Windows 10 対応とハードディスク暗号化　で十分！！

2020年6月23日

Windows XPの延長サポートの完全終了、Windows 7のメインストリームサポートの終了を受けて、企業でのWindows 10対応が急速に広がる気配を見せています。諸々の都合や事情で先延ばしにしてきた企業でもWindows 10対応に向けていよいよ本腰を入れて取り組まなければなりません。

Windows 10対応に伴い、企業として取り組むべき課題はさまざまにありますが、本コラムでは「持ち出しPCやモバイル端末は紛失や盗難のリスクから100％逃れることはできない」「データや情報が抜き取られるリスクは必ず存在する」との認識のもと、情報漏えいを可能な限り防ぐためにはどうすればよいか―。OSのバージョンアップ、PCのリプレース・増設等で必要不可欠な重要対策のひとつとして、ハードディスク暗号化にフォーカスをあてて考えていきます。

情報漏えい原因の約36%は、PC等の盗難・紛失・置き忘れ

ビジネスにおいてノートPCやモバイル端末を社外に持ち出し、活用するシーンが急速に拡大しています。Windows 10対応に向けて、PCのリプレース・増設を検討されている企業も多いのではないでしょうか。

検討において最も重要なのは、情報漏えいリスクへの対策です。実際、盗難にあったり、紛失・置き忘れPCから不正にデータを抜き取られる情報漏えい事故が増えています。日本ネットワークセキュリティ協会の調査によると、個人情報の漏えい原因における盗難・紛失・置き忘れ比率は全体の約36%を占めています。

※参考：日本ネットワークセキュリティ協会『2015年情報セキュリティインシデントに関する調査報告書【速報版】』

OSログインパスワード、BIOSパスワードだけでは不十分

「PCはログインパスワードを設定しているので大丈夫」と思われるかもしれませんが、インターネット上で入手できるフリーのクラッキングツールを使えば、わずか数分でパスワードが突破される恐れがあります。

PCに詳しい人は「OS起動前に入力を求めるBIOSパスワード方式なら、安全性が高まるはず」と思われるかもしれませんが、これも誤解です。BIOSパスワードはPCのハードディスクを直接保護するものではないので、物理的な

クラッキング行為に対しては効力が十分ではないと言えます。

「BitLocker」などを使ったハードディスク暗号化が不可欠

持ち出しPCの情報漏えい対策として欠かせないのが、ハードディスク内のデータを特殊な技術で暗号化し、第三者による不正な読み出しを困難にする暗号化ソフト(もしくは機能)です。Windows 10に標準で搭載されているドライブ暗号化機能「BitLocker(ビットロッカー)」もそのひとつです。

しかし、BitLockerで果たして十分でしょうか。市販されている他のハードディスク暗号化ソフトについてもどうでしょう。どのような仕組みや特長を持っているのか、企業のインフラ管理者視点から運用が回るのか、しっかり吟味する必要があります。

ハードディスク暗号化ソフト選定 5つのポイント

ハードディスク暗号化ソフトには、導入にあたって難しい設定が必要であったり、従業員が自分のパスワードを忘れてしまった時の手続きが面倒であったり、ハードディスクの特定領域しか暗号化できないものがあったりします。BitLockerはWindows OSでしか使えず、他のOSでは別のソフトで対策をとらなければなりません。

Windows 10対応に向けたハードディスク暗号化ソフトの検討・選定では、自社での運用状況などを踏まえたうえで、後悔しないための十分な事前検討が必要です。そこで、とりわけ重要となる5つのポイントを取り上げてみました。

暗号化の対象範囲

データ領域だけか、OSも含めたフルディスク方式か

非暗号化領域があると、ハードディスクを別のPCに付け替えることで非暗号化できる不正なプログラムがインストールされてしまうなど、セキュリティリスクが高まります。リスクを排除するには「フルディスク暗号化方式」がおすすめです。

フルディスク暗号化方式では、OSや利用者データを含めて暗号化します。クラッキングツールが使用されても、OSが起動しないため、クラッキングツールの利用自体が無効となります。ハードディスクの抜き取りによるデータの盗難被害防止にもつながります。

市場に出回っているパスワード解析ツールや、データ復旧会社でパスワード解除サービスの提供があるものは避けたほうがよいでしょう。ソフトによっては管理者権限だけで暗号化解除ができるものもありますが、特定IDを用いた内部不正が問題視されている今、情報漏えい対策としては不十分です。

導入と運用管理のしやすさ

管理コンソールで一元管理ができるか、そうではないか

セキュリティポリシーなどをPC毎に手動で導入・設定する必要があるものは、対象台数が増えるほど設定作業に手間と時間がかかります。対象PCへのインストールのみで、難しい設定をせずに導入できるものが一番です。

また、専用サーバで集中管理ができ、管理コンソールから容易に管理できるものがよいでしょう。PC毎の状況をタイムリーに把握できなければ、万が一、暗号化が解除された時に迅速な対応が難しくなります

企業によってはWindows OSとMac OSが混在している場合がありますが、全社ガバナンスを効かせたハードディスク暗号化対策を行うには、同一ポリシーで一元管理できることが望ましいです。

パスワード忘れ時の対策

回復キーの漏えいを想定しているか、そうではないか

ハードディスク暗号化ソフトには、パスワード忘れ時に復旧するための鍵情報を持っている製品があります。この場合、鍵情報を当該のエンドユーザに通知するのですが、万が一、鍵情報が漏えいした場合、その代償は高くつきます。アカウントロックや非常ログイン時の対応についても同様です。鍵情報のような重要な情報を使わずに、パスワード再発行やワンタイムログオンができる仕組みがあることが望ましいです。

PC起動時の認証方式

OS連携でログオンができるか、そうではないか

ハードディスク暗号化ソフトによっては、PC電源ON後にまず暗号化ソフトの認証画面が立ち上がり、認証後、OS認証画面が立ち上がってログオンを求める「二段階認証方式」のものがあります。この方式では複数の認証情報の管理や二度のログイン認証が必要になり、ユーザの手間が増えてしまいます。覚えられないから…とパスワードを記載した付箋をPCに貼り付けておくユーザが出てきてしまう危険性もあります。

セキュリティと業務効率のバランスは重要です。業務に使うPCは、PC起動時のログオンが一度でスピーディーに行えるものが望ましいでしょう。ハードディスク暗号化ソフトのログオンとOSのログオンを連携させたシングルサインオン方式がおすすめです。

起動トラブル時の対応

面倒な手間をかけずにリカバリできるか、そうではないか

何らかの障害によって、システム領域が損傷しOSが起動できない、暗号化が解除できないといったトラブルはユーザにとって非常に深刻です。業務データを格納したPCが当日あるいは数日間にわたって使えない、最悪の場合、二度と使えなくなるようなことがあっては業務やビジネスに深刻なダメージを与えます。

ハードディスク暗号化ソフトでは、このような事態に備え、管理者による強制復号処理が可能な対応策がとられていますが、ソフトによってその手法はまちまちです。別途、ハードディスクを用意したうえでないと復号が行えないものがありますが、管理者にとっては煩わしい限りです。早急な業務復旧のためにも、特別な準備をせずに、復号処理が行える仕組みを選択されるとよいでしょう。