AES 256 暗号化の内部動作、優位性、そしてその活用方法について説明します。
Advanced Encryption Standard (AES) 256 とは、256 ビットのキーを使用してプレーンテキストまたはデータを暗号に変換する、実質的にほとんど侵入不可能な対称暗号化アルゴリズムです。
詳細は後述しますが、確かなことは AES 256 が連邦政府に採用されている暗号化の1つであり、データ、OS、ファームウェアの整合性を強化するために使用できる公開ソフトウェアだということです。
暗号化は、ファイル共有のセキュリティリスクを軽減するための優れたオプションです。プレーンテキストまたはデータを取得し、キーを使用して暗号と呼ばれるコードに変換することで機能します。暗号コードは、人間にもコンピューターにも理解できない、判読不能なテキストです。
AES 256 暗号化は、連邦政府に採用されるほど強力で、必然的に複雑ですが、次のように動作します。
AES 256 暗号化の最初のステップは、情報をブロックに分割することです。AES のブロック サイズは 128 ビットに固定されており、情報を 4 x 4 ブロックに分割します。
AES 256 暗号化の次のステップには、Rijndael の鍵スケジュールを使用して、最初のキーから複数のラウンドキーを再作成する AES アルゴリズムが含まれます。
AES アルゴリズムでは、4x4 ブロックに細分化されたデータに最初のラウンドキーを追加します。
このステップでは、データの各バイトが別のバイトのデータで(換字表によって)置き換えられます。
4x4 配列の行をシフトします。2 行目のバイトは 1 スペース左にシフトされ、3 行目のバイトは 2 スペース左にシフトされるなど、一定の規則でシフトされます。
事前に確立されたマトリクスを使用して、データ配列の 4x4 列を混合します。
AES アルゴリズムは、この4つの処理(SubBytes, ShiftRows, MixColumns, AddRoundKey)を1ラウンドとして、別のラウンドキーを追加したら最初の処理 (SubBytes) に戻ってラウンドを繰り返します。最後のラウンドには (MixColumns) の処理が含まれません。キー長 128 ビットのときラウンド数は10回、192ビットのときラウンド数は12回、256 ビットのときラウンド数は14回なので、256 ビットのキーを使用する AES 256 は、14回のラウンドになります。
以上が AES 256 の動作ですが、AES 256 がサイバーセキュリティ戦略上、どのように特別で、どんな優位性があるかを以下に記述します。
AES 暗号化を解読することは不可能だと言うのは正しくありません。完璧な頭脳、最も強力なコンピュータ、ハッキングの優れた才能を組み合わせれば、AES 暗号化を解読することは不可能ではありません。ただし、それには10〜18年かかると言われています。
つまり、実質的には、AES 256 を破ることはまずあり得ないと言ってもいいでしょう。もちろん、暗号化キーを誰とも共有しないことを条件としています。
暗号化では、暗号化キーを使用してプレーンテキストとデータを判読不能なテキストに変換します。その後、類似したキーを使用して暗号化されたデータを判読可能なテキストに復号化します。暗号化には対称キーを使う対称暗号化と非対称キーを使う非対称暗号化の 2 種類があります。
対称暗号化は暗号化と復号化に同じキーを使用するもので、非対称暗号化はデータの暗号化と復号化に異なるキーを使用するものです。それぞれに長所と短所があり、適した用途があります。
AES 256 は、能力の高い対称ベースの暗号化です。対称キーを使用することには、次のような利点があります。
セキュリティ侵害が発生すると、そのダメージは計り知れません。サイバー攻撃に見舞われた中小企業の 60% が6ヶ月以内にビジネスを閉じたという統計もあります。
ですが、システム侵害から廃業までの間には、次のような多くの要素が関与しています。
AES 256 暗号化を使っていれば、セキュリティ侵害が発生しても、侵入したハッカーにはデータを解読できず、侵害の拡散を防ぐことができます。暗号化により、セキュリティ侵害がデータ侵害につながる可能性が大幅に減少します。
たとえもしシステム侵害があっても、データそのものが暗号化で保護されていれば、コンプライアンス違反、データ盗難、ランサムウェア攻撃(バックアップは必須)の可能性が低くなります。
上述の通り、AES 256 は、4つの処理(SubBytes, ShiftRows, MixColumns, AddRoundKey)を 14回(最終ラウンドでは3つの処理)繰り返します。
ラウンド数10回と12回の AES 128 と AES 192 はどちらも能力が高い暗号化であり、2012年には、AES 128 の能力で十分なのではないか、AES 256 が必要なのかという議論もあったほどです。
ですが、2022年の今は、もはやそういった議論はなく、最高能力の AES 256 が推奨されています。今後もますます複雑化が見込まれる環境で、セキュアなファイル転送のインフラストラクチャを構築するには、最も安全な選択肢である AES 256 を使うべきです。
AES 暗号化は、ファイルセキュリティの分野で、おそらくファイアウォール以来の最も素晴らしいものです。しかし、AES 暗号化は単独では存在できません。AES 256 暗号化の優位性は、それが使われる環境とインフラストラクチャ次第で、活かされたり、無駄になったりします。
ハッカーは AES 256 アルゴリズムをブルートフォースでは破れないかもしれませんが、すぐにあきらめたりせず、できることがあれば何でも試そうとするでしょう。
つまり、AES 256 暗号化単独では限界があり、それを活かすためのデータセキュリティエコシステムが必要だということです。端的に言えば、マネージド・ファイルートランスファー (MFT) が必要だということです。
AES 256 と MFT との関係は、優秀なクォータバックと頑強なタイトエンドの組み合わせに似ており、AES 256 暗号化の優秀性を最大限発揮させることができるよう、MFT で次のような地盤固めを行います。
転送中と保存中のデータを保護するには、AES 256 暗号化とマネージドファイル転送 (MFT) の両輪が必要で、それは MOVEit を使用することで実現できます。
詳細については、MOVEit Transfer データシートをご覧ください。
Get our latest blog posts delivered in a weekly email.