社外に持ち出すノートPCの盗難や紛失による情報漏えい対策として、ハードディスク暗号化は非常に有効な手段です。ハードディスク暗号化ソフトを導入済みのPCは、起動時にまず認証用プログラムが自動的に起動されるので、そこでID・パスワードを入力して認証を通過さえすれば、ユーザーが自発的に暗号化/復号化する必要がありません。
しかし、ハードディスク暗号化ソフト導入企業の管理者の頭を悩ませるのが「ユーザーのパスワード忘れ」。管理者としては、パスワードを忘れたユーザーに振り回されたくないものです。
パスワード忘れのユーザーに“チャレンジ&レスポンス”を利用すればパスワードの再設定が可能となります。外出先などでパスワードを忘れてしまった場合もネットワーク接続を必要としない電話でのやり取りで救済できます。ユーザーはPCをネットワークに接続せずに、社内の管理者と電話で会話するだけで、パスワードの再設定が可能となり、ログインすることができます。動的なチャレンジ&レスポンス手順でセキュリティも確保できます。
まず、ユーザーはシステム管理者に電話し、Check Point Full Disk Encryptionのログイン画面に表示されるPC名およびエンドユーザーIDを伝えます。システム管理者はその情報を基にCheck Point Full Disk Encryptionのヘルプデスク用画面でレスポンスコードを生成し、それを電話でユーザーに伝えます。
ユーザーはレスポンスコードを入力すると、チャレンジコードが表示されるので、それをシステム管理者に電話で伝えます。システム管理者はチャレンジコードをヘルプデスク用画面に入力すると2つ目のレスポンスコードが表示されるので、それをユーザーに伝えます。ユーザーは2つ目のレスポンスコードを入力すると、パスワードの再設定ができるようになります。
ハードディスク暗号化ソフトによっては、チャレンジコードが英数字記号の組み合わせしか発行されない製品もあります。その場合、電話での読み上げではチャレンジコードを伝えきれずにFAXで送信していたといった声も実際にありました。ハードディスク暗号化ソフトを導入する際にパスワード忘れ対応の運用も確認されることをおすすめします。
導入事例 HDD暗号化を入れ替えたきっかけは、パスワード忘れでユーザーと疎通が図れないこと