暗号化についてあれこれ考えるのはやめましょう

私たちは暗号化技術の素晴らしさに夢中になりすぎて、データベース内に保存されているほとんどのデータは暗号化されていないことを忘れてしまいます。

一例として、暗号化制御に関する Skyhigh の分析では、クラウド サービス プロバイダーの 81.8% が SSL または TLS を使用して転送中のデータを暗号化しているものの、クラウドに保存されたデータを暗号化しているプロバイダーはわずか 9.4% であることがわかりました。 そのため、クラウド データベースや AWS S3 ストレージ バケットへの無制限のアクセスを提供している組織が増えており、悪夢が起こるのを待っている状態です。

今日のサイバー防御は、データ、コンピュータ ネットワーク、その他のデジタル システムを保護する暗号化アルゴリズムを解読するには、最も強力な従来のスーパーコンピュータであっても想像を絶するほどの時間がかかるという事実に大きく依存しています。
< https://it.slashdot.org/story/18/12/05/2342226/quantum-computers-pose-a-security-threat-that-were-still-totally-unprepared-for > より

この発言は議論の余地なく真実です。 問題は、暗号化ではデータ、コンピュータ ネットワーク、その他のデジタル システムが完全に保護されないことです。 転送中のデータと、運が良ければ保存中のデータも保護します。 重要なシステムのアクセス制御を強化します。 しかし、現実には、「ネットワーク」と「システム」がデータを処理し、ロジックを実行するためには、データをプレーンなテキストで表示できなければなりません。 組織は、デジタルののぞき魔よりも、保護されていない、パッチが適用されていないアプリケーションから受けるリスクの方が大きいです。

これが、侵害が継続的に増加している理由です。 データが転送中または保存中に暗号化されていないからではなく、アプリケーションと API が暗号化された形式でデータを処理できないためです。 暗号化されていない状態である必要があり、その時点で漏洩の危険にさらされます。 そして脆弱性は攻撃者を引き寄せます。

暗号化されていないデータとやり取りして操作するアプリケーションや API は、量子ベースの暗号を解読することよりも、データのセキュリティとプライバシーに対するより重大な脅威です。 それが彼らが頻繁に標的にされる理由の一つです。 F5 Labs による過去 10 年間の侵害の分析では、「侵害の 53% でアプリケーションが最初の標的でした。」 これらはデータへの最も簡単なルートであるだけでなく、ますます暗号化されるデータ パスの中で、データが暗号化されず、データを求める人がすぐに使用できる数少ない場所の 1 つでもあります。

今日、情報漏洩は驚くほど頻繁に発生しており、アプリケーションを通じて何百万ものレコードがデータベースから盗み出されたというニュースを目にするのは当たり前のことなので、私たちは情報漏洩に対してほとんど無関心になっています。 これは、暗号化の使用、つまり HTTP の代わりに HTTPS の使用を強制する取り組みにもかかわらず起こります。 これは、ブラウザが、データを「詮索好きな」目から暗号化するために使用されるアルゴリズムとキーの長さに関する暗号化標準を強制しているにもかかわらず起こります。

今日の「サイバー防御」が本当に暗号技術の強さに大きく依存しているのであれば、私たちは本当に困った状況に陥っています。 なぜなら、私たちのニュースフィードを悩ませ、受信トレイを詰まらせるデータの侵害や流出を防ぐのは、暗号化の強さだけでは不十分だからです。 それは、データの損失につながる攻撃を認識し、防止できる強さ、そしてますます重要になっているインテリジェンスです。

暗号化された悪意のあるコードは依然として悪意のあるものです。 アプリケーション認証システムに詰め込まれた暗号化された盗難資格情報は、依然として盗難資格情報です。 ミドルボックスを排除しても、脆弱な Web サーバーまたはアプリケーション サーバーがエクスプロイトを実行して貴重な裸のデータにアクセスするという脅威は排除されません。

アプリケーションや API を悪用する恐れのある攻撃がデジタル経済の中心に直接持ち込まれる場合、暗号化を強化する能力を称賛するだけでは不十分です。  デジタル資産 (アプリケーション) とそれらにアクセスするチャネル (API) を保護するには、強力な暗号化に加えて、インテリジェンス、ID、攻撃の検出を組み合わせた、より総合的なアプリケーション保護アプローチが必要です。