個人利用では暗号化ソフトはあまり重要なソフトではありません。
しかし、企業にとっては自社の信用にかかわる問題なので慎重に選定する必要があります。
機能や暗号強度などより重要な点はサポート体制と保障能力です。具体的には賠償責任を取るかどうかです。
企業にとっての暗号化
企業が暗号化プラットフォームを導入する目的は、
- 自社の情報の他社への流出
- 顧客製品の競合他社への漏洩
- 一般顧客の個人情報の流出
など、これらを防ぐことが最優先です。そのためなら社員の重要なデータが消失しても仕方ありません。
言うなれば暗号化ソフトはデータの自爆装置です。流出するぐらいなら社員のデータもろとも消してしまえと。
そのような性格のため、暗号化ソフトには指定時刻までに解除しないと全データを消去する機能を持つ製品もあります。
暗号化は危険と隣り合わせ
通常はこのような破壊機能は発動しません。
しかし、パソコンというものはソフト的にもハード的にも非常に不安定な装置です。まして、営業はパソコンを持って飛び回りますので、壊れる危険性が非常に高くなります。ある企業の営業部門のパソコン故障率は200%を超えていました。
故障するとどうなるか。
当然、暗号化ソフトが正常に動かなくなり、データを復号できなくなりデータをすべて失います。
実際に暗号化ヘルプデスクを運用していて、犠牲になった沢山の社員を見てきました。
一部社員のデータが飛ぶくらいならまだ良いのですが、全社員に及ぶ障害も発生します。
N社では、あまりにも情報漏えいが多いため、M社のアクセスコントロールプラットフォームを導入していました。OfficeファイルをActive Directoryの部門や個人単位でアクセス権を設定できるものです。
もし、Officeファイルが漏洩しても、Active Directoryに接続してアクセス権を得ないと開けない仕組みです。
ある日、全社でOfficeファイルが開けない事故が発生しました。原因は証明書の有効期限切れだったのですが、M社からは事前にそのことがN社には伝えられていませんでした。
半日ほど全社で業務が止まってしまうという事態となったわけですが、N社の規模からして損害は莫大なものとなります。
これは暗号化プラットフォームとは少し違いますが、暗号化ソフトに不具合が発生すれば同じことが簡単に起きてしまいます。
その時に重要なのが、賠償能力です。
まず、契約書をよく読んで賠償責任について確認します。殆どの契約書には賠償責任は免れる旨、記されていると思います。そのため独自に契約書を作成しながら交渉することになります。
企業利用に耐えられない大部分の暗号化ソフトはここで脱落するでしょう。
サポートも重要
ここまでは経営側の方針です。
しかし、社員にとってはせっかく作った顧客へのプレゼン資料がパソコンの不具合で飛ぶのは耐えられないでしょう。
そのため、できるだけ暗号化プラットフォームを安全に運用するためにサポート体制を整える必要があります。
通常はヘルプデスクに任せることになりますが、暗号化に関してはマスターキーの管理があるため専用の人員を配置した方がよいでしょう。
そして、そこを通しての問い合わせに迅速に対応するかどうかも、暗号化ソフトの選定基準となります。遅れれば業務が止まりますので当然です。
個人にとっての暗号化
一昔前ならUSBメモリーを落とす可能性があり、暗号化は重要でした。しかし、クラウド全盛の現在、企業のようにコンプライアンスに縛られることが無い個人は、自由にクラウドを使えるためUSBメモリーを使う必要は無くなりました。そのため自爆装置である暗号化も無用のものとなりました。
それでもUSBメモリーを使うなら対策はしておいた方がよいでしょう。
個人の持つ情報の価値などたかが知れています。したがって、暗号解読が行える犯罪者は個人のUSBメモリーなど狙いません。個人の情報を盗んで得られる金額を考えれば、高速なコンピューターを用意して解読に時間をかけても割に合わないためです。
必要なのは興味本位で拾ったUSBメモリーを覗こうとする輩への対策です。
このような輩に有効なのは簡単に見れないと認識させることです。極論で言えばZIP圧縮してパスワードをかけるだけでも十分効果があります。
玄関の鍵を2重鍵にするのは開け難くするためではありません。プロはどんな鍵だろうと開けられます。2重鍵にするのは開けるのに時間がかかることで近隣住民に見つかる危険性を上げることが目的です。
したがって、ZIPにパスワードをかけるだけでは心配なら、使い易い暗号化ソフトを使えばよいでしょう。以上の理由から個人利用では暗号ソフトとしての性能は重要ではありません。
パソコン本体に関してはWindowsに暗号化の機能が付いていますので、心配ならそれを使えば十分です。
まとめ
大きな企業はここで書いたことに加え政治的に選定することとなります。
問題は中小企業です。マイナンバー対策で暗号化を考えなければと導入金額だけで選定すると大火傷します。
どこかの記事で読みましたが、マイナンバーが漏洩した場合、1件当たりの保証額は15,000円だそうです。この数字の真偽は定かではありませんがYahooや楽天などで漏洩したときに500円で済ましていたのとは大きく違うことは確かでしょう。
自社で扱っているマイナンバーの件数を掛け合わせて、それに見合う金額を賠償させられる暗号化ソフトを検討した方がよいでしょう。
コメント