第1回 Windows 10対応とハードディスク暗号化 「BitLocker(ビットロッカー)」で十分!?安全性・運用からの考察

Windows XPの延長サポートの完全終了、Windows 7のメインストリームサポートの終了を受けて、企業でのWindows 10対応が急速に広がる気配を見せています。諸々の都合や事情で先延ばしにしてきた企業でもWindows 10対応に向けていよいよ本腰を入れて取り組まなければなりません。

Windows 10対応に伴い、企業として取り組むべき課題はさまざまにありますが、本コラムでは「持ち出しPCやモバイル端末は紛失や盗難のリスクから100%逃れることはできない」「データや情報が抜き取られるリスクは必ず存在する」との認識のもと、情報漏えいを可能な限り防ぐためにはどうすればよいか―。OSのバージョンアップ、PCのリプレース・増設等で必要不可欠な重要対策のひとつとして、ハードディスク暗号化にフォーカスをあてて考えていきます。

情報漏えい原因の約36%は、PC等の盗難・紛失・置き忘れ

個人情報の漏えい原因における盗難・紛失・置き忘れ比率(件数)※

ビジネスにおいてノートPCやモバイル端末を社外に持ち出し、活用するシーンが急速に拡大しています。Windows 10対応に向けて、PCのリプレース・増設を検討されている企業も多いのではないでしょうか。

検討において最も重要なのは、情報漏えいリスクへの対策です。実際、盗難にあったり、紛失・置き忘れPCから不正にデータを抜き取られる情報漏えい事故が増えています。日本ネットワークセキュリティ協会の調査によると、個人情報の漏えい原因における盗難・紛失・置き忘れ比率は全体の約36%を占めています。

  • 参考:日本ネットワークセキュリティ協会『2015年 情報セキュリティインシデントに関する調査報告書【速報版】』

OSログインパスワード、BIOSパスワードだけでは不十分

「PCはログインパスワードを設定しているので大丈夫」と思われるかもしれませんが、インターネット上で入手できるフリーのクラッキングツールを使えば、わずか数分でパスワードが突破される恐れがあります。

BIOSパスワード

PCに詳しい人は「OS起動前に入力を求めるBIOSパスワード方式なら、安全性が高まるはず」と思われるかもしれませんが、これも誤解です。BIOSパスワードはPCのハードディスクを直接保護するものではないので、物理的なクラッキング行為に対しては効力が十分ではないと言えます。

「BitLocker」などを使ったハードディスク暗号化が不可欠

持ち出しPCの情報漏えい対策として欠かせないのが、ハードディスク内のデータを特殊な技術で暗号化し、第三者による不正な読み出しを困難にする暗号化ソフト(もしくは機能)です。Windows 10に標準で搭載されているドライブ暗号化機能「BitLocker(ビットロッカー)」もそのひとつです。

しかし、BitLockerで果たして十分でしょうか。市販されている他のハードディスク暗号化ソフトについてもどうでしょう。どのような仕組みや特長を持っているのか、企業のインフラ管理者視点から運用が回るのか、しっかり吟味する必要があります。

「BitLocker」とは、

Windows PCの上位機に搭載されるドライブ暗号化機能。システムドライブおよびデータドライブ上のファイルを保護するビジネスPCのセキュリティ強化機能のひとつです。Windows 10ではProとEnterpriseで利用可能です。

ハードディスク暗号化ソフト選定 5つのポイント

ハードディスク暗号化ソフトには、導入にあたって難しい設定が必要であったり、従業員が自分のパスワードを忘れてしまった時の手続きが面倒であったり、ハードディスクの特定領域しか暗号化できないものがあったりします。BitLockerはWindows OSでしか使えず、他のOSでは別のソフトで対策をとらなければなりません。

Windows 10対応に向けたハードディスク暗号化ソフトの検討・選定では、自社での運用状況などを踏まえたうえで、後悔しないための十分な事前検討が必要です。そこで、とりわけ重要となる5つのポイントを取り上げてみました。

Point 1

暗号化の対象範囲

データ領域だけか、OSも含めたフルディスク方式か

非暗号化領域があると、ハードディスクを別のPCに付け替えることで非暗号化できる不正なプログラムがインストールされてしまうなど、セキュリティリスクが高まります。リスクを排除するには「フルディスク暗号化方式」がおすすめです。

フルディスクで暗号化するもの

ハードディスクを抜きだし、他のPCに接続した場合でも、ディスクの中身は常に保護。

非暗号化領域が必要なもの

「BitLocker」はこちらのタイプ

フルディスク暗号化方式では、OSや利用者データを含めて暗号化します。クラッキングツールが使用されても、OSが起動しないため、クラッキングツールの利用自体が無効となります。ハードディスクの抜き取りによるデータの盗難被害防止にもつながります。

市場に出回っているパスワード解析ツールや、データ復旧会社でパスワード解除サービスの提供があるものは避けたほうがよいでしょう。ソフトによっては管理者権限だけで暗号化解除ができるものもありますが、特定IDを用いた内部不正が問題視されている今、情報漏えい対策としては不十分です。

選定ポイント(暗号化の対象範囲)のまとめ
  • OSを含めたフルディスク暗号化方式のもの
  • パスワード解析ツールが出回っていないもの
  • 管理者権限だけでは暗号化を解除できないもの

Point 2

導入と運用管理のしやすさ

管理コンソールで一元管理ができるか、そうではないか

セキュリティポリシーなどをPC毎に手動で導入・設定する必要があるものは、対象台数が増えるほど設定作業に手間と時間がかかります。対象PCへのインストールのみで、難しい設定をせずに導入できるものが一番です。

また、専用サーバで集中管理ができ、管理コンソールから容易に管理できるものがよいでしょう。PC毎の状況をタイムリーに把握できなければ、万が一、暗号化が解除された時に迅速な対応が難しくなります。

企業によってはWindows OSとMac OSが混在している場合がありますが、全社ガバナンスを効かせたハードディスク暗号化対策を行うには、同一ポリシーで一元管理できることが望ましいです。

選定ポイント(導入と運用管理のしやすさ)のまとめ
  • 難しい設定をせずにインストールできるもの
  • 専用サーバによる集中管理方式で各PCの暗号化状況を把握できるもの
  • OSが混在しても同一ポリシーで一元管理可能なもの

Point 3

パスワード忘れ時の対策

回復キーの漏えいを想定しているか、そうではないか

ハードディスク暗号化ソフトには、パスワード忘れ時に復旧するための鍵情報を持っている製品があります。この場合、鍵情報を当該のエンドユーザに通知するのですが、万が一、鍵情報が漏えいした場合、その代償は高くつきます。アカウントロックや非常ログイン時の対応についても同様です。鍵情報のような重要な情報を使わずに、パスワード再発行やワンタイムログオンができる仕組みがあることが望ましいです。

選定ポイント(パスワード忘れ時の対策)のまとめ
  • 管理者によるリモート操作でパスワード再発行が可能なもの
  • 管理者によるリモート操作でワンタイムログオンが可能なもの

Point 4

PC起動時の認証方式

OS連携でログオンができるか、そうではないか

ハードディスク暗号化ソフトによっては、PC電源ON後にまず暗号化ソフトの認証画面が立ち上がり、認証後、OS認証画面が立ち上がってログオンを求める「二段階認証方式」のものがあります。この方式では複数の認証情報の管理や二度のログイン認証が必要になり、ユーザの手間が増えてしまいます。覚えられないから…とパスワードを記載した付箋をPCに貼り付けておくユーザが出てきてしまう危険性もあります。

セキュリティと業務効率のバランスは重要です。業務に使うPCは、PC起動時のログオンが一度でスピーディーに行えるものが望ましいでしょう。ハードディスク暗号化ソフトのログオンとOSのログオンを連携させたシングルサインオン方式がおすすめです。

シングルサインオン方式

認証1回でログオン


FDE認証のみでOSまでログオン可能

二段階認証方式

認証2回でログオン


FDE認証とWindows認証画面でパスワードを入力する必要がある 「BitLocker」はこちらのタイプ

選定ポイント(PC起動時の認証方式)のまとめ
  • 認証1回でログオンできるシングルサインオンができるもの

Point 5

起動トラブル時の対応

面倒な手間をかけずにリカバリできるか、そうではないか

何らかの障害によって、システム領域が損傷しOSが起動できない、暗号化が解除できないといったトラブルはユーザにとって非常に深刻です。業務データを格納したPCが当日あるいは数日間にわたって使えない、最悪の場合、二度と使えなくなるようなことがあっては業務やビジネスに深刻なダメージを与えます。

ハードディスク暗号化ソフトでは、このような事態に備え、管理者による強制復号処理が可能な対応策がとられていますが、ソフトによってその手法はまちまちです。別途、ハードディスクを用意したうえでないと復号が行えないものがありますが、管理者にとっては煩わしい限りです。早急な業務復旧のためにも、特別な準備をせずに、復号処理が行える仕組みを選択されるとよいでしょう。

選定ポイント(起動トラブル時の対応)のまとめ
  • PC起動トラブルに備えた対策がとられているもの
  • トラブルPC上で復号処理が可能なもの

NECソリューションイノベータが考えるハードディスク暗号化

Windows 10対応、PCリプレース・増設等を機に、情報漏えい防止に向けたより強固な対策を検討する動きが高まっています。

ハードディスク暗号化ソフトの導入は、盗難・紛失・置き忘れ等に備えたデータ保護の防波堤として欠かせない対策であり、その際、どのようなソフトや機能を導入するか、選定にあたっては十分な検討を重ねる必要があります。

本コラムで取り上げたポイントをクリアするハードディスク暗号化ソフトとして、NECソリューションイノベータでは「Check Point Full Disk Encryption」(旧製品名:「Pointsec」)をおすすめしています。

OSを含めたディスク全体の暗号化Check Point Full Disk Encryption

Check Point Full Disk Encryptionは、ハードディスク全体を自動的に暗号化(フルディスク暗号化)し、PCの盗難・紛失・置き忘れ時に悪意のある第三者によるハードディスクデータ読み出しから重要情報を保護するハードディスク暗号化ソフトで、NECソリューションイノベータでは、2000年の取り扱い開始以来、15年以上にわたりサポートを提供しています。

信頼と実績ある暗号化技術

ITセキュリティ評価の国際共通基準「Common Criteria」において商用利用として最高ランクのEAL4を獲得。

利用者に負担をかけない

直感的なユーザインターフェース、シングルサインオンなど、利用者のPC環境(業務)に負担をかけません。

分かりやすい管理コンソール

分かりやすいセキュリティポリシー設定画面や、端末の暗号化状態の管理などが統合的に行える。

国内150万ライセンス以上 15年以上の取り扱い・サポート実績

たとえば、このような企業様に

PC暗号化、外部記憶メディアの利用制御・暗号化 エンドポイントセキュリティソリューション 製品ページを見る

  • PCのWindows 10対応(OSバージョンアップ、PCリプレース)を進めたい
  • 商談、プレゼンテーション、フィールドワーク、出張などでPCを社外へ持ち出す機会が多い
  • ビジネスの機動力アップに向けてモバイル端末の業務利用を進めたい
  • 持ち出しPCの紛失、盗難で対処に追われたことがある
  • 持ち出しPC内のデータをより確実に暗号化できるソフトに替えたい
  • 暗号化漏れがないか管理できるソフトにしたい
  • PC不具合時に暗号化したデータをすぐに救出できるものがいい
  • PCのリプレースを機にフルディスク暗号化を徹底したい

ハードディスク暗号化ソフトの機能比較

Windows 10対応、PCリプレース・増設、暗号化ソフトリプレースをご検討中の企業様には、Windows 10のドライブ暗号化機能「BitLocker」の利用は選択肢のひとつです。ハードディスク暗号化ソフトに精通した従業員がいる企業では、BitLockerで十分に対応可能と思います。

しかし、精通した従業員がいない場合、またWindows OSとMac OSが混在している企業では、Check Point Full Disk Encryptionを是非ご検討ください。

なお、両者の違いについてお問い合わせをいただくことも多いです。そこで、機能比較を以下にまとめています。ハードディスク暗号化ソフトのご検討に、是非お役立てください。

「Check Point Full Disk Encryption」と「BitLocker」の機能比較

Check Point Full Disk Encryption BitLocker
セキュリティ面 暗号レベル

ハードディスクまるごと暗号化

  • OS起動前認証
  • ITセキュリティ評価の国際共通基準において商用利用として最高ランクのEAL4を獲得

ドライブ単位で暗号化(※)

  • OSがインストールされたドライブや固定データドライブをドライブ単位で暗号化
  • 非暗号化領域が必要
  • AES128bit/AES256bit/XTS-AES128/XTS-AES256から選択
暗号化の解除
(無効化)

個人の判断でアンインストール不可

  • システム管理者の介在が必要

利用者が管理者権限を持つ場合は可能

  • 「コントロールパネル」からBitLocker機能の無効化が可能なため、グループポリシー設定でコントロールパネルの無効化が必要
運用面 導入

インストーラ実行でセキュリティポリシーを配布

  • インストーラ実行でセキュリティポリシーを配布
  • Macへ導入可能なため、一元管理が可能

セキュリティポリシーを一元管理するにはActive Directory環境が必要

パスワード忘れ時

緊急時も利用者と管理者間で解決可能

  • 厳重な本人確認後、チャレンジ&レスポンスでパスワードの再発行が可能
  • PCオフライン時でも対応可能

回復キー(※)をPC電源ON直後に表示される画面から入力

  • パスワード紛失に備え、暗号化時に保存しておく48ケタの数字
認証方式

シングルサインオン対応可能

  • OS認証との二段階認証も選択可能

BitLocker認証とWindows認証の二段階認証

PC起動不可時

該当端末上で復号処理が可能

  • 初期インストール時に生成されるリカバリデータからリカバリメディアを作成し、リカバリメディアから当該端末を起動して復号処理を行う

暗号化解除したデータの退避用に別途ハードディスクが必要

  • BitLockerがインストールされた別の端末へハードディスクを取り付けてログオンし、その後、ロック解除ボタンと回復キーで復号

情報セキュリティコラムThe ANGLE情報漏えい対策の視角

セミナー・イベント情報

現在ご案内中のイベント・セミナーはございません。

資料ダウンロード

企業の情報漏えい対策に役立つ情報をPDF形式の資料として無償でダウンロードしていただけます。

漏えいリスクから企業の情報資産を守る

情報漏えい対策ソリューションリーフレット

情報漏えい対策ソリューションリーフレット

本サイトに掲載しているソリューションをA4裏表でコンパクトにまとめたご紹介リーフレット。

(A4・全2ページ)

情報セキュリティ対策の特集/業界トレンド情報をご提供

ホワイトペーパー

  • IT部門 意思決定者を対象とした調査結果レポート

    IT部門 意思決定者を対象
    とした調査結果レポート

    (A4/全8ページ)
  • 「終わりなきITセキュリティ対策」に必要な2つの視点とは

    「終わりなきITセキュリティ対策」
    に必要な2つの視点とは

    (A4/全4ページ)
  • 21世紀のセキュリティにAIが果たす役割

    21世紀のセキュリティに
    AIが果たす役割

    (A4/全6ページ)

情報漏えい対策ソリューション

製品ご紹介リーフレット

本サイトでご紹介している製品のご紹介リーフレットを無料でまとめてダウンロードしていただけます。導入ご検討の際にぜひご活用ください。

  • Check Point Media Encryption リーフレット

    Check Point Media Encryption(A4・全2ページ)

  • Check Point Full Disk Encryption リーフレット

    Check Point Full Disk Encryption(A4・全2ページ)

  • NonCopy2 リーフレット

    NonCopy2(A4・全2ページ)

  • 4thEye Professional リーフレット

    4thEye Professional(A4・全2ページ)

  • Tripwire Enterprise リーフレット

    Tripwire Enterprise(A4・全2ページ)

  • CylancePROTECT リーフレット

    CylancePROTECT(A4・全2ページ)

  • Webコンテンツ保護・情報漏えい対策ソリューション リーフレット

    Webコンテンツ保護・情報漏えい対策ソリューション(A4・全4ページ)

漏えいリスクから企業の資産を守る

情報漏えい
対策ソリューション

NECソリューションイノベータの情報漏えい対策ソリューションは、
「内部からの情報漏えい」と「外部からの悪意ある攻撃」2つのリスクに着目し、
お客様の環境、ご要望に沿ったセキュリティ強化対策を、導入のご相談から運用に至るまでワンストップでご提供。お客様の情報資産を安全かつ強固にお守りします。

情報漏えい対策をお考えの企業様へ

お問い合わせ・ご相談フォーム

「すでにセキュリティ対策はしているつもりだが、対策に漏れがないか不安だ」
「セキュリティをより強固にするため複数の施策を組み合わせたいが、機能の重複などがあって迷っている」
など、情報漏えい対策についてのご質問・ご相談などございましたら、何でもお気軽にお問い合わせください。