TOPセキュリティ > データ流出の事後対応、脅威を抑える5つの手順(前)

セキュリティ

データ流出の事後対応、脅威を抑える5つの手順(前)

2018/09/19

Ian Paul PCWorld

手順2:流出したデータの悪用が可能かどうかを考える

 ハッカーがデータを盗む事例は絶えず起きている。だが、「ハッシュ化」「ソルト」「暗号化」といったセキュリティ手法が適用されていれば、データを盗んでも使い物にならないケースが多い。データが「平文」、つまり暗号化の手法が施されていない場合には、単なるWord文書やメールと同じように、データの読み取りや操作はたやすい。

 ハッシュ化とは、平文に戻せない形でデータを変換する処理だ。パスワードの保管などでよく使われる。

 ハッシュ化の方法はどれも同じというわけではない。元のデータを解読できる場合もある。そこで、さらなる防御策として、ソルトと呼ばれるランダムなデータを付加して、解析の難易度を上げることがある。ハッシュ化に関して肝心なのは、そのデータを利用される恐れがあるのかどうか、流出元の企業の認識を掘り下げて調べる必要があるという点だ。

 暗号化とは、平文に戻せる形で変換する処理だ。暗号化を復号できるのは、「鍵」を持っている人だけである。

 流出したデータにハッシュ化や暗号化が施されていた場合でも、流出元の企業は、安全策として利用者にパスワードの変更を促すことがある。

↑ページ先頭へ