ハードディスク暗号化製品を比較・検討する際のポイントとは?

セキュリティ管理

はじめに

本記事をご覧いただいている皆様は、ハードディスク暗号化製品の比較・検討されている状況でしょうか?日本市場で利用可能なハードディスク暗号化製品は、BitLockerも含めて複数存在します。その中からどれにすべきか、何を基準に比較・検討すればよいのか悩む方も多数いらっしゃるのではないでしょうか?

今回の記事では、これから情報漏えい対策として、モバイルPCのハードディスク暗号化(SSDも含む)を検討する情報システム部門のご担当者向けに、ハードディスク暗号化製品を比較・検討する際のポイントについてご紹介します。

「ハードディスク暗号化とは?」、「なぜ、盗難・紛失対策にはハードディスク暗号化が良いのか?」といった内容についてお知りになりたい方は、別の記事「持ち出しPCのセキュリティ対策としてまずディスク暗号化をするべき理由」をご参照いただければと思います。

ハードディスク暗号化製品を比較する際のポイント

ハードディスク暗号化製品は、2002年ぐらいから日本市場で販売されており、比較的歴史の長い製品です。そのため、各製品での大きな機能・価格差はなくなりつつあります。つまり、実績があるか、自社の運用に合っているか、きめ細やかな運用ができるか、サポートは安心かといった機能・価格以外の比較が重要になってきます。

以下に、ハードディスク暗号化製品を比較・検討する際のポイントについて記載します。製品選定にお役立ていただければ幸いです。なお、お客様の環境や運用状況によって記載内容が当てはまらない場合がありますので、予めご了承ください。

フルディスク暗号であること

ハードディスク暗号化(SSDも含む)には、「ドライブ暗号」と「フルディスク暗号」の2種類が存在します。ドライブ暗号は、Cドライブ、Dドライブといったドライブ単位で暗号化する方式です。一方、フルディスク暗号は、Cドライブ、Dドライブといった全ドライブを丸ごと暗号化する方式です。

ドライブ暗号は、OSをリカバリーしやすい等のメリットがありますが、DドライブやEドライブが暗号化されていなかったというような初歩的なミスが想定されます。PCによってはドライブレターやドライブ数が異なることがあるため、全てのドライブを暗号化できる「フルディスク暗号」を推奨します。

管理者のみハードディスクの暗号を解除できること

せっかくハードディスク暗号化製品を導入しても、エンドユーザーがいつでも暗号を解除できる状態では、盗難・紛失対策として好ましくありません。PC盗難・紛失時に実は暗号が解除されており、ハードディスク全体が復号されていたという事態は避けなければなりません。

例を挙げますと、BitLockerは、Windowsの管理者権限があればいつでもドライブの暗号を解除することができてしまいます。もし、BitLockerを検討される場合は、Active Directoryを導入するなどエンドユーザーに管理者権限を付与しない運用ができるのかご確認ください。

サーバーで一元管理できること

PCが数台規模であれば問題ありませんが、数十台以上の規模になってくると、情報システム部門での管理を容易にするため、管理サーバーを用意することをお勧めします。お勧めする理由は3つあります。

  • 暗号化ステータスが確認できる
    PCが盗難されたり、PCを紛失してしまったりした場合、そのPCが本当に暗号化されていたという証拠(エビデンス)が必要です。管理サーバーを用意しておくことで、そのPCがいつからいつまで暗号化されていたのか確認することができます。

  • 管理サーバーからポリシーを一括配信できる
    ハードディスク暗号化製品を導入した後、パスワード試行回数の上限値を変更したいという要求があった場合、管理サーバーがないと各PCにて設定変更が必要となります。管理サーバーを用意しておくことで、該当する複数のPCに対して、設定したいポリシーを即座に配信することができます。

  • トラブルシューティングが容易になる
    万が一、OSが起動しないといったトラブルに遭遇した場合でも、管理サーバーがあれば、管理サーバー側にバックアップしている「秘密鍵」というハードディスクの暗号化に使用されている鍵を使って、データ復旧を試みることができます。他にも、PC側のログが収集できたり、デバイス情報が確認できたりするため、トラブルシューティングが容易になります。

パスワードリカバリーが安全にできること

ハードディスク暗号化製品を導入すると、通常プリブート認証と言われるOSの起動前に認証する画面が表示されます。プリブート認証にログインするためのパスワードを忘れてしまうと、OSを起動することができません。

preboot_authentication.png

そのため、パスワードを忘れてしまった場合は、パスワードリカバリーを実施して、パスワードを再設定する必要があります。一般的には、「チャレンジ&レスポンス」と言われるワンタイムパスワード(1回しか使えないパスワード)を使い、パスワードリカバリーすることがほとんどです。

パスワードリカバリーの際に、エンドユーザーにメールや電話で実際のパスワードを伝えたり、夜間・休日でも対応できるようにと情報システム部門の担当者が全てのPCのパスワードを印刷して自宅に持ち帰るといったことがないか確認してください。

データ復旧が容易であること

万が一、OSが起動しないといったトラブルに遭遇した場合でも、データリカバリーが容易であれば、安心です。各ベンダーからリカバリーツールが提供されていると思いますので、製品選定時にデータ復旧のシミュレーションを実施して、データ復旧が容易かどうか確認してください。

recovery_tool.png

OSなどの環境変化に対応が早い製品であること

ハードディスク暗号化製品を選ぶ際の重要なポイントの1つとして、OSなどの環境変化に対応が早い製品であることが挙げられます。

Windows 10は年に2回、機能更新プログラムという大型アップデートがリリースされる計画となっています。他のアプリケーションと同様、機能更新プログラムの適用後に正常に動作しないといったことも予想されるため、速やかに修正プログラム等がリリースされる製品かどうか、提供元の体制などを確認してください。

ハードディスク暗号化製品のリリースノートやFAQサイト等を参照すれば、リリース時期が分かると思います。また、Windows UpdateやWSUS経由でWindows 10の機能更新(大型アップデート)が手間なく適用できるかどうかも合わせて確認してください。

しっかりとしたサポートが受けられること

ハードディスク暗号化製品のほとんどは、海外製品またはそのOEM製品となっています。トラブル時に満足なサポートが受けられないとか、販売店を挟んでいて伝言ゲームになってしまうといったことがないか事前に確認してください。

サポート対応の良し悪しは、実際に製品を導入して問い合わせをしてみないと分からないものですので、製品またはサービスの導入前にトライアルをしてみて、サポート対応の良し悪しを見極めるのも良い手だと考えます。

自社にあった導入・運用が実現できること

当然と言えば当然ですが、セキュリティ製品は適切に運用できて始めて機能します。自社にあった導入・運用が実現できることが重要です。

「認証トークンを使いたい」、「オフライン環境で利用したい」、「社内ではプリブート認証画面を表示しないようにしたい」、「macOSの暗号化管理もしたい」、「キッティング業者に暗号処理をお願いしたい」、「展開方法を自由に選択したい」といった社内の要求事項を満たせる製品を選択する必要があります。

まとめ

これから情報漏えい対策として、PCのハードディスク暗号化(SSDも含む)を検討する情報システム部門のご担当者向けに、ハードディスク暗号化製品を比較・検討する際のポイントについてご紹介しましたが、いかがでしたでしょうか?

冒頭でも述べましたが、ハードディスク暗号化製品は競合も少なく機能・価格差は少なくなってきていますので、自社の運用に合った製品選びが重要となります。

当社では、2012~2017年国内トップシェア(大手IT調査会社調べ)のハードディスク暗号化製品「SecureDoc」を採用し、「SecureDocマネージドサービス」として管理サーバーをクラウド化したサービスを提供しております。

あの暗号化製品と比較してどうなの?といったご質問やトライアルしてみたいといったご要望がございましたら、ぜひ当社までお問い合わせください。

関連記事:持ち出しPCのセキュリティ対策としてまずディスク暗号化をするべき理由
関連記事:「ハードディスク暗号化製品を導入する前に知っておきたい注意事項とは?
関連サービス:SecureDocマネージドサービス