有償の暗号化ツールと無償のBitLockerはどう違うのか

ホーム
コラム
有償の暗号化ツールと無償のBitLockerはどう違うのか？

有償の暗号化ツールと無償のBitLockerはどう違うのか？

2018/10/31
BitLocker Windows10 セキュリティ暗号化

BitLockerだけでは情報漏えい対策は不十分

Windows標準の暗号化機能「BitLocker」

企業のノートパソコンを社外へ持ち出す場合、気を付けておきたいのが紛失・盗難時の情報漏えいリスクです。もしパソコンの内部ストレージが暗号化されていない場合、誰かにデータを盗み出される危険性も高くなります。Windowsでログオンパスワードを設定していても関係ありません。悪意のある第三者が内蔵ハードディスクやSSDを物理的に抜き取ってしまえば、他のデバイスからストレージ内のデータに容易にアクセスできてしまうからです。

こういったリスクを防ぐには、ストレージ自体を暗号化してしまうのが効果的です。暗号化されたストレージは、暗号化によるロックを解除しない限りアクセスできません。そのため、万が一ノートパソコンを紛失したとしても、第三者に情報を盗まれる危険性が少なくなります。

暗号化機能を利用するもっともお手軽な方法は、Windows 10 Pro/Enterpriseなどに標準搭載されている「BitLocker」を活用することでしょう。BitLockerを使えば、ハードディスクやSSD、USBメモリー、外付けストレージといった各ドライブをまるごと暗号化し、他人の不正なアクセスを防ぐことができます。利用方法も簡単。適用したいドライブを選択して右クリックし、「BitLockerを有効にする」から各種設定を行うだけです。

BitLockerは導入コストが極めて低く、Windows 10 Pro/Enterpriseを導入しているパソコンであれば無償で使えます。運用方法や設定手順もシンプルで、気軽に導入できるのも特徴と言えるでしょう。ただし、企業で実際にBitLockerを運用する場合は、以下のような注意点も存在するので事前に確認が必要です。

1）BitLocker単体では管理機能が利用できない

BitLocker自体には、複数台のパソコンを一元管理するような機能が用意されていません。別途有償の管理ツール（詳しくは後述）を導入しない限り、パソコンごとにスタンドアロンで利用することになります。たとえば、企業内のノートパソコンをすべて暗号化したいなら、1台ずつ手動で設定する必要があるのです。社内のパソコンが数十台程度ならそれほど問題になりませんが、それ以上の規模になると導入するだけで多くの手間と時間が必要となってしまいます。

２）回復キーの管理が煩雑になってしまう

BitLockerでは、解除用パスワードを忘れた場合やドライブが故障した場合などに、回復キーの入力が必要となります。回復キーとは、暗号化の際に発行される48桁の数字です。回復キーを紛失するとドライブの復旧が不可能となってしまいます。そのため、回復キーをどう管理するかも重要です。BitLocker単体だと回復キーの管理が煩雑になるため、Azure Active Directoryと連携して保存するなどの手段も必要でしょう。なお、BitLockerはハードウェア構成が変更された場合も回復キーが求められます。そういった場合でもエンドユーザーにすぐ回復キーを提供できるかどうかも課題です。

３）暗号化されているかどうかの状況が確認しにくい

BitLockerの暗号化は、ドライブ（ボリューム）単位で行います。パソコンに複数のドライブが内蔵されていたり、外部ストレージが接続されていたりする場合、すべてのドライブを個別に暗号化しなくてはなりません。すなわち、企業のセキュリティ担当者は、社内の全パソコン、全ドライブで暗号化を実施する必要があります。

管理するドライブの数が多くなれば、暗号化し忘れるドライブも当然出てくるでしょう。しかし、管理ツールがない場合は問題のドライブを特定することができません。手作業で全パソコンの全ドライブを調べなおすしかないのです。また、もしノートパソコンが盗難された場合、ドライブが本当に暗号化されていたのかどうかをあとから調べることも不可能です。

４）管理者権限アカウントで暗号化を解除できてしまう

BitLockerはWindowsに標準で組み込まれている機能のため、Windowsの管理者権限アカウントさえあれば暗号化の解除を簡単に実行できてしまいます。場合によっては、管理者権限をもつ従業員（エンドユーザー）が、勝手にドライブの暗号化を解除してしまうことも考えられます。暗号化が勝手に解除されたとしても、企業のセキュリティ担当者はそれを感知できません。

情報漏えい対策を万全にするのであれば、企業のセキュリティ担当者のみがBitLockerの暗号化および解除を行える状況にするべきです。後述する有償の管理ツールを使えば手軽に一元管理も行えますが、管理ツールなしでBitLockerを利用するのであれば、エンドユーザーに管理者権限アカウントを付与しない運用が必須となります。

有償の暗号化製品ならより安全に対策が可能

情報漏えい対策を確実にするなら有償製品の導入を

これまで述べてきたことからわかるように、企業で本格的な情報漏えい対策を行うにはBitLockerだけでは不十分です。信頼性の高さや運用管理の手軽さを求めるのであれば、より高性能な有償の暗号化製品を導入すべきでしょう。代表的な暗号化製品には以下のようなものがあります。

・東芝「SmartDE/SmartDE Cloud」
・日立ソリューションズ「秘文」
・Check Point Software Technologies「Check Point Full Disk Encryption」
・パナソニックインフォメーションシステムズ株式会社「Device Encryption」

※なお、MicrosoftでもBitLockerを一元管理できる専用ツール「Microsoft BitLocker Administration and Monitoring（MBAM）」を別途提供しています。

これらの有償の暗号化製品には以下のような特徴があります。BitLockerの問題点を解決したい場合は、暗号化製品の導入を検討してみるといいでしょう。

専用ツールでクライアント管理が簡単に

各種暗号化製品には、それぞれ専用の管理ツールが用意されています。社内にある複数台のパソコンをすべて一括で暗号化したり、それぞれのデバイスのグループポリシーを変更したりなども簡単に実行が可能です。また、回復キーは管理サーバーで保管されるため、エンドユーザーがパスワードを忘れた場合でもすぐに回復キーを渡すことができます。

より安全で確実な情報漏えい対策が施せる

各種暗号化製品では、エンドユーザーが勝手に暗号化を解除できないような仕組みが採用されています。また、製品よっては、どのパソコンのドライブが暗号化されているかどうかなども管理ツール上で把握することが可能です。BitLockerでありがちな、一部のドライブを暗号化し忘れる、といったミスも確実に防げます。

OS起動前認証でさまざまな認証方法が選べる場合も

暗号化製品によっては、OS起動前認証でパスワードや証明書、トークンなど、さまざまな情報を組みわせて認証させることが可能です。Windowsログインとのシングルサインオンが可能な製品なら、OS起動前認証のみでWindowsにログインでき、煩わしい認証を増やさずに済みます。また、エンドユーザーがパスワードを忘れた場合でも、チャレンジレスポンス方式によってすぐにパスワードを復旧できるのもメリットです。