分散という技術が生まれました。データを暗号化するだけではなく、さらにデータを複数の場所に分散して保存することで、万一、分割したデータが盗まれたとしても、別の場所のデータが揃わない限り、データを復元できないようにするものです。

無意味化の課題

万一、データを盗まれても安全というのは非常に嬉しいのですが、こちらも課題があります。

それは、複数のデータのどれか1つでも紛失したり、使えない状態になってしまった場合に、データの持ち主といえどもデータを復元できなくなるリスクがあるという点です。

そのため無意味化においてはバックアップを含めたデータの管理が非常に重要になります。

また、無意味化はあくまでも、万一、データが漏えいした場合の対策ですので、不正アクセスを防ぐための対策を十分に行い、漏えいしないようにすることがより重要です。

無害化、無意味化を検討する必要性は高い

今回、無害化と無意味化を取り上げましたが、毎週のように不正アクセスによる被害がニュースになっている状況を考えると、こういった対策を検討する必要性は高いと思います。

災害と似ていますが、自分だけは大丈夫だと思っていると、突然、大きな被害にあう可能性は誰にでもあるものです。

万が一の可能性を考えて日頃から備えておくことが重要です。