ハードディスク暗号化製品を導入する前に知っておきたい注意事項とは?

セキュリティ管理

はじめに

政府が主導する働き方改革により、モバイルワークや在宅勤務といった社外での業務活動がより一層活発化すると考えております。そのため、モバイルPCやタブレットPCの活用機会が増え、これまでよりも情報漏えい対策が必要不可欠になってくるでしょう。

今回の記事では、これから情報漏えい対策として、モバイルPCのハードディスク暗号化(SSDも含む)を検討する情報システム部門のご担当者向けに、ハードディスク暗号化製品を導入する前に知っておきたい注意事項についてご紹介します。

「ハードディスク暗号化とは?」、「なぜ、盗難・紛失対策にはハードディスク暗号化が良いのか?」といった内容についてお知りになりたい方は、別の掲載記事「持ち出しPCのセキュリティ対策としてまずディスク暗号化をするべき理由」をご参照ください。

ハードディスク暗号化製品を導入する前に知っておきたい注意事項とは?

ハードディスク暗号化製品を導入する前に知っておきたい注意事項がいくつかあります。事前に知っておくことでトラブルを未然に回避することができますので、ご一読ください。

機種依存があるため、トライアルが必要

ハードディスク暗号化製品は、ディスクにあるデータをメモリーへ展開する際に復号し、メモリーにあるデータをディスクに保存する際に暗号化するため、ハードウェアに近いレイヤーで動作します。

そのため、機種によってはハードディスク暗号化製品が正常にインストールできなかったり、プリブート認証画面(OSが起動する前の認証画面)が起動しなかったりすることがあります。他にも、ウィルス対策ソフトなどのセキュリティソフトと競合する場合もあります。

機種依存を回避するために、ハードディスク暗号化製品によっては別のプリブート認証プログラムに切り替えたり、起動パラメーターを修正したりすることも可能ですが、事前にトライアルで検証したほうがトラブルを未然に防ぐことができます。可能であれば、PCを購入する前に、対象となる機種について導入実績があるかどうかベンダーに確認するとよいでしょう。

データバックアップが必要

ハードディスク暗号化製品を導入する場合に限りませんが、データのバックアップ手段を用意しておく必要があります。

ハードディスク暗号化製品を導入する際に、ディスク障害などのトラブルによりOSが起動できなかったり、機種依存によりプリブート認証画面が起動できなかったりした場合にデータ損失の恐れがあります。

ハードディスクを暗号化していないPCと比較して、障害時のデータ復旧は難しくなりますので、万が一に備えてPC利用中でも定期的にデータをバックアップするようにエンドユーザーに習慣づけることをお勧めします。

リカバリーメディアが必要

ハードディスク暗号化製品のほとんどはいわゆる「フルディスク暗号」と言われるもので、ハードディスクまたはSSDをセクター単位で暗号化します。昨今のPCは購入時にリカバリーメディアを付属しておらず、OSリカバリー領域がハードディスクまたはSSD内に別途用意されているケースがほとんどです。

しかし、ハードディスク暗号化製品はこのOSリカバリー領域も暗号化してしまうため、ハードディスクまたはSSDからのOSリカバリーは使用できません。OSリカバリーをするためには、導入する機種毎にリカバリーメディア(DVD等)を用意しておく必要があります。

暗号化/復号に時間がかかる(導入時/終了時)

既にご存知かと思いますが、製品導入時にハードディスクまたはSSDを暗号化する際に、1時間~20時間ほど時間がかかります。ディスクの書き込み性能や容量によるため、一概に言えませんが、「ドライブ容量÷約3GB/分」で大体の暗号化にかかる時間が見積れます。

復号にかかる時間については、暗号化にかかる時間より少なくなる傾向があります。復号する場合は、データがある領域のみ復号すればよいので暗号化よりも早く処理が完了します。「データ使用量÷約3GB/分」で大体の復号にかかる時間が見積れます。

暗号化する際に、データ領域のみ暗号化することで暗号化にかかる時間を削減することも可能ですが、新しいPCではない限り、データがディスク上に残っている可能性があるため、全領域を暗号化すべきです。

ハードディスク暗号化製品の導入時やPCの代替機を用意する際に必ず暗号化処理が必要となりますので、どれくらいのリードタイムでエンドユーザーにPCが配布できるのか事前に見積っておくと良いでしょう。PCの代替機がある場合は、事前に暗号化しておくと短時間でエンドユーザーにPCを配布できます。

スリープはダメ!休止状態を使おう

冒頭でも述べましたが、ハードディスク暗号化製品はディスクにあるデータをメモリーへ展開する際に復号します。スリープの状態では、メモリー上に復号されたデータが存在しているため、PCの盗難・紛失にあった場合にメモリー上にあるExcel等のデータが盗まれる可能性があります。

そのため、Windowsの電源オプション等でスリープは使用しない、または短時間で休止状態に遷移するように設定することをお勧めします。休止状態になれば、メモリー上のデータは全てディスクに書き込まれて暗号化されます。また、休止状態から復帰する際にはプリブート認証画面が表示されるため、安全です。

なお、Window 10の場合、デフォルトでは電源メニューに「休止状態」は表示されませんので、[コントロールパネル]-[電源オプション]-[電源ボタンの動作を選択する]-[現在利用可能ではない設定を変更します]-[休止状態]にチェックをいれ、<変更の保存>ボタンをクリックして、休止状態を有効にしてください。

power_settings.png

Windows 10の機能更新プログラムを制御しよう

Windows 10は進化し続けるOSとなっており、機能更新(Feature Update)プログラムと言われる年2回の大型アップデートが計画されています。

今後も機能更新プログラムによってOSの機能が大幅に変更されることが想定されるため、機能更新プログラムを適用した後、インストール済みのアプリケーションが動作しないということは十分に考えられます。各製品ベンダーは、機能更新プログラムのInsider Previewビルド等にて早期に動作確認をしていますが、正式リリース版では機能が変更されることもあり、機能更新プログラム適用後の動作に問題がないかどうかはリリース後に改めて確認したほうが良いです。

そのため、WSUS(Windows Server Update Services)を導入して、適用する機能更新プログラムのバージョンやタイミングを制御できる環境にしておくことをお勧めします。WSUSがない環境の場合は、Windows Updateの設定で3~6か月程度は適用を延期し、十分な評価期間を設けるようにすると良いでしょう。

Windows_Update_Details.png

Opalドライブ搭載PCは注意が必要

Opalドライブという言葉はご存じでしょうか?簡単に説明しますと、Opalドライブはハードウェアで暗号処理を行うハードディスクまたはSSDのことです。パフォーマンスが劣化しない、初期の暗号処理が不要、トラブル時の対応が容易といった優れた機能を持っています。

しかし、Opalドライブは、導入時やトラブル時の対応内容が普通のハードディスク/SSDと異なるため、以下の4点について注意が必要です。

  • Opalドライブ搭載かどうか見た目では区別できない
    PCを見ても、Opalドライブ搭載PCかどうか見た目では区別できません。PCを購入する前に、Opalドライブ搭載PCなのかどうかカタログやPCベンダーに確認するようにしてください。

  • 海外製PCでは同一モデルでもOpalドライブ搭載/非搭載が混在している
    海外製PCに見られることですが、同一モデルのPCであってもOpalドライブが搭載されていたり、搭載されていなかったりということがあります。Opalドライブ搭載/非搭載により同一モデルであっても暗号化の動作や運用手順が変わるため、注意が必要です。

  • スリープ設定が自動的に無効になる場合がある
    ハードディスク暗号化製品によっては、Opalドライブ搭載PCにインストールすると、自動的にスリープ設定が無効になる場合があります。スリープ状態でPCが盗難された場合、OS上からデータにアクセスできてしまう可能性があるため、ハードディスク暗号化製品を導入する場合は、スリープではなく休止状態とすることを推奨しています。しかし、知らない間にスリープ設定が無効になる場合がありますので、注意が必要です。

  • OSリカバリー前に製品のアンインストールが必要
    ハードディスク暗号化製品でOpalドライブを有効化した場合、「Opalモード」というモードに遷移します。Opalモードのまま、OSリカバリーをしてしまうと再度ハードディスク暗号化製品をインストールする際に失敗してしまいます。必ず、製品をアンインストールしてからOSリカバリーを実施してください。なお、管理サーバーに保存されている暗号データを使えば、Opalモードを解除することも可能です。

    なお、Opalドライブの詳細についてお知りになりたい方は、別の掲載記事「Opal準拠の自己暗号化ドライブとは?」をご覧ください。

まとめ

これから情報漏えい対策として、PCのハードディスク暗号化(SSDも含む)を検討する情報システム部門のご担当者向けに、ハードディスク暗号化製品を導入する前に知っておきたい注意事項についてご紹介しましたが、いかがでしたでしょうか?

本記事に記載した内容を事前に把握していただければ、ハードディスク暗号化製品の導入時・運用時に起こりうる多くのトラブルを未然に防ぐことができると思いますので、ぜひ参考にしてください。

当社では、2012~2017年国内トップシェア(大手IT調査会社調べ)のハードディスク暗号化製品である「SecureDoc」を採用し、「SecureDocマネージドサービス」として管理サーバーをクラウド化したサービスを提供しております。

あの暗号化製品と比較してどうなの?といったご質問やトライアルしてみたいといったご要望がございましたら、ぜひ当社までお問い合わせください。

関連記事:持ち出しPCのセキュリティ対策としてまずディスク暗号化をするべき理由
関連記事:「Opal準拠の自己暗号化ドライブとは?
関連記事:「ハードディスク暗号化製品を比較・検討する際のポイントとは?
関連サービス:SecureDocマネージドサービス