暗号化機能付きHDDは正しく使わないと情報漏えい対策にならない!?

セキュリティ管理

はじめに

「暗号化機能付きHDD/SSD」をご存知でしょうか。ソフトウェアではなく、ハードウェア側にてディスク暗号化の機能を搭載しているディスクをこう呼んでいます。
セキュリティ対策のためにはディスクの暗号化が必須と言われている中で、「暗号化機能付きHDD/SSD」を選択肢として考えられているユーザーも多いかと思います。
しかし、実は「暗号化機能付きHDD/SSD」には、あまり知られていない注意点があり、使い方を誤ってしまうと、「セキュリティ対策をしているつもり」になってしまいかねません。本記事では、「暗号化機能付きHDD/SSD」の正しい使い方について、解説していきます。

「暗号化機能付きHDD/SSD」のメリットとデメリット

ディスク暗号化をセキュリティ対策としておこなう場合、通常はSecureDocなど、ソフトウェアにてフルディスク暗号化をおこないます。「暗号化機能付きHDD/SSD」の場合は、ハードウェア側にて初めからディスクの中身がすべて暗号化されています。データがディスクから取り出される際には復号した状態で取り出されるので、ユーザーは暗号化されていることを意識する必要はありません。

この「暗号化機能付きHDD/SSD」には、ソフトウェアで暗号化するのと比べて、以下の「メリット」と「デメリット」があります。特に、使用する際に暗号化をすることがないことや、端末による相性がでないことは、端末を運用する上で大きなメリットになります。

  • メリット
    • ハードウェアで暗号化しますので、暗号化する事による速度の劣化がありません
    • 常に暗号化をしていますので、ソフトウェアのように、使用する際に暗号化をする必要がありません
    • 端末による相性の問題がでにくいです
  • デメリット
    • ハードウェアの機能なので、購入時にその機能を搭載しているディスクを用意する必要があります

「暗号化機能付きHDD/SSD」は自己暗号化ドライブ(Self Encrypting Drive:SED)とも呼ばれます。また、自己暗号化ドライブの共通規格として、Opalというものがあります。最近の「暗号化機能付きHDD/SSD」は、Opalに準拠しているものであることが多いです。ただ、製造時期、モデルによって異なりますので、実際のところはハードウェアベンダーにお尋ねいただくのが確実です。

「暗号化機能付きHDD/SSD」はそのまま使ってはダメ!

さて、「暗号化機能付きHDD/SSD」ですが、特に設定がないので、そのまま使っていらっしゃる方はいませんか。
「暗号化機能付きHDD/SSD」は、そのまま使ってしまうとせっかくのセキュリティ機能を生かすことができません。

例えば、そのまま使っている場合は、以下の状況のときに端末の情報を守ることができません。

  • 悪意のある人が端末を入手し、ドライブを物理的に取り外して別の端末に接続した
  • 悪意のある人が端末を入手し、USBメモリ上の別OSから端末を起動した

つまり、盗難・紛失対策としての効果がきわめて低い、と言わざるをえません。
せっかくセキュリティ強化のために「暗号化機能付きHDD/SSD」搭載のPCを使用しているのに、これでは非常にもったいないです。

http://jpn.nec.com/products/bizpc/performance/security1.html
http://www.fmworld.net/biz/fmv/product/feature/security.html

上記NECや富士通のページにも、「暗号化機能付きHDD/SSD」の紹介がされていますが、よく見ると「HDDパスワードと併用」するように記載があります。
実は、「暗号化機能付きHDD/SSD」は、このままでは「カギ付きの金庫に情報を預けている」ようなものですので、実際に暗号化によって守られてはいますが、誰でも簡単に情報を取り出すことができてしまいます。そのため、HDDパスワードと併用する事が最低限求められています。
今までHDDパスワードをつけていなかった方は、いますぐつけて運用してください。

Opalドライブを活用しよう

また、Opal準拠のドライブであれば、SecureDocを含めた暗号化製品を利用する事で、セキュリティ対策としての機能を最大限に活かすことができます。
SecureDocをOpalドライブにインストールした場合、SecureDocはプリブート認証を挿入し、Opalドライブを管理するようになります。その場合は、認証を受けた正規のユーザーのみがデータにアクセスできるようになります。

この場合、HDDパスワードよりもさらにセキュリティレベルが高くなり、Opalドライブの機能を完全にいかす事ができます。

Opalドライブの入手方法ですが、一番簡単なのは、ハードウェアベンダーに対して、Opalドライブを積んだモデルを注文する事です。
以前は、Opalドライブを採用したモデルを採用すると調達コストがあがってしまっていたのですが、最近では多くのベンダーにて、それほどの価格差はなくなっているようです。
たとえば、パナソニック レッツノートの場合、2017年現在の法人向けモデルのSSDはすべてOpalに準拠しているドライブである事がホームページ上にも記載されています。(情報は変更になる可能性があるので、詳しくはホームページ上などで確認してください)

まとめ

「暗号化機能付きHDD/SSD」は、そのままで使ってはいけません。最低限、BIOSパスワード、HDDパスワードと併用する必要があります。SecureDocなどのディスク暗号化ソフトウェアと併用した場合に、もっともセキュリティが高くなります。

以上の注意点に気をつけて、「暗号化機能付きHDD/SSD」を利用し、セキュリティ強化に役立ててください。