■企業での運用に最適な暗号化ツールとは?
ノートパソコンの持ち出しを許可するならドライブの暗号化が必須
あなたの会社では、ノートパソコンやUSBメモリーの社外持ち出しを許可していますか? 許可しているのであれば、紛失・盗難時のセキュリティ対策も万全にしておく必要があります。電車の中にパソコンを置き忘れる、車上荒らしでタブレットを盗まれるなどのトラブルは、いくら気を付けていても完全には防げません。もし、紛失・盗難時に顧客や取引先の機密情報が漏えいした場合、企業としての信用を失うだけでなく、経営自体も危うくなる可能性があります。
紛失・盗難時の情報漏えい対策としては、HDDやSSD、USBメモリーなどのドライブ自体を暗号化してしまう方法が一般的です。暗号化されたドライブは、特定の方法でロックを解除しない限り、誰もアクセスすることができません。そのため、紛失・盗難時の情報漏えいリスクが極めて低くなります。
「BitLocker」だと企業の暗号化対策としては不十分
ディスクの暗号化には、「暗号化ツール」を使います。もっとも有名な暗号化ツールといえば、マイクロソフトの「BitLocker」でしょう。Windows 10 Pro/Enterpriseなどに標準搭載されており、無償で利用できるという大きなメリットがあります。ただし、無償なのはスタンドアロン版のみです。また、スタンドアロン版は企業での運用を想定した作りになっていません。
▲BitLockerは、ドライブを右クリックして「BitLockerを有効にする」を選ぶだけで利用できます。無償のスタンドアロン版の場合、少数のパソコンやドライブを暗号化する用途なら十分ですが、企業での運用には向いていません。
たとえば、IT管理者がポリシーを設定し、複数台のパソコンやドライブの暗号化を一括管理することは不可能です(※)。スタンドアロン版の場合、パソコン1台ごとにBitLockerを手動で導入し、各ユーザーが個別に管理するといった運用方法となります。パソコンの台数が増えるほど導入や管理が煩雑になるので、一般的な企業で運用するのは現実的ではありません。
ほかにも、スタンドアロン版の場合、ドライブごとの暗号化の状況が確認しにくい(ドライブごとに確認が必要)、管理者権限アカウントで暗号化を解除できてしまう(従業員が暗号化を解除可能)、暗号化の際に発行される回復キーの管理機能がない(手動での個人管理となる)、といった問題もあります(下表参照)。
※別途有償のサービス「Microsoft BitLocker Administration and Monitoring(MBAM)」などと連携することで一括管理は可能です。
●BitLockerと企業向け暗号化ツールとのおもな違い
BitLocker(スタンドアロン版) | BitLocker(AD + MBAM) | 一般的な企業向け暗号化ツール | |
ポリシーによる管理 | ×ドライブごとに手動で管理 | ◎管理者による一括管理 | ◎管理者による一括管理 |
ドライブの暗号化状況の確認 | ×ドライブごとに手動で確認 | ◎管理機能で把握可能 | ◎管理機能で把握可能 |
ローカルPCの管理者権限をもつユーザーによる暗号化解除禁止 | ×従業員が暗号化を解除できてしまう | ◎管理者のみに制限可能 | ◎管理者のみに制限可能 |
回復キーの管理方法 | △個人管理(USB メモリーやファイルへの保存、紙への印刷) | ◎管理者による一括管理 | ◎管理者による一括管理 |
導入コスト | ◎無料 | △AD およびMBAM を含めると、ゼロからの導入は敷居が高い | 〇導入コストは低い |
▲この表は、BitLockerと一般的な企業向け暗号化ツールとのおもな違いを比較したものです。BitLockerのスタンドアロン版は企業での運用に必須ともいえる各種管理機能が不足しています。ただし、BitLockerもAD+MBAMとの連携を行えば企業での運用が可能です。
暗号化ツールの本格運用には企業向け製品の導入を
これまで述べてきたように、スタンドアロン版のBitLockerは、企業向けの暗号化ツールとして力不足です。本格的な情報漏えい対策を行うのであれば、高性能な企業向け暗号化ツールの導入をオススメします。ちなみに、代表的な製品には以下のようなものがあります。
・東芝「SmartDE / SmartDE Cloud」
・日立ソリューションズ「秘文」
・Check Point Software Technologies「Check Point Full Disk Encryption」
・パナソニック インフォメーションシステムズ株式会社「Device Encryption」
では、これらの企業向け暗号化ツールにはどんな特徴があるのでしょうか? ここでは、東芝の「SmartDE / SmartDE Cloud」を代表例としてピックアップし、主要な機能を紹介していきたいと思います。
■「SmartDE」のおもな機能
ディスクの全領域をセクター単位で暗号化して情報漏えいを防止
ディスクの全領域をセクター単位で暗号化して情報漏えいを防止
「SmartDE」は、パソコンメーカーの東芝クライアントソリューションが開発した暗号化ツールです。ファイル単位の暗号化ツールとは異なり、HDDやSSDなどのディスク全体を暗号化できるのが特徴となっています。
実は、前述したBitLockerの場合、暗号化はパーティション単位で行われます。そのため、ディスク全体が暗号化されているのかどうかが把握しにくいのです。暗号化するパーティションはユーザーが指定するので、暗号化し忘れるパーティションが発生する可能性もあります。また、BitLockerの仕様上、ディスク領域にBitLockerのブート用パーティションが作成され、その部分も非暗号領域となって残ってしまいます。
一方、SmartDEであれば、Windowsのシステム領域やプログラムファイルを含む、ディスクの全領域をセクター単位で暗号化できます。そのため、紛失・盗難時の情報漏えいをより強固に防ぐことが可能です。
パソコンからHDDを抜かれてもデータは読み取れない
ノートパソコンの場合、Windowsのログオンパスワードを設定していても情報漏えい対策にはまったく役立ちません。ノートパソコンからHDDやSSDを物理的に抜き取って別のパソコンに接続するだけで、すべてのファイルにアクセスできてしまうからです。しかし、SmartDEでディスク全体を暗号化しておけば、認証でロックを解除しない限り誰もアクセスできなくなります。
SmartDEの暗号化アルゴリズムには、FIPS 197規格の「AES 256bit鍵」を採用しています。暗号化強度しては最高レベルであるため、もし、悪意のある第三者がHDDやSSDを物理的に抜き取ったとしても、ファイルの内容を読み取ることはまず不可能です。
また、SmartDEはUSBメモリーやUSB接続のHDDの暗号化にも対応しています。外出先でUSBメモリーを紛失したとしても、あらかじめ暗号化されていれば安心です。
ファイル単位の暗号化機能やUSB接続デバイス制御機能
SmartDEは、ディスク全体の暗号化だけでなく、ファイルやフォルダー単位の暗号化も可能です。メールの添付ファイルやリムーバブルメディアに保存するファイルやフォルダーを、即座に暗号化したい時に役立ちます。暗号化したファイルやフォルダーは、パスワード付きの自己解凍形式ファイルになるので、SmartDEの導入されていない取引先のパソコンなどでもすぐに復号が可能です。
また、最近では、USBメモリーやSDカード、外付けHDD、スマートフォン(iOS・Android)といった外部デバイスを悪用した情報漏えい事件も起きています。SmartDEでは、これらのUSB接続デバイスを制御する機能も搭載し、パソコンから外部機器への書き込みを禁止することが可能です。
Windows起動前の認証で不正使用を防止できる
BitLockerの場合、OS起動前の認証がありません。もし、Windowsのログインパスワードが第三者に漏れていたら、ログオン認証を突破される危険性があります。Windowsが一度起動できてしまえば、ディスクを暗号化していたとしても、第三者がすべてのファイルにアクセスできてしまいます。
SmartDEでは、Windows起動前にSmartDEプリブート認証が行われます。これにより、本人以外によるパソコンの起動を制限することが可能です。また、SmartDEプリブート認証とWindowsログオンのシングルサインオンや、BIOSパスワード入力によるSmartDEプリブート認証のスキップもできます。
※シングルサインオンとBIOSパスワードによるSmartDEプリブート認証スキップを併用することはできません。
※BIOSパスワードによるプリブート認証スキップは、2015年3月以降に発売された東芝PCでサポートされます。
企業の運用形態に応じて、オンライン運用、オフライン運用、クラウド運用が選べる
BitLockerのスタンドアロン版では、IT管理者がポリシーを設定し、複数台のパソコンを一括管理することが不可能でした。しかし、SmartDEなら複数台のパソコンの一括管理も効率的に行えます。
SmartDEには、オンライン運用とオフライン運用が選べる「SmartDE」とクラウド運用ができる 「SmartDE Cloud」 が用意されています。オンライン運用およびクラウド運用であれば、管理者PCからWebベースの管理画面にアクセスし、各クライアントの管理・ポリシー配布などを一括で行うことが可能です。また、オフライン運用では、オフラインパッケージファイルによる手軽な導入が行えます。企業の運用形態や利用したい機能に応じて、最適なものを選ぶといいでしょう。
●SmartDEオンライン管理版
SmartDEの運用管理サーバーで、各クライアントの一括管理・ポリシー配布などを行います。管理者がクライアントを一括で管理し、セキュリティを高めたい場合に有効なシステムです。
●SmartDEオフライン管理版
管理用PCからオフラインパッケージファイルを配布することで、各クライアントにSmartDEを導入する運用方法です。運用管理サーバーが必要ないので、導入がもっとも手軽に行えます。
●SmartDE Cloud
SmartDE Cloudは、SmartDEの管理サーバーをクラウドで提供するサービスです。 オンライン運用の機能に加え、パソコンの紛失・盗難時などにHDDのワイプを実行する「ワイプ機能」、一定期間管理サーバーとの通信がない場合にファイルやフォルダーを自動で不可視化する「ファイル不可視化」機能を備えています。
安全性や信頼性だけでなく、IT管理者が扱いやすいことも重要
このようにSmartDEは、企業での運用に求められる高い安全性や信頼性を備えた暗号化ツールといえます。BitLockerでは不十分だった一括管理機能なども備わっており、IT管理者が扱いやすい点もポイントです。また、東芝クライアントソリューションによるカスタマーサポートも充実しており、障害発生時の問題解決もスムーズに行えます。なお、メーカーではデモライセンスを提供しているので、まずは自社の運用形態に適しているかを検証してみることをオススメします。
検証ライセンス手配をご希望の方は下記までお問い合わせください。