第10回:暗号化機能

OrangeLab. 運営チーム
作成日時: - 更新日時:
Avatar
ファイル転送において、情報漏洩(情報流出)やデータの改ざんは致命的!
通信を暗号化する機能「暗号化機能」についてご紹介します。

はじめに

こんにちは、株式会社メディアフォースの佐渡です。

ここ数年の間、世間では情報漏洩(情報流出)に関するニュースが大きく報道されています。

ファイル転送分野においても、特にインターネットを通じた転送では、データの送信者と受信者の間に第三者が介在してデータを盗聴されてしまうことで、情報漏洩するといったリスクがあります。また、盗聴だけでなく、データを改ざんされてしまうリスクもあります。

HULFTでは、そのような盗聴、情報漏洩、改ざんを防止するため、通信を暗号化する機能を提供しています。

第10回では、HULFTの「暗号化機能」についてご紹介します。
  • HULFTの暗号化方式について
  • 集配信の暗号キーが不一致だった場合の転送制御について
  • 集配信の暗号化方式が不一致だった場合の転送制御について

HULFTの暗号化方式について

HULFTには、どのような暗号化方式があるのでしょうか。まずは、暗号化方式の種類についてご説明します。

HULFTでは、以下の2 通りの方式でファイルの暗号化転送が可能です。
システム動作環境設定ファイルの [暗号化方式] (ciphertype) で、どちらの方式を利用するかを選択することができます。
  1. HULFT 暗号化方式
    • HULFT独自の暗号化方式です。最大鍵長160 bit レベルの秘密キー方式の暗号化を行うことができます。
    • [配信管理情報] と [集信管理情報] に同一の暗号キーを設定することにより、 HULFT独自の暗号化方式を利用してファイル転送を行います。
    • 配信側に暗号キーが設定されていない場合は、暗号化を行わず転送します。
    • HULFTの標準機能です。HULFT暗号・オプションがなくても利用可能です。
  2. その他の暗号化方式 (暗号出口ルーチン)
    • HULFT暗号よりも、強固な暗号強度をご希望のお客様向けの暗号化方式です。
    • 暗号化方式として、最大鍵長 256 bit 迄対応の AES 暗号オプション 及び カオス暗号化方式により高い処理性能と高い暗号強度を実現する C4S 暗号オプションをご提供しています。
    • 鍵長や暗号モードなどのパラメータについては固定の設定が内部的に指定されているため、任意の設定を行うことはできません。
    • AES暗号、C4S暗号のご利用には暗号オプションが別途必要となります。

■暗号化の単位について

暗号化有無について、ファイルID 単位で設定することができます。
ただし、暗号化方式は [システム動作環境設定] で設定するため、ファイルID ごとに利用する暗号化方式を変えることはできません。
そのため、ホストごとに方式を変えることはできません。

■暗号強度について

強度が一番強いのがAES暗号で、順にC4S暗号、HULFT暗号となります。

集配信の暗号キーが不一致だった場合の転送制御について

HULFTの暗号化方式についてはわかりましたが、暗号キーが不一致だった場合は、HULFTではどのように制御されるのでしょうか。
確認していきましょう。
■ 転送エラーにならない
配信側と集信側の暗号キーが不一致な場合や配信側のみ暗号キーが設定してある場合は、データを復号することができません。
第三者に暗号キーが知られてしまうことを防ぐため、転送エラーとならずに、暗号化された状態で集信するというフェールセーフな制御になっています。

システム構築時にテストを行う場合、「転送が終わっているから正常」と判断するだけではなく、後続ジョブにて集信ファイルが正しいかどうか確認する仕組みを作成したり、直接ファイルを開いて確認するなどをご検討ください。

集配信の暗号化方式が不一致だった場合の転送制御について

海外企業や他業種と転送をやりとりするようなシステムの場合、相手先と自社のHULFTの暗号が不一致なケースが出てくるかと思います。
その場合、どのように対処すればよいのでしょうか。まずは、暗号化方式が異なった場合、HULFTでどのような制御になるか確認していきましょう。
■ 転送エラーにならずに、HULFT暗号で転送される(集配信の双方がVer.7以降)
第三者に暗号化方式が知られてしまうことを防ぐため、転送エラーとはならずに、HULFT暗号でファイルを転送するというフェールセーフな制御になっています。
なお、どの暗号化方式が利用されたかを確認することはできません。そのため、実際にHULFT暗号で転送していることは気付きにくいのでご注意ください。


■ 他のバージョンの組み合わせについて
集配信のバージョンによって、制御が異なります。詳細は下記を参照ください。

配信側ホスト集信側ホスト
バージョン暗号化方式
Ver.7.1以降Ver.7.1未満
HULFTC4SAESHULFTC4SAES
Ver.7.1以降
HULFT
C4S
AES ×
Ver.7.1未満
HULFT
C4S ×
AES

○:指定した暗号ロジックを使用して転送可能
△:HULFT 暗号オプションの暗号化方式を変更して転送可能
×:暗号化方式の不一致を検知できずにデータ化けが発生
-:対象のオプションが存在しないため暗号化不可

■ 構築前に、相手先と自社のHULFTの暗号が不一致だったことが発覚した!どう対応したらいいの?
上記表の方式が要件を満たさない場合は、集配信で同じ暗号化方式を利用できるように構築しましょう。
前述で記載したとおり、ホスト別に暗号化方式を変更することはできないため、暗号化方式ごとに複数のHULFTを導入していただく必要があります。

まとめ

いかがでしたでしょうか。最後に、暗号化機能を利用したときのポイントをお伝えします。
  • 集配信で同じ暗号化方式を利用しましょう。
  • 集配信の暗号キーが不一致な場合、エラーになりません。
  • 暗号化方式が異なる場合、HULFT暗号での暗号化方式に変更され、エラーになりません。
  • 暗号化してファイル転送を実施した場合、配信ファイルのサイズが大きくなることはありません。
  • HULFT 暗号オプション(C4S)とHULFT 暗号オプション(AES)の共存について
    Ver.8の場合
    HULFT 暗号オプション(C4S)とHULFT 暗号オプション(AES)は共存して動作させることはできません。
    Ver.7の場合
    暗号オプションを利用するためには、 HULFT に追加でインストールを行う必要がありますが、単一の HULFT に対して、複数の暗号オプションを利用することはできません。
    よって、暗号オプション (C4S) と暗号オプション (AES) を共存させるには、それぞれを導入するために、複数の HULFT を導入していただく必要があります。
次回は、下記要件をベースとした運用例をご紹介します。
  • 本社から全国の支社へ昨年度の売上実績の集計結果を送る例
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています

コメント