PCの盗難・紛失対策は必要なのか?

漏洩原因の21.8%が紛失・置き忘れ

企業で使用するPCの中に機密情報や個人情報等が保存されており、そのPCを社外に持ち出すのであれば、盗難・紛失対策は「必須」と言えるでしょう。日本ネットワークセキュリティ協会(JNSA)が2018年6月に公開した「2017年情報セキュリティインシデントに関する報告書」において個人情報の漏えい原因の21.8%が「紛失・置き忘れ」となっており、「誤操作」の次に多い漏えい原因となっています。

原因別 漏えい件数

個人情報取り扱いの厳格化・モバイルワークの拡大

最近では、EU一般データ保護規則(GDPR)の施行に代表されるように、個人情報の取り扱いに関する法整備がグローバルで厳しくなっています。日本でも、マイナンバー制度の施行や個人情報取扱事業者の件数要件撤廃等により、個人情報の取り扱いに一層の慎重さが求められています。さらに、労働人口の減少が問題視されている日本では、一億総活躍社会を実現するために働き方改革を政府が推し進めています。その中で、企業もモバイルワークや在宅勤務といったPCを社外に持ち出すことを許可する企業も増えており、PCの盗難・紛失対策はより一層重要になってくると考えています。

IPAでも盗難・紛失対策として暗号化を推奨

IPA(独立行政法人情報処理推進機構)では、情報セキュリティに関する様々なガイドラインや役立つ資料を提供しておりますが、モバイルデバイスの盗難・紛失などの際の情報漏えいを防止する手段として、デバイスや格納してある情報に暗号化の設定を適切に施しておくことが有効であると述べています。

ディスク暗号化とは?

ディスク暗号化とは、簡単に言いますとPCの主要な記憶媒体であるハードディスクまたはSSDに保存されているデータを丸ごと暗号化し、PCの盗難・紛失時の情報漏えいを防止するためのテクノロジーです。ファイル暗号の場合は、作成したファイル単位で暗号化しますが、ファイルを使用する度に暗号化・復号を繰り返さなければなりません。一方、ディスク暗号の場合は、ハードディスクまたはSSDのセクター単位で自動的に暗号化しますので、意識しなくてもディスクに保存されているOS、アプリケーション、ファイルを丸ごと暗号化することができます。正規の利用者のみが利用できるようにするため、一般的なディスク暗号化製品は、プリブート認証(OS起動前認証とも言う)と呼ばれるOSが起動する前に認証するプログラムが用意されており、このプリブート認証を通過するとデータの復号が可能となり、OSが起動してアプリケーションやファイルにアクセスできるようになっています。

SecureDocが選ばれる理由

SecureDocとは?

SecureDocは、カナダにあるWinMagic社が開発・販売しているディスク暗号化製品です。グローバルで700万ライセンス以上の導入実績があります。Windows 10にもいち早く対応しているだけでなく、BitLockerやOpalドライブといった複数の暗号機能の管理も可能なため、様々なデバイスの暗号化を一元管理することができます。

SecureDocが選ばれる理由

豊富な導入実績

グローバルで700万ライセンス以上の導入実績があります。国内データ保護市場においても2012年~2017年トップシェアの販売実績のある製品です。(大手IT調査会社調べ)また、NECグループの持ち出しPCにも導入されています。

他社ディスク暗号化製品より運用が容易

他社ディスク暗号化製品と比較して、Windows 10への対応が早かったり、OSが起動しなくなってしまった場合のデータリカバリーやパスワード紛失時のパスワードリカバリーが容易であったりと運用面での使い勝手が良いことがポイントとなっています。また、様々な機能・設定があるため、お客様の運用に合った柔軟な設定ができることもSecureDocが選ばれる理由の一つにもなっています。

SecureDocマネージドサービスの詳細

特長

ディスク暗号化に必要な負荷を軽減できる

SecureDocの管理サーバーは当社管理となるため、お客様は管理サーバーを構築・運用せずに導入が可能です。また、パスワードロックの解除、PC無効化、プロファイル変更等のオペレーションを当社が代行するため、お客様が管理サーバーの操作を覚える必要がありません。トラブル発生時は、当社サービスデスクがサポートいたします。

初期投資がいらない月額課金

1台から始められる月額サービスなので、特定部署から始めるといったスモールスタートで手軽に導入できます。また、管理サーバー用のサーバー購入費用も不要なため、初期費用を抑えて、PCの盗難・紛失対策を実現できます。

Windows10の機能更新プログラムに対応

Windows 10では、従来のOSとは異なり、機能更新プログラム(フィーチャーアップデート)と呼ばれる大規模アップデートが年2回リリースされます。従来、ディスク暗号化製品をインストールした状態では、機能更新プログラムを適用することはできず、ユーザーによる作業が必要でした。

SecureDocでは、ハードディスクまたはSSDが暗号化された状態のまま、システム管理者やユーザーが特別な準備や操作をすることなく、Windows UpdateまたはWSUS経由で機能更新プログラムを適用することができます。

機能

PCをリモートから無効化

PCの盗難・紛失の連絡を受けた場合、リモートからPC無効化の命令を出します。命令を受け取ったPCは暗号鍵を失い、SecureDocの認証画面が起動しなくなりますので、Windows OSを起動することができなくなります。

管理サーバーと無通信時にロック

PCが管理サーバーと一定期間通信しなかった場合、盗難されている可能性があるとみなし、自動的にロックします。

Opal準拠の自己暗号ドライブ(Self-Encrypting-Drives)に対応

Opalドライブは、利用開始前からドライブ全体が暗号化されているため、SecureDoc導入時に暗号化処理にかかる時間を大幅に削減することができます。また、Opalドライブ搭載機であれば、Windows 10の機能更新プログラムも問題なく適用できます。

BitLockerの暗号化管理

BitLockerで暗号化したPCもSecureDocで暗号化したPCと同様に管理することができます。例えば、BitLockerでドライブを暗号化しつつ、SecureDocのプリブート認証を使用することで、パスワード紛失時の運用を統一することができます。

外部メディアへの読み取り/書き込みを制御

USBメモリー、SDカード等の外部メディアの読み取り/書き込みを制御します。

価格

サービス内容
  • ・パスワードロック時の解除(チャレンジ&レスポンス)
  • ・PC盗難・紛失時の端末無効化
  • ・導入時のサポート
  • ・PCに問題が発生した場合の切り分けサポート
その他提供機能
  • ・ディスク全体の暗号化
  • ・一定期間サーバーとの通信が行なわれない場合のロック
  • ・Opalドライブの管理
  • ・外部メディアの読み書き制御
価格月額700円/1台(税抜)
最低利用台数1台
最低利用期間1ヶ月

動作要件

通信要件
通信ポートお客様の環境から、当社管理サーバーのポート80番へのアウトバウンド通信が可能なこと(HTTP通信ではありません)
通信環境インターネット接続 1Mbps以上を推奨
PC要件
対応OS
(32ビット版、64ビット版)
Microsoft® Windows® 7 SP1 / 8.1 / 10
必要最低スペックPentium® 互換CPU 1GHz以上
ハードディスク 500MB以上
メモリ 512MB以上
推奨スペックPentium® 互換CPU 1GHz以上
ハードディスク 全体容量の10%以上の空き容量
メモリ 1GB以上
その他日本語キーボード

SecureDocパッケージ版の詳細

概要

自社で管理サーバーを導入したいお客様向けに、パッケージ版のSecureDoc(SecureDoc Enterprise Server)ソフトウェアを提供することも可能です。サービス運用で培った知見をもとに、導入や運用をサポートします。

機能

BitLocker、FileVault2の管理

WindowsのBitLockerや、macOSのFileVault2といったOSに備わった暗号化機能をSecureDocで一元管理することができます。

Opalドライブの管理

Opalドライブとは、TCGが策定している自己暗号化ドライブの規格です。Opalドライブの管理をSecureDocでおこなうことができます。

ネットワークを経由したプリブート認証(PBConnex)

SecureDocは、プリブート認証画面の時点でネットワークに接続し、社内に設置した管理サーバーと通信することができます。そのため、以下のような運用を実現することができます。

プリブート認証画面にてサーバーと通信できる場合は、パスワードを入力しなくても自動的にOSを起動させます。社内にいる場合は通常のPCと何も変わらないので、ユーザーの負荷が軽減されます。

ユーザーID自体がクライアントPCには存在せず、サーバー側で認証をおこなってログインします。クライアント側に認証情報が存在しないので、セキュリティが非常に高くなります。

Windowsログインとの連携(Credential Provider)

プリブート認証での認証+Windowsでの認証の2段階認証になってしまうことでユーザーの負担増が懸念される方向けに、プリブート認証の認証情報でそのままWindowsの指定アカウントでログインできるように設定できます。

外部デバイスの暗号化

USBメモリーなどの外部デバイスを暗号化することができます。カギを選択することにより、共有範囲を柔軟に設定することができます。

Active Directoryとの連携

Active Directoryのユーザー情報をインポートして、SecureDocのユーザーIDとして使用することができます。

ローカルおよびクラウド上のファイルの暗号化(オプション)

フォルダの暗号化ができます。共有フォルダや、クラウド上のフォルダを暗号化することができます。カギを持っているユーザーは自動で開くことができますので、ユーザーの使い勝手を損ねることがありません。

管理サーバーの動作要件

OSMicrosoft® Windows® Server 2012/2012 R2/2016
.NET Framework 4.0以上
.NET 3.5
Microsoft® Windows® Identity Foundation 3.5
※Webコンソールを利用する場合、IIS7.0以上が必須
メモリ最小512MB以上。1GB以上を推奨
ディスク最小4GB以上の空き容量。40GB以上を推奨。
CPUPentium® 互換CPU以上
データベースMicrosoft® SQL Server 2008, 2012, 2014(EXPRESSでも可)
※管理するユーザ数とクライアント数によって、動作要件が異なる場合があります。

オプション

導入支援サービス

本サービス導入に当たって、面倒な「SecureDocソフトウェアのインストール作業」や「ディスクの暗号化作業」を代行する導入支援サービスがあります。 サービス範囲・価格については、端末台数、拠点数やお客様環境によりますので、別途お問い合わせください。 なお、基本作業内容は以下の通りです。

  • ・PCへのSecureDocソフトウェアのインストール作業
  • ・PCのディスク暗号化作業

よくある質問

BIOSパスワードでは情報漏えい対策にならないのですか?
BIOSパスワードは、簡易的な方法であり、現在では有効な情報漏えい対策とは考えらえていません。BIOSパスワードを設定しておけば、OSの起動を阻止することはできますが、PC筐体からディスクが抜き取られてしまった場合は、ディスク上のデータは丸見えのため、比較的簡単に情報を抜き取られてしまいます。
Windows 10 Homeエディションは動作しますか?
Windows 10 Homeエディションのご利用は推奨しておりません。Windows 10からは機能更新プログラムが年2回リリースされる予定となっており、Windows 10 Homeエディションはこの機能更新プログラムの適用を遅らせたり、適用時期を制御したりすることができず、リリース後すぐに適用が開始されてしまいます。他のアプリケーションにも同じことが言えますが、機能更新プログラムの変更内容によっては、SecureDocプログラムのバージョンアップを先に実施しなければならないケースも考えられるため、Windows 10 Homeエディションのご利用はお控えいただくことをお願いしております。
社内利用も多く、ユーザーの負荷をあげたくない。持ち出しPCの申請が煩雑なので何とかしたい
・社内にいるときは自動認証
・社外にいるときは自分で認証
上記のように設定することにより、社内ユーザーは今までと同じ使い勝手で端末を利用することができます。また、社外にいる際にはプリブート画面で停止しますので、勝手に持ち出されることを防ぐことができます。社内にいるかどうかは、プリブート画面にてサーバーと通信が可能かどうかによって判定します。(パッケージ版のみ)
暗号化すると、故障時などに復旧が大変なので導入をためらっている
障害が発生した端末のディスクを取り外し、SecureDocで暗号化されたほかの端末に接続します。その状態で、障害が発生したディスクのカギを送付すると、そのディスクが即座に閲覧可能になります。復号の必要がありませんので、データが閲覧可能になるまでの時間が15分程度になります。
ディスクが取り外せない端末の場合、OSが起動できなくても利用できるリカバリーツールをISOイメージの形式で提供し、このツールを使用してリカバリーをしていただくことができます。ツールを起動して認証をおこなうだけでデータが閲覧可能になります。
ディスクの暗号化をしたいが、暗号化に時間がかかることを懸念している
ハードディスクでは、1GBを暗号化するのに3分程度かかります。SSDでは、ディスク容量が少ないこと、読み込み・書き込み性能が良いことから概ね30分~3時間程度で暗号化を完了できます。暗号化にかかる時間をゼロにするには、Opalドライブをご利用いただくことを推奨します。Opalドライブは、ドライブのハードウェアにて暗号化/復号処理をおこなうので、CPUへの負荷も一切かかりません。