ディスク暗号化製品をどう選ぶ？
Windows 10へ移行する前に考慮すべき点とは

Windows 10の大型アップデートで顕在化した過大な運用負荷

セキュリティと生産性はしばしば相反する要求といわれるが、パーソルAVCテクノロジーも同様の課題に頭を悩ませてきた。

同社では、顧客オフィスに出向いて開発作業を行うことが多いため、データの持ち出しを一切禁止するのはナンセンスな状況だ。シンクライアントを導入する手段もあるが、ソフトウェア開発作業では高いI/O性能とマシンパワーが要求され、ハードウェア設計ではCADを利用することもあり、シンクライアントの採用は難しい。そこで同社は2013年、あるフルディスク暗号化製品を導入し、社外に持ち出すPC は全てディスクを暗号化するというルールを定めた。

だが徐々に、このルールが大きな負担になってきた。同社では2019年までに、社員のPCを「Windows 7」からWindows 10へ移行する計画があるが、Windows 10ではこれまでのOSとは異なり、半年ごとに大型アップデートがリリースされる。

「当時利用していたフルディスク暗号化製品では、Windows 10の大型アップデートを適用する度に、ディスクを復号して元の状態に戻してから大型アップデートを適用し、再びディスクを暗号化するという作業が必要で、大きな工数がかかっていました」と、パーソルAVCテクノロジーでITシステムの運用管理を担当する久岡 志絵氏（企画管理本部 情報システム部）は振り返る。ディスク容量にもよるが、1 台当たり十数時間がかかり、社員の仕事にも影響が出ていた。

しかも、その挙動が不安定だったことが、追い打ちをかけた。数％という一定の割合でディスク復号時にトラブルが発生し、PCがハングアップをしてしまったり、最悪の場合は復旧できない事態に陥ったりしたのだ。作業途中のデータや納品直前のソースコードが失われるようなことがあっては、とても許容できない問題だ。現場の社員から「なぜこんな迷惑な製品を導入したのか」と不満が寄せられることもあったという。

大型アップデートの度に、復号する手間がなくなり、Opalドライブにも対応

ディスク復号時のトラブル発生率が数％ということは、暗号化したPCを700台ほど運用する同社の環境では数人が確実にトラブルに遭遇することになる。情報システム部では、そのようなリスクを抱えたまま運用を続けるのは難しいと判断。新たな選択肢を求め、展示会などに足を運び情報を収集した。そこで知ったのが、NECキャピタルソリューションが提供する「SecureDocマネージドサービス」だ。

2017年7月、久岡氏はNECキャピタルソリューションが主催するセミナーに参加し、Microsoftが提供する「ReflectDrivers」というコマンドラインスイッチに対応したフルディスク暗号化製品を使えば、大型アップデートの際にいちいちディスクを復号・暗号化する必要がないことが分かった。また、同社で利用するPC「Let’s note（レッツノート）」で採用されている自己暗号化ドライブ「Opalドライブ」に対応していることもポイントとなり、導入に向けたトライアルを実施することにした。

「実際に試したところ、256GBのSSDで2時間程度と、以前の製品に比べほぼ倍の速さで暗号化処理が完了しました。ドライブ自体の性能向上も関与しているとは思いますが、とにかく速いのです。特にOpalドライブが搭載されているPCの場合は、目を離した数秒の間にインストール処理が終わっているほどでした」と、久岡氏はその時の感動が強く残ったという。

BitLockerなども検討したが、暗号化機能や管理面に納得がいかず、SecureDocマネージドサービスを採用

とはいえセキュリティ製品は、直接売り上げにつながるものではない。新たな製品の導入を経営層に承認してもらうには、具体的な効果も必要だった。そこで、「『既存製品ではWindows 10の大型アップデートの度に1台当たり復号に8時間、アップデート作業に2時間、再暗号化に8時間もの時間がかかり、それだけ社員の業務への負荷とIT部門の作業工数が増える。一方、SecureDocマネージドサービスを導入した場合、その負荷はほぼなくなる。また、1 台700円（税別）／月額で利用でき、3年間で試算した場合、これまでと比べコストは半分になり、台数が増えるほどその価値は高まる』と算出し、経営層にメリットを理解してもらった」と、パーソルAVCテクノロジー 企画管理本部 情報システム部 部長 中橋 朋彦氏は語る。

他にも選択肢は複数あった。最も手軽なのはWindows OS自体が備える暗号化機能「BitLocker」だろう。だが「やはりOSの付属機能にすぎず、当社が求める要件に対し、十分でなかった」と中橋氏は言う。また他の製品では、過去採用していた製品と同様にWindows 10の大型アップデートの度にディスクの復号・暗号化が必要である上、暗号鍵の管理やリカバリー時の暗号鍵の受け渡し作業といった運用面の使い勝手も満足のいくものではなかった。

クラウドサービスであるため、サーバーの管理が不要な点もメリットに

こうしてパーソルAVCテクノロジーでは2017年10月から、本格的にSecureDocマネージドサービスの導入を開始した。2018年1月までにWindows 10とともに導入が完了したのは一部にとどまるが、現段階で、過去に発生していた「復号処理に失敗し、データが失われる」といったトラブルは起きていない。万一トラブルがあった場合にも、リカバリーツールでこれまでより簡単に対応できる。

クラウドサービスのため、これまでオンプレミスで運用していた管理サーバーが不要になったこともメリットだ。「むしろオンプレミスで運用していた時に比べ、安定している」（中橋氏）という。導入当初、同社のネットワーク構成との関係で通信に不具合が生じ、インストールに失敗する事態もあったが、「NEC キャピタルソリューションのサポートは問い合わせへの回答が早く、スムーズに対応してもらえた。その後も、PCの利用環境ごとにインストールパッケージをカスタマイズしてもらうなど、きめ細かく対応してもらっている」と久岡氏も満足している。

運用のストレスからも解放、現場に負担をかけないセキュリティを実現

過去採用していたフルディスク暗号化製品では、トラブルが生じる度に情報システム部が対応に追われ、特に遠隔拠点でのトラブルとなると、電話経由でもどかしい思いをしながら対応していた。しかし、SecureDocマネージドサービスの導入によって、そうしたトラブルからは解放された。「今までの苦労は一体何だったのかと思えるほど安定して運用でき、ストレスから解放されています」と久岡氏は笑う。

社員からも特に目立った反応はない。ということはつまり、トラブルなくスムーズに運用できているということだ。「なるべく現場に負担をかけず、現場の手を止めることなくセキュリティが確保されたIT 環境を実現する」という狙いを実現できたパーソルAVCテクノロジー。少ない負荷で満足いく運用水準を達成できた次のステップとして、「生産性を高め、事業に貢献できる攻めのIT」を目指し、これからも取り組みを進めていく。