NASやクラウドに散在した重要な情報を暗号化せずに保管しておいて大丈夫か？

　PC上のデータがさまざまな場所と同期されるようになったことは、便利な反面、それだけ管理の目が届かない可能性があるということでもある。これだけは！　という大切なデータは暗号化して、万が一の場合に備えておくことも検討しよう。

機密情報が拡散していないか？

　普段、執筆する原稿のデータをNAS（Synology Cloud Station Drive）やOneDirveと同期するようになってすでに数年。

　今ではNAS上の共有フォルダとOneDriveも同期させているので、PCに保存したデータは、今やローカルのストレージに加え、自宅のNAS、OneDriveと、同じファイルが3カ所に存在するようになった。

　PCの不具合などで、書きかけの原稿が失われるといった悲劇から解放されたことはよかったが、ここ最近、こんな状況を違う意味で「怖い」と感じるようになってきている。

　仕事柄、秘密保持契約を結んだうえで、発表前の製品の資料を手にしたり、社内向けの資料を参照したりする機会があるが、こういった資料も、何気なく普段と同じデータ用フォルダーに保存しておくと、同じようにNASにもOneDriveにも同期されていたりする。

　幸いなことに、今のところ、機密情報が含まれたフォルダーをうっかり共有、なんて経験はないため、単に複数の場所にデータが保管されているだけにすぎないが、まれに送られてくる「前のメールは忘れてください」などという、うっかりミスの訂正メールなどを目にすると、そこに共有用URLが記載されており、自動的に同期された機密情報がうっかり含まれていたとしたら……、などと考えると、ちょっとどころではなく怖くなる。

　データがさまざまな場所と同期され、どこからでも、どの端末からでもアクセス可能になるということは、それだけ外部との接点が増えるということでもある。うっかりミスで共有してしまう危険性も高くなるが、最近の巧妙化するセキュリティ被害なども考慮すると、”重要なデータが第三者の手に渡った後”のことも、しっかりと考えておく必要がありそうだ。

意外に難しい同期と暗号化の共存

　というわけで、最近、試してみたのが「Viivo」という暗号化ソリューションだ。国内ではエクセルソフトが代理店をしているが、PKZIPでおなじみのPKWAREが開発したソフトウェアだ。

PKWAREのViivo。ファイルを自動的に暗号化/復号できるソフトウェア

暗号化されたファイルは.viivoという拡張子になる。ダブルクリックすると自動的に復号されてファイルが表示される

　PCにインストールしてファイルを自動的に暗号化できるソフトウェア、というのは決して珍しい製品ではない。また、クラウドストレージに保存するデータのプライバシーを守る目的で開発された「Cloudfogger」などの製品も存在しており、この手の製品の選択肢は、探すとそれなりにある。

　しかし、クラウドとの同期に対応していたとしても、NASとの同期に対応している製品というのは、実はあまり多くない。実際、前述したCloudfoggerも、SynologyのNAS用の同期ツール「Cloud Station Drive」との相性が悪く、同期対象のフォルダ内に暗号化対象のフォルダを作成すると、同期と暗号化の処理がうまく連携できず、ファイルを更新する度にごみファイルが生成されてしまう。排他処理がうまく機能していない印象だ。

　しかし、前述したViivoは、Cloud Station Driveとの共存でも不具合は見られず、筆者の環境では問題なく動作している。QNAPやNETGEARなど、ほかのNASの同期ソリューションとの共存については確認していないが、Viivoは個人ユーザーであれば無料で使用できるソフトウェアなので、実際に同期と暗号化が同時にできるかを試してみるといいだろう。

cloudfoggerでは、SynologyのNASと同期させるとゴミファイルが生成されてしまう

NASの暗号化機能ではなくクライアントで暗号化する理由

　ちなみに、一般的なNASには、ドライブや共有フォルダを暗号化する機能が搭載されている。この機能を利用すればいいのではないか？　と思う人もいるかもしれないが、今回のViivoのようなソフトは、これとは用途が異なる。

　ドライブや共有フォルダの暗号化は、どちらかというと盗難、紛失対策向けの暗号化ソリューションとなる。仮にNAS上のディスクが第三者の手に渡ったとしても、データが暗号化されているため内容を保護できる。

NASにもボリュームやフォルダの暗号化機能は搭載されているが、どちらかというと盗難対策のためのものとなる

　しかし、例えば、この暗号化したドライブ、もしくは共有フォルダが複数のユーザーで共有されている場合（そもそもNASは共有するためのものだ）、当たり前だが、ネットワーク経由でアクセス可能なほかのPCでもそのデータは閲覧可能だ。

　この場合、自分がデータの取り扱いに注意したとしても、ほかのユーザーがうっかりデータを別の場所にコピーしたり、共有したりする危険は回避できない。また、ネットワーク上のいずれかのPCがマルウェアに感染すれば、そこからNAS上のデータを盗まれる可能性がある。

　一方、Viivoのようなクライアントサイドでの暗号化は、データが特定のPC（特定ユーザーのカギ）で暗号化されるため、暗号化されたデータが共有フォルダにあったとしても、ほかのPCからは復号用のソフトウェアとカギがない限り、データを参照できない。

　共有フォルダに保存されているデータが第三者の手に渡ったとしても、同様に復号できない限り、データを参照できないため、結果的に内容を保護できる。

　考え方はVPNと同じだ。パブリックな場に暗号化技術を持ち込むことで、あたかもプライベートな世界を作り上げることができるというわけだ。

　もちろん、この方法とて万全とは言えない。懸念される危険としては、たとえば、ViivoをインストールしたPCそのものが乗っ取られた場合がある。この場合、シームレスにデータを暗号化・復号するというしくみ上、画面キャプチャなどから、データの内容が外部に漏れる可能性は否定できない。

　しかし冒頭でも触れたように、現状、考慮すべき問題は、重要な情報がいろいろな場所に存在している状況にあることだ。それをそのまま放置しておくわけにはいかないので、暗号化によって、データがどこにあったとしても、自分だけしか開けないようにしておくことが大切ということになる。

　ちなみに、これは余談だが、Viivoはデータを暗号化すると同時に圧縮も実行する。このため、ファイルによっては暗号化によってデータサイズを少なくし、NASやクラウド上のストレージ消費量を節約できる。JPEGやMP4、docxなど、もともと圧縮されたデータはほとんど変わらないが、容量の節約に一役買うのも、このソリューションのメリットといえるだろう。

暗号化と同時に圧縮される。JPGなどはほとんど変わらないがBMPなどは大幅に容量を節約できる

2つの方式から選択

　使い方は簡単だ。Viivoの製品情報サイト（https://www.viivo.com/）からアプリをダウンロードし、PCにインストール。ウィザードに従ってアカウントを作成すれば、利用準備が完了する。

　設定のポイントとなるのは、2種類ある暗号化の方式だ。Viivoでは、データを直接暗号化する方法（非暗号化データは残らない方法）と、暗号化する前のデータを残す方法のどちらかを選択できる。

Viivoの画面。暗号化するフォルダを指定すると、そこに保存したファイルが自動的に暗号化/復号される

フォルダは2つの形式から選択可能。フォルダのデータを直接暗号化するか、非暗号化データを残すかから選択できる

　前者はフォルダに保存したデータがそのまま暗号化されたデータに置き換わるのでイメージしやすいが、後者はしくみが少々複雑だ。

　後者では2つのフォルダを使用する。たとえば、1つは通常のデータを保存するフォルダだ。たとえば、「ドキュメント」フォルダ（c:\Users\ユーザー\Documents）の配下に「重要」などのフォルダを指定し、普段のデータはここに保存するようにする。

　もう1つは暗号化するフォルダだ。OneDriveやNASの同期対象フォルダの配下に、同様に「重要」などのフォルダを作成し、ここを暗号化対象のフォルダとして指定する。

　この場合、アプリケーションからデータを「ドキュメント\重要」に通常のデータを保存すると、Viivoが自動的にそれを検知し、暗号化すると同時にファイルを同期対象の「重要」フォルダへとコピー（これも同期）する。

　これにより、暗号化されたファイルが生成されるので、今度はOneDriveやNASの同期アプリが、ファイルをクラウドやNASに同期させるというイメージだ。

設定時に表示される暗号化と同期のイメージ（後者の場合）。「Documents\重要」に保存したファイル（非暗号化）が、Viivoによって暗号化されると同時に「OneDrive\重要」に同期され、OneDriveアプリによってクラウドと同期される（NASの場合も同様）

　前述したようにViivoでは、クラウドストレージやNASの同期クライアントとの併用が問題なくできるため、前者、後者どちらの方法でも利用可能だ。

　前者はセキュリティを確保する目的でクライアント上のデータも含めすべて暗号化したい場合、後者は、どちらかというとプライバシーを保護するためにクラウド上に暗号化したデータを保管したい場合の方法といえる。後者は、セキュリティレベルは落ちるが、カギの喪失など、万が一、暗号化したデータが復号できなくなった場合でも非暗号化データを手元に置いておけるメリットもある。

暗号化したまま共有も可能

　このように、Viivoを利用すれば、ファイルを暗号化した状態でクラウド上やNAS上に保管することが可能となる。

　暗号化したデータは、基本的に自分だけ（正確には自分のアカウントが登録されたViivoクライアントをインストール済みの機器だけ）しか参照できなくなるが、暗号化したまま、ほかのユーザーと共有することも可能だ。

　今回、筆者の目的は、うっかり共有などで第三者の手にファイルが渡っても内容を見られないようにするためなので、この共有機能を使うことはないと思うが、一応、紹介しておくと、OneDriveやNASのファイル共有機能などを利用して暗号化されたファイル（.viivo拡張子）にアクセスするためのURLなどを発行し、ファイルを共有する。

　その後、Viivoの管理ツールから、ファイルを送信した相手のメールアドレスを指定して、そのファイルへのアクセスするための許可を与える（ファイル単体ではなく、暗号化設定したフォルダにあるすべてのファイルを復号できるカギである点に注意）。

ユーザーを追加することで、ほかの人と暗号化されたファイルを共有することも可能

　ファイルを受け取った相手は、当然、そのままでは「.viivo」ファイルを開けないので、Viivoのサイトから同様にクライアントソフトをインストールし、自分のメールアドレス（許可を与えたメールアドレス）でアカウントを作成する。

　この状態で、受け取ったファイルを開くと、自動的にViivoクライアントが同社のサーバーに問い合わせを実行し、所有者が発行したファイルを復号するための共有用カギをダウンロードする。これによりファイルを復号して開くことができるというわけだ。

　Viivoをインストールし、アカウントを登録する手間はさほどかからないが、相手にこれを強要するのはあまり現実的ではない。社内のメンバーや家族などを対象に共有したい場合の方法となるだろう。

　なお復号については、PCだけでなく、Mac、iOS、Andorid用のクライアントも用意されるため、スマートフォンなどでもデータを参照できる。自分で暗号化したファイルに関しては、Viivoを登録したときのアカウントを使って各端末からサインインするだけでシームレスに復号できるので、手間はかからないだろう。

Android向けのアプリもあり、NASやクラウドストレージ上の暗号化されたデータも開くことが可能

メールなどで添付されたファイルもアプリで復号して表示できるうえ、逆に暗号化して添付することもできる

「これは」というファイルの保存用に

　以上、NASやクラウドとの同期機能とも併用可能な暗号化ソリューション「Viivo」を紹介したが、実際に使ってみると、しっかりと暗号化でデータを保護できるわりに、暗号化や復号に時間がかかることもなく、シームレスにファイルを扱えるようになっており、なかなか使い勝手はいい。

　ただ、暗号化の場合、復号できなくなるという万が一の事態も考慮しておく必要があるため、ローカル、クラウド、NASに保存するデータを「すべて」暗号化するという使い方は慎重に検討する必要がある。

　各種アカウントのメモやマイナンバーなどの情報などの機密情報、さらには自分に万が一のことがあったときに、絶対に人に見られたくないデータなど、「これは」というデータの暗号化に限定するといいだろう。

　しっかりと暗号化しておけば、そういった重要な情報、見られたくないデータと言えども、クラウドのようなパブリックなストレージや共有前提のNASに安心して保管しておくことができる。

　しかしながら、実際に使ってみて感じるのは、NASの同期アプリにこの機能が統合されてほしいことだ。PCやスマホのデータを同期するアプリが暗号化機能も搭載してくれれば、こんなに複雑なことをしなくて済むようになる。

　クラウドストレージ陣営は、おそらくデータの暗号化に積極的になることはないだろう。そう考えると、クラウドストレージに対するNASのメリットにもなりそうなので、メーカーにはぜひ検討していただきたいところだ。