高度なセキュリティ技術 一覧

ハウジングホスティングサービス

企業には、インターネットのホームページ、電子メールなどを利用した情報の発信は欠かせません。しかし、インターネットを実際のビジネス活動に有効に活用すればするほど、専用回線などの設備投資やシステム管理者の育成・雇用のためのコストが大きくなります。こういったジレンマを解決してくれる新しいアウトソーシングサービスが、ハウジングやホスティングです。

ハウジングやホスティングはセキュリティ対策に有効

「ハウジングサービス」とは、ユーザーが用意したサーバーをベンダーのハウジングセンターに設置し、ベンダーの接続回線だけを借り受けるものです。つまり「場所貸し」です。必要なハードウェアやソフトウェアはユーザーが用意し、運用・管理もユーザーが行います。

一方「ホスティングサービス」は、ベンダーが用意したサーバーと接続回線を借り受けるもので、1 ユーザーが1 台のサーバーをまるごと借りるタイプと、複数のユーザーで1 台のサーバーをシェアするタイプがあります。ホスティングサービスでは、サーバーやソフトウェアの管理・運用をすべてベンダーが処理しますので、ユーザーはコンテンツを用意するだけです。面倒なことはすべて専門家が受け持ってくれます。さらに1ユーザー1サーバーのホスティングでは、cgiスクリプトの利用などユーザーの希望に応じたきめ細かな設定が可能です。

ハウジングやホスティングを利用する最大のメリットは、ベンダーが用意した太い接続回線を、自前で専用回線を引くよりも安価に利用できる点にあります。ホスティングを利用すれば、サーバーを運用するための物的・人的資源を抑えられます。ホスティングサービスの利用は、セキュリティ対策においても大きなメリットがあります。

セキュリティ情報の収集、クラッキング対策、ファイアウォールの運用・管理、セキュリティホールの修復、ソフトウェアのバージョンアップ、アクセスログの収集・解析などのセキュリティを施すためには多くの物的・人的資源を必要としますが、これらの対策をすべて専門家であるベンダーが行います。ベンダーの回線を利用することで、サーバーダウンの心配がなくなることを考えると、ホスティングサービスの利用はセキュリティの要素である「可用性」「保全性」を大幅に向上させることになります。

企掛こよってサービス内容はいろいろ

最近ではホスティングサービスを提供する企業が、雨後の筍のように増えてきました。接続回線の伝送速度のよさを売りにしたインターネットプロバイダや、ウェブコンテンツの作成までを含めたサービスを展開するコンテンツプロバイダ、LAN構築の延長線上のサービスとしてホスティングサービスを提供するSIベンダーなど、さまざまな企業がこの分野に進出しています。

特に最近は、インターネット上で種々のアプリケーションをサービスとして提供するアプリケーションサービスプロバイダASPが注目されています。インターネットの進展により、現在ではワードプロセッサや表計算ソフト、企業の基幹業務を担うアプリケーションまでがウェブ化されています。このようなソフトウェアをクライアントにインストールせずに、ウェブブラウザだけですべての作業を行えるアプリケーションをホスティングするベンダーがASPです。今後は、すべてのアプリケーションがインターネット上のサービスへ移行する傾向にあります。

借用できるベンダーの選択が大切

ホスティングの利用は可用性・保全性をを向上させますが、もうひとつのセキュリティの要素である「機密性」についてはどうでしょうか○ホスティングを利用する場合、情報資源はすべてベンダーの管理下に置かれます。なかには、きわめて重要な基幹情報が含まれているかもしれません。しかも、情報資源へのアクセスは、オープンなインターネット回線を通じて行われます。

自社のインフラの一部をベンダーに任せてしまうのですから、機密性やサービス内容の観点からも、ベンダーの選択には十分に気をつける必要があります。満足のいくサービスを受けられない場合には、サービス内容の変更やベンダーの乗り換えも検討すべきです。変更や乗り換え、撤退が容易なのも、ホスティングサービスの魅力のひとつです。


アカウントの一元管理

いくらセキュリティのためでも、システムごとに何種頼ものユーザーID/パスワードを使い分けなければならないのでは混乱していまいます。シングルサインオンを導入すると、ユーザーは複数のID/パスワードを入力する必要がなくなり、管理者にとってはアカウント管理の負担が軽減します。

ユーザーID/パスワードがどんどん増えていく

ある程度のレベルのセキュリティ村策をすすめていくと、今まで見えなかった問題点が顕在化してきます。それは、電子メールやグループウェア、人事情報システムや経理システムにアクセスする際に、ユーザーID/パスワードの入力を要求するのは、セキュリティの確保のためには必要不可欠です。
しかし、ネットワークアプリケーションの数が増えてくると、ユーザーは複数のID/パスワードの使い分けが必要になります。システム管理者にとって、アプリケーションごとに分散するユーザー情報を管理するのは負担です。「ユーザーIDとパスワードによって安全性は高まったものの、利便性が低下してしまった。安全性と利便性を両立させるための、何かよいしくみはないだろうか?」と、悩むところです。

アカウントを一元管理するシングルサインオン

「シングルサインオン」とは、1回のログインでネットワークのすべてのリソースにアクセスできる技術です。ユーザー情報を集約・管理し認証処理を一元化するため、ひとつの認証キーを集中的に管理するだけで、セキュリティが向上するメリットもあります。しくみ自体は難しいものではありません。

現状では、ユーザー情報を一元管理している企業は少ないかもしれません。しかし将来的には、単なるサーバーのログイン管理だけではなく、シングルサインオンを中心としたコンテンツレベルのアクセス制御やログ監視、暗号鍵の管理など、より高度なサービスが提供されるようになるでしょう。そうなれば、ネットワーク仝利用者の一元的なアクセス制御やログ監視が可能になることから、全社的なレベルでセキュリティ強度を高める効果が得られます。
そのためにもこれからのシステム開発は、シングルサインオンを中心としたグループウェア、ワークフロー、ナレッジシステムなどの開発が重要な課題となります。また、ディレクトリサービスと各種サーバーシステムを連携させた認証システムの共通化を行い、指紋認証やICカードなどの本人認証システムを採用した、より高度なシステム構築が必要になります。


ソフトウェアの違法コピーを防止する

企業内違法コピーは、企業の根幹を揺るがしかねないセキュリティ上の重大な問題です。違法コピー対策は、けっして難しくはありません。ごく一般的なソフトウェア管理を行えば、そのほとんどは防止することができます。ただ、やっていないだけなのです。

違法コピーは企業の存続と経営の根本に影書を及ぼす大間悪

ソフトウェアの企業内違法コピーが問題になっています。ひとたび違法コピーが明るみにでると、社会的信用の失墜、企業倫理、社員のモラルなど、企業としての根幹をゆるがすことになります。

特に本来、著作権意識が高くなくてはならない、ソフトウェアベンダーやリセラーが違法コピーをしていたら致命的です。倫理面での不祥事に対するリスクは極めて大きく、情け容赦のないものです。そういった意味で、違法コピーはセキュリティの重要な問題といえます。

この企業内違法コピーは、適切なソフトウェアの管理をしっかり行えば、そのほとんどは防止することができます。ただ単にやっていないだけなのです。ソフトウェアの管理をまだ実施していない企業は、今すぐ始めることが重要です。かならずしも特殊な違法コピー対策ツールを導入する必要はありません。ごく簡単なガイドラインや管理台帳を作成するなどして、適切な管理をしていれば十分です。通産省の「ソフトウェア管理ガイドライン」も参考になるでしょう。

ソフトウェアライセンスの形態

ソフトウェアのライセンスを管理するうえで、どのソフトウェアがどのようなライセンス形態になっているのかを知ることは重要です。そのため、ソフトウェア添付の使用許諾契約書を読まなければなりません。どの使用許諾契約書も、同じような内容ですが、ポイントさえ押さえれば大丈夫です。
ライセンス契約の形態は無限です。より適切でリーズナブルなライセンス形態を選択するのが、ライセンス管理と経費削減の最大のポイントです。

ライセンス管理の方法

ライセンス管理は、一般に「調査」から「管理」へのステップを踏んで行われます。ソフトウェアがない企業は多分存在しないでしょうから、まず調査を行いましょう。ライセンス管理は、たんに違法コピーを未然に防ぐだけではなく、

  • 会社資産の把握
  • 社内標準ソフトウェアの明確化
  • ソフトウェアのバージョンの統一化(ファイルの互換性の確保)
  • 計画的なソフトウェアの購入
  • ウィルス感染の防止(出所不明のソフトウェアの排除はウィルス撲滅の第一歩)

などの副次的効果もあります。管理台帳は人事異動、組織変更のたびにメンテナンスが必要です。社内規定の制定(セキュリティポリシーに含めても構いません)や誓約書の提出も重要ですが、絵に措いた餅にしないためにも、定期的な監査が必須です。社員の私物ソフトウェアの使用を認めるか否かについては、セキュリティ観点から十分に検討する必要があるでしょう。


ハッカーからの攻撃に備える

インターネットの普及とともに企業ネットワークをターゲットにした侵入事件が多発していますが、不正なネットワークアタックから企業ネットワークを保護するには、脆弱性を検査し、適切なセキュリティ対策が必要です。

ペネトレーションアタック

インターネットに接続した企業ネットワークの安全性は、ハッカーと同じ手法でハッキングしてみなければ、セキュリティホールの問題箇所を正確に検証できません。

そこで、ハッカーと同じ手法で擬似的にハッキングテストを行うペネトレーションアタック(貫通テスト)と呼ばれる検査手法があります。ペネトレーションアタックによるセキュリティチェックを行えば、企業ネットワークの脆弱性について正確に検証できます。

検査ツール

実際に企業ネットワークのペネトレーションアタックを行うには、検査ツールとして最も多くの企業で採用されてるインターネットスキャナがあります。これを利用すれば、100通り以上の疑似攻撃を各種ネットワークデバイスや個々のオペレーティングシステムに対して自動的に行い、内在するさまざまなセキュリティの弱点について検査・分析します。

またインターネットスキャナが発見した各種セキュリティホールについては、改善策をレポートとして出力します。出力されたレポートの指示に従い、セキュリティホールを塞ぐように対処すれば、安全性の高いネットワークシステムを構築できます。

検査サービス

検査ツールを使った疑似的なハッキングテストは、だれでも気軽に使えるという代物ではありません。特別な専門知識が必要なほか、検査ツールの取り扱いについても十分留意しなければなりません。

これは、検査ツールそのものがハッキングツールとしても利用される危険性が高いからです。そこでこれらハッキングテストについては、専門のスタッフによるセキュリティサービスベンダーに依頼するのが最も適切です。
セキュリティサービスベンダーでは、さまざまなセキュリティ検査ツールを使い、企業ネットワークの脆弱性や弱点などについて、第三者の立場で網羅的に監査してくれます。

コンピューター緊急対応センター

ハッキング対策の基本は、検査ツールの使用以外にもウイルス対策と同様に、最新のセキュリティホールに関連した情報を収集し、適切な対策を施すことが重要です。
ハッキングに関する最新の情報は、財団法人日本情報処理開発協会に設置されている「コンピュータ緊急対応センター」にアクセスすれば入手可能です。不正侵入に関する情報の提供のほか、ハッキングされた場合の対策についても相談に応じてくれます。


データを安全に保護する

電子メールのメッセージやファイルなどのデータを安全に保護するためには、暗号化製品の導入を検討する必要があります。セキュリティベンダーからさまざまな暗号化製品が提供されていますが、自社のセキュリティポリシーに基づいて製品を選択することが重要です。

メールのメッセージを暗号化するには

電子メールに秘匿性はほとんどないといわれます。電子メールは、相手先に届くまでにいくつものサーバーを経由します。この経路上で、見ず知らずのネットワーク管理者はいとも簡単に内容を盗み見することができます。企業のシステム管理者は、サーバーにあるメールをいつでも自由に覗き見(検閲)することができます。

米マイクロ‘ソフトの反トラスト法訴訟では、電子メールが証拠書類として裁判に提出されました。公表されて困る情報は、会社のメールでやりとりすべきではありません。電子メールは、手紙(封書)ではなくはがきと同じようなものだといわれますが、簡単に読めてしまうので、機密事項は極力メールには書かないのがベストです。

そこで登場するのが、メール暗号化ソフトウェアです。PGPやS/MINEといったツールでメール自体を暗号化して送受信することにより、メッセージの盗聴リスクを回避することができます。最も多く利用されているPGPは、暗号と認証の機能を持ち合わせています。動作環境はWindows 、UNIX 、Macと幅広く、オープンな暗号ツールとして多くのユーザーが利用していますが、米国の暗号技術輸出規制に抵触するため、国際版と北米版の2種類が存在します。

PGPでは、メールの内容を送信相手の公開鍵で暗号化して送信します。このメールは、相手方が管理している秘密鍵とパスフレーズ(パスワード)で復号しなければ読めません。したがって、あらかじめメールを送る前に相手方の公開鍵を入手しておく必要があります。
PGP の暗号強度はビット数によって異なります。ビット数が増えるにつれて暗号化・復号化に要する時間は増えますが、暗号強度は高くなります。通常は1024ビット以上の鍵が使用されます。S/MINEは、暗号化したメッセージをMINE形式にして転送する暗号方式です。

ファイルの暗号処理中製品の導入とセキュリティポリシーの策定

作成中の文書ファイルを暗号化するには、ワードや一太郎、エクセルなどのオフィスアプリケーションに装備している暗号機能を利用すれば簡単に暗号化できます。ただし、グループ共通で利用する共有ファイルの暗号処理は、専用のソフトウェアとセキュリティポリシーが必要になります。

暗号処理製品を導入する前に必ず運用ルールの基本となるセキュリティポリシーの策定が必要です。これは、運用ルールが未確定の状態で暗号処理製品を導入した場合、共通の鍵管理で矛盾が生じやすくなり、大切なデータを復号化できなくなったり、暗号処理の利用率を低下させるなどの運用トラブルが発生する恐れがあります。

単に暗号化すれば万全というわけではありません。また、導入後における機密性の推持についても、グループ内の運用ルールが最も重要です。必ずファイルの暗号処理に関するセキュリティポリシーを策定してから、運用を開始しなければなりません。暗号処理製品の運用は、セキュリティポリシーに準拠した運営の徹底が、グループ内におけるトータルな機密性を高めます。

グループ共有ファイルの暗号処理を行うには

人事部あるいは総務部、開発部といった部門単位で文書ファイルを共有化し、ファイルやディレクトリ単位で暗号処理を行うには、トランスコスモス社の「安心金庫」が最も適しています。安心金庫では、ファイルやディレクトリ単位でファイルの暗号処理保存ができるほか、グループ単位で暗号化されたファイルの共有利用が可能です。また、特定のメンバーに対しては親展機能を利用した機密文書の受け渡しも可能なことから、グループウエア的な発想で暗号機能を手軽に利用できます。また、

安心金庫の暗号化ファイル共有機能は、既存のパソコンLANにおけるファイルの共有機能をそのまま利用しています。特定のOSに依存することのない柔軟性の優れた設計となっていることから、Windowsををサーバーに採用した場合でも手軽に利用できます。しかも、安心金庫で共有したファイルは、サーバー管理者から権限を分離し、使用者の機密性を確保しています。


デジタル認証技術

認証とは、ある情報が本物であるかどうかを確かめるための手段です。この認証には、通信相辛が実在するか、だれかが他人に「なりすまし」ていないかを確認する「本人認証」と、通信メッセージが第三者に改ざんされていないかを確認する「メッセージ認証」の2つがあります。

デジタル許証技術

本人認証の方法としては、

  • 指紋、虹彩、網膜、筆跡、声紋の確認などの生物学的な特徴による方法。
    本人以外を本人と認識する確率は非常に小さい。しかし、測定機器が高額で、体調による入力値の差が本人を本人でないと誤認識する場合があり、接触型装置の場合は利用者が抵抗感を持つことなどの問題がある。
  • 印鑑などの本人の持ち物による方法
  • パスワード、秘密鍵(公開鍵暗号方式)などの本人のみが記憶している情報による方法

の3つに大きく分けられます。

ここでは、インターネット上のサービスサーバーがユーザーを認証するためによく利用される③ について説明します。パスワードによる本人認証のしくみとしては、古典的なパスワードによる認証を思い浮かべる方が多いかもしれません。これはCHAPと呼ばれるもので、サーバーにユーザーID とパスワードをある関数で変換した値(ハッシュ値)を登録しておき、ログイン時にユーザーが入力するパスワードをハッシュ化して登録データと比較することで認証します。しかしこの方式は、ユーザーのパスワードをあらかじめサーバーに登録することになるので、登録したパスワードファイルが盗まれたり、総当り攻撃や辞書攻撃によってパスワードが解読される可能性があります。

古典的なパスワードを利用する場合、パスワードの解読を防ぐには、簡単に連想できるものを避ける必要があります。ユーザーID や社員番号、誕生日などは使うべきではありません。また辞書攻撃からパスワードを守るためには、辞書に載っているような単語や名前、地名などの固有名詞を使ってはいけません。パスワードは自分が覚えられる7文字以上で構成し、アルファベットのほかに数字や記号を含めるとよいでしょう。パスワードをメモパッドに書き付けたり、他人に教えるのはもってのほかです。

CA局の運営が公開鍵を旺明する

公開鍵暗号方式による本人認証では、通信相手の秘密鍵で暗号化されたデータを相手の公開鍵で復号できれば、原則として相手を特定することができます。ただ、その通信相手が本人に「なりすまし」ている可能性がないとはいえません。商業登記簿謄本や戸籍謄本のような身元確認の手段がどうしても必要です。

そこで、公開鍵の信頼性を保証するために、信頼のおける第三者が公開鍵の正当性を証明する必要があります。これを一般に「CAセンター」または「認証機関」と呼びます。CAセンターとしては、日本ペリサインや日本認証サービスなどがすでにサービスを始めています。

SSL、SETとは

インターネット上でのクレジットカード決済を行う方式として、SSLとSETの2つがあります。インターネット上の決済では、カード番号をSSLで暗号化して販売店に送る方法が主流ですが、クレジットカード各社はより安全なSETを普及させようとしています。

SSLとは、米ネットスケープ社が提唱した通信データを暗号化するプロトコルで、ネットスケープナビゲ一夕ーやインターネットエクスプローラーに実装されています。通信データの暗号化の業界標準ですが、クレジットカード決済のために作られたプロトコルではありませんので(単にカード番号を暗号化してショップに送っているだけ)、安全性が低いというデメリットがあります。

そこで、2大クレジットカード会社の米visa社と米MASTER社は、クレジットカード決済専用プロトコル「SET」を発表しました。一般にクレジットカード会社がCAセンターとなり、そのカードブランド名のもとに証明書を発行します。この電子証明書は、カード会員と加盟店の双方に対して発行されます。カード会員証明書はバーチャルなクレジットカード、加盟店証明書は店頭に貼られているクレジットカード会社のステッカーに相当するものです。

インターネット上のバーチャルショップでカード会員がSETを利用した買物をするには、発注書としてCAセンターが発行した電子証明書とカード番号、注文情報をセットにして暗号処理を行い、加盟店に送ります。加盟店では、受け取った注文情報からは、クレジットカード会社に送るカード番号が完全に分離され暗号化ているため、カード会員のカード番号を盗み取ることや注文情報を改ざんすることができません。

これがSETの優れた特長です。SETが規定するのは、カード番号などの情報を暗号化してショップに送信し、ショップが決済金額を添えてカード会社に決済承認を行う過程までで、通常のカード決済でみると、クレジットカード端末でカード番号などを読み込み、決済金額を入力してクレジットカード会社から承認を得てサインをするところまでに相当します。なおSETには、ユーザーが専用ソフトをインストールしなければならないというデメリットがあります。


暗号技術

暗号とは、秘密通信の手段としてデータにさまざまな操作を施し、正当な権限者以外には読めないようにする方法をいいます。暗号はセキュリティ要件のうち「機密性」と「完全性」の確保に非常に有効な技術です。

暗号の歴史

歴史的に最初の暗号として有名なので、ジュリアス・シーザーの暗号(いわゆる「シーザー暗号」)です。シーザー暗号は、元の文書の各文字を、アルファベットや五十音の順番に一定間隔だけずらした文字に変換する初歩的な暗号です。

たとえば五十音で3文字ずつ前方にずらす場合、「あ」は「え」に、「い」は「お」に、「う」は「か」になり、「あんごう」は「えうずか」となります。この元の文書を「平文、字をずらすといった変換方法を「アルゴリズム」、ずらす間隔を「鍵(k e y )」、アルゴリズムと鍵を使って平文から暗号文を作成する作業を「暗号化」、暗号文を平文にもどす作業を「解読」といいます。

第三者は、ネットワークなどを通じて不正に暗号文を入手しても、アルゴリズムと鍵を知らないと解読できません。第三者がアルゴリズムと鍵を発見するまでに、正当な所有者が目的の作業を完了したり秘密情報が陳腐化してしまう、

この時間差が文書を暗号化する最大のメリットです。暗号の種類は、理論上、各文字をほかの文字、数字、記号などで置き換える「換宇式暗号」、各文字の順序を変える「転置式暗号」、各文字間に余計な文字を挿入する「挿入式暗号」の3 つに分類されます。シーザー暗号は換字式暗号の典型例です。特定のグループ内で情報を伝達するため、現在でも頻繁に利用されている「符丁(隠語)」もこれに該当します。転置式暗号としては平文を単純に後ろから読んだり、横書きで数行にわたって書かれた平文を縦に読んだりするもので、挿入式暗号としては挟み言葉が典型です。

暗号技術の発展は、戦争や軍事機密と密接な関係があります。第二次大戦中に暗号の作成・解読のため、統計学者や数学者、言語学者といった研究者が大規模に動員されたことは有名です。軍事情報の場合、アルゴリズムと鍵を秘密にして運用するのが一般的です。軍事情報は限定され管理された当事者間の情報伝達が主で、アルゴリズムと鍵を秘密にして暗号強度を維持しています。しかしビジネスやネットワーク上の情報伝達は、多数の相手と情報を共有するため、異なったアルゴリズムを使用すると運用が極度に煩雑になります。

むしろ、多数の相手とアルゴリズムを共有し、特定の二者間で鍵を共有するほうが現実的です。そこで一般に利用される暗号は、アルゴリズムを公開して鍵を秘密にするタイプ(鍵さえ秘密にしておけば十分に安全で強力なアルゴリズムを採用)です。この暗号の代表格が、「共通鍵暗号方式」と「公開鍵暗号方式」です。

おなじみの共通暗号方式

共通暗号方式は、従来から広く用いられてきた方法で、秘密鍵暗号方式、対称鍵暗号方式とも呼ばれます。この共通鍵暗号方式は、暗号化と復号化に「同一」の鍵を使用します。送信側では平文を鍵を使って暗号化し、受信側では送信側と同じ鍵で復号して平文を得ます。

公開暗号方式

公開鍵暗号方式とは、は開鍵」と「秘密軋の2つの非対称なデータ暗号化鍵を使用して、暗号化と復号化に別々の鍵を用いる仕組みで、非対称鍵方式とも呼ばれます。この公開鍵暗号方式では、暗号化を公開された鍵で行い、秘密鍵で復号化をします。暗号化に使われる公開鍵は誰でも使用できるように一般に配布し、復号用の秘密鍵は秘密にしておきます。ところで、共通鍵(秘密鍵)暗号方式、つまり従来の暗号体系の考え方に慣れいる人には、アルゴリズムはおろか鍵まで公開してしまったら、暗号にならないのでは、という心配があります。
しかし、ここに天才的な発想があるのです。普通の鍵は、開閉に同じ鍵を使いますが、双方に別の鍵を使ってもよいのでは、という天才的な発想によるものです。これこそ「コロンブスの卵」です。

公開鍵暗号の特長

公開鍵暗号は共通鍵暗号と比べて、次のような特長を持ちます。

デジタル署名(偽造不可能な署名)の実現

公開鍵暗号の発明の重要性は、むしろこのデジタル署名の実現にあるといえます。共通鍵暗号では、鍵が当事者間で共有されているため、共通鍵で作成された文書は、同じ鍵を所有する2 人のうち、どちらが作成したかを特定することができません。

公開鍵暗号は、秘密鍵を所有する者がただ一人であるため、「(同鍵で作成された)文書は確かに同鍵の所有者が作成したことを確認できる」という意味で証拠性を持ちます。
これによって、インターネットを利用する電子商取引などへの暗号の応用分野を大幅に広げることになりました。公開鍵暗号方式と共通鍵暗号方式では、ちょうど逆の手順になっています。秘密鍵と公開鍵を使うかたちが逆になっている点に注意してください。

鍵配送の容易さ

共通鍵暗号方式では、情報をやりとりする当事者が鍵を共有するため、同じ鍵を秘密裏に入手しなければなりません。公開鍵暗号方式では、通信相手の公開鍵の正当性を確認するしくみは必要になりますが、秘密裏に入手する必要はなくなるため、鍵配送が容易になります。

必要な鍵数の大幅減少

閉める鍵と開ける鍵が必要なのになぜ減少するの、と思われる方もいるのではないでしょうか。しかし、n人の利用者がお互いに通信を行う場合、共通鍵暗号ではそれぞれの相手と別々の鍵を使って通信をする必要があるため、。nC2(=n(n-1)/2)種類の鍵が必要になります。
通信相手が増えれば、等比級数的に鍵数も増えることになります。一方、公開鍵暗号では、2n個で済みます。
共通鍵暗号方式の鍵の配送問題を解決した公開鍵暗号方式は、一見メリットばかりのようですが、共通鍵暗号方式に比べて処理速度が遅いというデメリットがあります。スピードはいずれテクノロジーが解決してくれるでしょうが、現状では長文の文書全体を暗号化するのに向いていません。そこで、共通鍵と公開鍵暗号方式を組み合わせたハイブリッド処理により、相方の弱点を補った暗号処理が採用されています。