Opal準拠の自己暗号化ドライブとは?

セキュリティ管理

はじめに

みなさまは「自己暗号化ドライブ」をご存知でしょうか。今回の記事では、自己暗号化ドライブ、なかでも特にOpal準拠の自己暗号化ドライブ(単にOpalドライブとも呼ばれます)の特徴について解説します。

自己暗号化ドライブとは?

自己暗号化ドライブとは、ハードウェアにてドライブ全体の暗号化をおこなっているドライブ(記憶装置)の事です。Self-encrypting Drive、略してSEDとも呼ばれています。ソフトウェアで後から暗号化をするのではなく、ハードウェアであらかじめ暗号化を実装しているHDD、SSDの事です。

NEC製PCの場合、「暗号化機能付きHDD/SSD」を選択した場合、自己暗号化ドライブが搭載されます。その他のベンダーでも、同様に選択することが可能です。また、hpやDellの場合、「何も指定しなくても自己暗号化ドライブだった」という事もあるようです。そのまま使用する場合、通常のドライブと動作は何も変わりませんので、利用者が何も気づかずに使用しているケースもあります。

Opalとは?

Opalは、「オパール」と読みます。宝石のオパールと同じです。
TCG(Trusted Computing Group)が策定している、自己暗号化ドライブについての規格です。 正確には、「Opal SSC(Security Subsystem Class)」と言われています。
ちなみに名前の由来は、もともとTCG内のワークグループで使用していた名前から来ています。TCGのワークグループにて、策定しようとしているSSCの名前に宝石(半貴石)の名前を使用していたようです。ヒスイとオパールがあり、ヒスイは名前が変わってしまいましたが、オパールはそのまま残ったようです。

Opal準拠以外の自己暗号化ドライブ

Opal準拠の自己暗号化ドライブ、というからには、Opal準拠以外の自己暗号化ドライブもあります。以下、代表的なものをいくつかあげます。

  • 各ベンダーの独自の自己暗号化ドライブ
    もともとは、各ディスクベンダーが独自で自己暗号化ドライブを実装していましたので、各ベンダー独自の規格の自己暗号化ドライブが多くありました。特にSSDでは、Opalドライブの利用が広がり、各ベンダー独自規格の自己暗号化ドライブは減少傾向にあります。

  • eDrive(Encrypted Drive)
    マイクロソフトがTCG Opal、IEEE 1667に基づいて作成した、BitLocker向けのSEDです。BitLocker向けのOpalという位置づけですが、純粋なTCG Opal準拠ドライブとは少し違うので注意が必要です。SamsungのSSDなどでは、管理ツールのメニューでeDriveとOpal準拠のモードを切り替えられるものもあります。
    以下に管理ツールの出力例を掲載します。OpalandeDrive_20171117.png

Opal準拠の自己暗号化ドライブの機能

Opal準拠の自己暗号化ドライブがもっている代表的な機能をいくつか紹介します。少し細かい内容ですのであらかじめご了承ください。

  • ATAセキュリティモードとOpalモード
    Opalドライブは、初めはATAセキュリティモードになっています。
    暗号化管理ソフトウェアを利用してOpalドライブを有効化すると、Opalモードになり、プリブート認証など、Opalドライブが持つ機能を有効化し、使用することができます。
    ATAセキュリティモードの場合、HDDパスワードを使用して端末を保護する必要があります。

  • MBR Shadow
    Opalモードにした場合、MBR Shadowという機能が有効になります。ドライブ上で見える領域を認証前後でハードウェア的に切り替える機能です。
    認証前はデバイスとして認証プログラム部分のみが認識されますので、暗号化部分を認識することができません。認証後は、今度は逆に認証プログラム部分はデバイスの一部ではないように見えます。具体的には、LBA(Logical Block Addressing)のマッピングが変わります。
    この機能により、悪意のある人間やウイルスによる攻撃のターゲットになりにくくなりますので、よりセキュリティが高くなります。

  • PSID Revert(Opal Crypto-erase)
    Opalドライブが内部で管理しているカギを変更します。変更後はデバイスの情報にアクセスすることができなくなります。また、OpalモードからATAセキュリティモードに戻ります。データ全体を消去するのとほぼ同じ効果が得られ、かつすぐに実行が完了します。
    実施するには、PSIDが必要です。PSIDは、ドライブに直接印字されています。以下の画像にて、「PSID:」の後にある文字列がそれです。画像では途中をぼかしていますが、32桁あります。

  • SSD_OpalImage.jpg

Opal準拠の自己暗号化ドライブのメリット

上記の特長で述べた通り、Opal準拠の自己暗号化ドライブは、暗号化管理ソフトウェアを使用して、Opalモードに切り替えて利用した場合に、もっとも有効に活用することができます。
Opal準拠の自己暗号化ドライブをOpalモードで利用すると、以下のメリットがあります。

  • ハードウェアで暗号化するので、初期の暗号化の時間がかからない
  • ハードウェアで暗号化するので、パフォーマンスの劣化がない
  • MBR Shadowなど、ハードウェアベースのセキュリティ機能がある
  • ハードウェアで暗号化しているので、暗号化が障害になって機能更新プログラム(Windows 10の大型アップデート)の適用に失敗する可能性がとても低い
  • 利用中のトラブルの際に、OSが起動できない状態でも簡単にOpalモードから元のモードに戻せるので、暗号化やプリブートプログラムの影響を排除できる

まとめ

Opal準拠の自己暗号化ドライブを有効利用すると、セキュリティを担保しつつ運用負荷を大幅に軽減することができますので、ぜひ活用ください。

Opal準拠の自己暗号化ドライブを有効活用するためには、暗号化管理ソフトが必要です。当社にて提供するSecureDocマネージドサービスでは、Opal準拠の自己暗号化ドライブを管理することができますので、詳細は当社までお問い合わせください。

関連サービス:SecureDocマネージドサービス