持ち出しPCのセキュリティ対策としてまずディスク暗号化をするべき理由

持ち出しPCのセキュリティ対策としてまずディスク暗号化をするべき理由

セキュリティ管理

はじめに

企業にて持ち出しPCを導入する場合、ディスク暗号化はセキュリティ対策として必須と言われています。どうしてそのように言われるのでしょうか。本記事では、その理由について、あらためて考えてみます。

結論から言いますと、ディスク暗号化が持ち出しPCへの対策として必須と言われている理由は、「盗難・紛失時にデータ漏えいのリスクから守るもっとも現実的な手段」だからです。では、なぜそのように言えるのでしょうか。

ディスク暗号化とは?

まず、ディスク暗号化とは何でしょうか。ディスク暗号化とは、HDD/SSDの全体、もしくはドライブ単位で、ファイルの有無にかかわらず全体をまとめて暗号化してしまう事を言います。ディスク内のファイルは、HDD/SSDの中では常に暗号化され、メモリ上に取り出された際に復号されます。暗号化や復号はシステムが自動的におこないますので、エンドユーザーが暗号化されていることを意識することはありません。ファイル暗号の場合は、外部へ送信する際や場合によっては閲覧する際に暗号化の解除をおこなう必要がありますが、ディスク暗号化の場合は、そのような操作は必要ありません。ただ、すべてを暗号化してしまうため、障害時等にはより復旧のために通常より複雑な手順が必要になる場合が多いです。

持ち出しPCとは?

次に、持ち出しPCとはどのようなPCの事でしょうか。皆様の会社では、持ち出しPCについて何かしらの制限がついていますか。○○の基準(対策ソフトウェア導入など)を満たしたPCのみ持ち出し可能、申請したPCのみ持ち出し可能、そもそも持ち出し自体が全面的に禁止など、いろいろな対応を取られている会社があると思います。

企業で持ち出しPCに対して、何かしら制限をかけたり、特別な対策をしているのは、「持ち出しPCには通常のPCと比較して、より情報漏えいのリスクがある」と考えられているからだと思われます。

持ち出しPCにはどんなリスクがある?

持ち出しPCは、企業内で使用するPCと何が違うのでしょうか。大きな違いは使用している場所です。企業内にあれば、だれか悪意のある人が端末を持ち出すためには、建物にまず侵入しないといけません。

一方で持ち出しPCの場合、ひったくりにあうかもしれませんし、飲み会の帰りに置き忘れてしまうかもしれません。いわゆる盗難・紛失です。持ち出しPCは、常に企業内にあるPCと比べて、盗難・紛失のリスクが高くなります。

企業が守りたいのは端末よりもデータ

盗難・紛失時には、端末は利用者の手元から離れてしまいますので、悪意のある人の手元にわたってしまう可能性があります。

端末が失われた際、端末そのものをなくし、新たな端末が必要になることも大きな出費ですが、データに関わる問題がより大きいです。データがなくなれば仕事を継続することができませんし、機密データや個人情報が外部に漏れてしまうようなことがあったら、企業の存続そのものにかかわる重大な問題になってしまいます。

情報漏えいのリスクは、洗い出し、検討し、対策しなければなりませんが、端末が物理的に離れてしまった場合、何も対策していなければ当然簡単に情報を抜き取られてしまいます。この場合、もう端末が悪意のある人にわたらないことを祈るしかありません。

悪意ある人が端末を手に入れたら?

そもそも、悪意のある人が端末を手に入れた場合、どのようなことをするでしょうか。主に以下のようなことをすると考えられます。

  1. 端末の電源を入れてみて実際に起動するか確認してみる。
  2. 端末を別のOSで起動し、データが見られるかを確認してみる。
  3. 端末のディスクを取り出し、別のディスクとして認識させ、データが見られるかを確認してみる。
  4. OSをリストアして端末を売り払う。

この中で、情報漏えいの危険があるのは、1〜3の場合です。1の場合はWindowsのパスワードなどの認証画面で止まるかもしれませんが、2や3の場合、つまり端末を別のOSで起動した場合や、端末のディスクを取り外した場合は、OSのパスワードでは防ぐことができません。

ディスク暗号化によって、盗難・紛失時にデータを守ることができる

ディスクを暗号化している場合、端末を起動するとOS起動前に認証画面があらわれ、認証情報が正しくないとOSが起動しません。また、ディスクをとりはずして別の端末につなげてもデータを見られませんし、別のOSから起動しても同じです。端末をリストアして売り払う、ということを防ぐことはできませんが、その場合は情報漏えいはしませんので、端末代だけの損害で済みます。

ここで重要なことは、現在AESで暗号化をしている場合「世の中に知られている方法で暗号を破るすることはできない」ということです。実は「詳しい人であれば暗号化を解除できる」といったことでは情報漏えい対策をおこなっているとは言えません。たとえば、Windowsのログインパスワードやエクセルのパスワードなどは、詳しい人であれば解除することができてしまいます。
また、利用者の状況に依存しない、という点も大きなメリットです。ファイルの暗号化と異なり、暗号化や復号をユーザーが意識して実施することはありませんので、暗号化し忘れなどの心配がありません。

ディスク暗号化の弱点

いいことづくめのようですが、ディスク暗号化は情報漏えい対策における絶対の手段ではありません。主に以下の弱点があります。

OSから見るとファイルは常に復号されているので、マルウェア対策にはならない。
OS上はファイルがそのまま見える、というのは、使い勝手が変わらないというメリットがありますが、それはマルウェアにとっても同様ですので、マルウェア対策は通常のPCと同様必要です。

認証情報が突破されないように注意しないといけない。
ディスクが暗号化されていても、認証情報が突破されてしまうと効果は大幅に減少してしまいます。パスワードの場合は試行回数に制限を設けたり、トークンや指紋などを使用した二要素認証を導入するなどの対策が必要です。

暗号化が突破されないことが将来にわたって保証されていないわけではない。
暗号化の強さとは、「現在の技術で現実的な時間で解析ができない」ことを根拠にしています。そのため、もしコンピュータの技術が飛躍的に進歩する、もしくは数学的な大発見がある、などの事があれば、AESも「安全な暗号」ではなくなる日がくることになるかもしれません。実際に、過去の暗号化方式で、ある時から「安全な暗号ではない」とされてしまったものもあります。

まとめ

ディスク暗号化は、持ち出しPCを使用する際の大きなリスクである「盗難・紛失」に対し、現在ある様々なセキュリティ技術の中でももっとも現実的な解決策であると言うことができます。ですが、マルウェア対策など、「盗難・紛失」以外のリスクに対しては他のPCと同様に対策が必要です。

企業で持ち出しPCを利用される方は、上記を理解した上で、ぜひ「ディスク暗号化」の利用をお勧めします。