たった1度の情報漏えいが引き金となり、これまで築き上げてきたものが一気に失われる場合がある。知的財産や機密性の高い顧客情報が盗まれれば、被害は連鎖的に広がる可能性がある。多額の金銭的損失に加え、ブランド価値の深刻な毀損を招き、企業の将来そのものを脅かしかねない。

IBM社の「2025年データ侵害のコストに関する調査レポート」によると、情報漏えいの被害額は平均で約450万ドル（7億円相当）に達する。さらに、流出したデータの種類によっては、被害規模がその何倍にも膨らむ可能性がある。

こうした調査結果を踏まえると、データの暗号化はもはや必須と言えるだろう。実際、2024年の調査では、87%の企業が暗号化への投資を拡大する方針を示している。まだ十分な対策に着手できていない企業は、なぜ対策が遅れているのか自問する時期に来ているだろう。

暗号化が必要な理由

暗号化は、平文データを判読できない形式に変換することで、保管中や転送中を問わず、機密情報を保護する仕組みである。暗号化が求められる理由は数多くあるが、主な理由として以下が挙げられる。

リモートワーク

米国では、従業員の約4分の1 が少なくとも部分的にリモートワークを取り入れている。そのため、リモートワークに使用するツールや、それらを介して保存・閲覧されるデータはリスク要因となり得る。個人用のパソコンやデバイスは、社内で使用しているものと比べて安全が確保されていない可能性がある。

データの爆発的増加

世界中の企業が、これまでにないペースで多くのデータを生み出すようになった。2025年には173ゼタバイトものデータが生成されると見込まれており、盗まれて身代金目的に使われるリスクや、誤って流出するリスクも高まっている。顧客の個人識別情報（PII）や機密の知的財産、財務情報、M&A計画が流出すれば、深刻な影響が生じる可能性がある。さらに、機密情報を含む可能性のある膨大なデータを必要とするAIや大規模言語モデル（LLM）の発展が、データの爆発的増加を加速させている。

デバイスの紛失や盗難

ハイブリッドワークが普及するにつれて、従業員がノートパソコンやタブレットなどのモバイル機器を持ち運ぶ機会が増えた。これらの機器は、紛失や盗難のリスクにさらされており、適切な保護がなければ、機器に保存されたデータや機器経由でアクセスされる情報が流出する恐れがある。

サードパーティ（第三者）由来の脅威

攻撃者は企業のサイバー防御を突破する手口を高度化させている。米国だけでも2024年に3,100件を超える個人情報漏えいが発生し、13億人以上の被害者に通知が送られた。

従来のセキュリティの限界

盗難や推測、フィッシングで入手された認証情報を使えば、従来の「境界型防御」は以前にも増して容易に突破されるようになっている。ベライゾン社が発表した調査によると、2024年に発生した情報漏えいのうち、なりすましによる不正アクセスは全体の22%（5分の1）を占め、フィッシングは16%であった。インフォスティーラー（情報窃取型マルウェア）も深刻な脅威だ。別の調査では、2024年に侵害された32億件の認証情報のうち75%（21億件）がインフォスティーラーによって盗まれたとされている。

ランサムウェア

暗号化技術は攻撃者の手段としても使われており、ネットワーク管理者は、増加するランサムウェアやデータを人質にとる脅迫への対応に追われている。ベライゾン社の調査によると、2024年に発生した情報漏えいのうち、44%でランサムウェアが用いられ、前年比で37%増加した。暗号化ソリューションは、攻撃者によるロックアウト（アクセス不能化）自体は防げないが、事前にデータが適切に暗号化されていれば、仮に盗まれても攻撃者はそのデータを利用できない。AIを悪用したランサムウェアの拡大もあり、包括的なデータ保護施策の重要性は一段と高まっている。

安全性の低い通信

世界ではエンドツーエンドで暗号化されたメッセージングプラットフォームが広く使われているが、多くの企業では依然としてメールが主流だ。残念ながら、メールはセキュリティを前提に設計されたものではなく、エンドツーエンド暗号化が施されていない場合、盗聴や傍受の標的になりやすい。攻撃者から機密情報を守るには、送信者の端末から受信者の端末に届くまでメールの内容を判読不能にする暗号化は欠かせない。

内部脅威

ベライゾン社の調査によると、2024年に発生した情報漏えいの18%は社内の関係者が関与していた。EMEA（ヨーロッパ、中東、アフリカ）では、その割合が29%に上っている。多くのインシデントに悪意はなく、不注意によるものだったが、コインベース社の事例のように、悪意ある内部犯行の脅威が常に存在することも忘れてはいけない。

データセキュリティの不備が招くコスト

企業の機密情報が攻撃者の手に渡ってしまった場合、以下のような被害が発生する。

• 多額の金銭的損失：IBM社は、調査および報告対応、規制当局や被害者、ならびに第三者への通知、事後対応、事業損失などを代表的なコストとして挙げている。
• ブランド毀損：顧客の信頼を得るのは容易ではないが、失うのは簡単。シスコ社の調査では、回答企業の94%が「データを適切に管理していない企業とは取り引きをしない」と答えている。
• 規制対応の負担：DORA、NIS2、GDPR、HIPAA、CCPA、PCI DSS 4.0といった規制や標準では、何らかの暗号化対策が求められている。

また、サイバー保険の観点でも、データ保護への取り組みは欠かせない。強力なデータ暗号化を導入していない場合、保険が適用されなかったり、保険料が引き上げられたりする可能性がある。

どのような暗号化が適切か

暗号化とは、特定のアルゴリズムと鍵を用いて平文を判読不能な形式に変換する手法だ。AES-256のような実績ある強力なアルゴリズムを採用した製品を選ぶことが推奨される。ただし、最終的には自社の要件に合ったソリューションを選ぶことが重要だ。例えば、データベースやクラウド環境向けに設計された暗号化製品も存在する。

フルディスク暗号化は、広く用いられているデータ保護ツールの1つだ。ノートパソコンやデスクトップパソコン、サーバーのシステムディスク、パーティション、ドライブ全体を暗号化する。製品選定にあたっては、暗号強度（AES-256）、異なるプラットフォーム間のサポート（Windows／macOSなど）、柔軟なライセンス体系、単一の管理者ポータルによる集中管理、およびエンドユーザーへの運用負荷の最小化といった点を考慮したい。

自社の要件に応じて、以下のような機能を備えた暗号化ソリューションを検討するとよい。

• ファイル、フォルダー、仮想ディスク、アーカイブ：共有ディスクや暗号化されていない環境に機密情報を保存する場合に役立つ（例：デバイスの共有ポリシーを設けている場合）
• リムーバブルメディア：USBメモリーなどの外部記憶装置に保存されたデータを、盗難・紛失による漏えいから保護する
• メールと添付ファイル：送信中のデータを暗号化し、想定された受信者のみが内容を閲覧できるようにする

ESET社のソリューションのように、集中管理機能を備えた暗号化製品では、上記の多くの機能が一元的に提供されている。

まとめ

データ暗号化は、目的に即したセキュリティ戦略の主要な防御策の1つである。併せて留意すべき点は、暗号化はほかの多層防御と組み合わせてこそ効果を発揮することである。すべてのデバイスを対象としたセキュリティソフトの導入、多要素認証（MFA）を含む強力なアクセス管理、脆弱性とパッチの管理、ファイルサーバーやクラウドアプリケーションの保護、およびエンドユーザー向けセキュリティ研修といった取り組みは、企業の安全を支える基盤となる。

脅威が継続的に高まる今、EDR／XDRによる事前対応型の防御も検討に値する選択肢だ。エンドポイントやメール、クラウドに潜む脅威を検知し、リアルタイムで脅威ハンティングと対応を行える。人員が不足しがちな企業では、負荷の高い作業を外部に委託できるMDR（Managed Detection and Response）ソリューションが有効である。世界レベルのセキュリティ研究や脅威インテリジェンスに基づく監視・検知・対応のサービスを活用できるのは大きな強みだ。