BitLockerとHDD暗号化製品の違い

最も頻発する情報漏えい事故の一つに、PCの盗難・紛失があげられます。これらの対策として、ハードディスク暗号化が有効であり、導入する企業が増えております。暗号化されていないデータのリスクは、無視できないほど大きくなっているからです。

本ページでは、ハードディスク暗号化に長年携わってきたサイバネットシステムのエンジニアが、経験をもとにBitLockerによるハードディスク暗号化の課題を考察します。

BitLockerとは

BitLockerは、Windows 10 Professional / Enterpriseに標準搭載されているディスク暗号化機能です。これらを利用している企業であれば、無料でディスク暗号化を導入できます。しかし、BitLockerによるディスク暗号化を検討した結果、専用のハードディスク暗号化ソフトウェアを選択した企業は少なくありません。では、どうしてこうした状況に陥るのでしょうか。

確かにBitLockerは無料で利用できますが、導入や維持管理にともなうコストも考慮しなければなりません。また、BitLockerには仕様および機能における問題点も懸念されます。

ローカルの管理者権限があれば、BitLockerは安易に暗号化を解除できる

BitLockerはWindowsのローカルの管理者権限があれば、暗号化を簡単に解除できてしまうことが問題点としてあげられます。つまり、ローカルの管理者権限があればエンドユーザー自身が勝手に解除できてしまうのです。

エンドユーザーがローカルの管理者権限のあるWindowsアカウントでPCを利用していた場合、PCの盗難・紛失事故が発生した際に、その時点でBitLockerの暗号化が解除されていた可能性が疑われます。このような場合、会社と関係のある消費者、取引業者、株主に対して情報漏えいの有無について完全に説明責任を果たせるとは言えません。

BitLockerは「ディスク全て」を暗号化しない

一般的に、BitLockerはPCのハードディスク全体を暗号化するソリューションとして理解されていますが、正確にはBitLockerの利用するパーテーションは暗号化されません。

Windowsパスワードクラックという脅威

BitLockerは信頼性の高いOS起動前認証(プリブート認証)ではなく、Windows OSの一部であるTPMによる認証に依存しているため、OSレベルおよびメモリーベースの脆弱性を突いた攻撃に対してリスクが存在します。

万一、パスワードクラックにより、Windowsログオンがパスされた場合は、ハードディスクにどのような暗号化をしていたとしても意味がありません。

Macというセキュリティホール

最近、WindowsとMac環境を併用している企業が増えています。当然ながら、BitLockerはWindows向けのソリューションのため、Macには適用できません。たとえ、社内のWindowsは全てBitLockerで暗号化できたとしても、Macの暗号化を実施していなければ、情報漏えい対策としては不完全です。

BitLockerには管理機能がない!?

BitLockerはWindows OSのネイティブな機能であるため、一元管理することができず、ユーザーが任意かつ手動で設定する必要があります。そのため、PCの台数が増えるほど導入・運用の工数は増大します。また、ハードディスク故障時に回復キーが復旧のために必要になりますが、これらの回収・管理も手動で行う必要があります。

これらを補うため、Microsoft社からはBitLockerを管理する専用ツールとしてMicrosoft BitLocker Administration and Monitoring(MBAM)が提供されています。ただし、MBAMの利用には、Windows ServerおよびSQL Serverが別途必要になる上、クライアントごと、あるいはCPU コアごとのボリュームライセンス契約も必要となります。

例えば、SQL Server Enterprise Editionエディションは1CPUコアごとに約680,000円ものライセンス費用が必要になります。サーバーの大半が複数のコアを使用してシステムを稼働させていることを考えると、年換算では非常に高額なコストがかかります。また、MBAMはローカライズされていない上にドキュメントやインストラクションも整備されていないため、操作方法を覚え、正確に使用するための難易度は低くありません。

上述のとおり、BitLockerは企業の安全を守る役目としては不十分であることは明らかです。

BitLockerの弱点を解決する「Check Point Full Disk Encryption」

Check Point Full Disk Encryption(旧製品名 Pointsec PC)は全世界で6300万ライセンスの出荷実績があるハードディスク暗号化ソフトです。米調査会社によるモバイルデータ保護に関する総合評価で15年連続マーケット・リーダーとして評価されるなど、世界で高い評価を得ています。

安易に暗号化を解除できない仕様

アンインストールを実行する際、Check Point Full Disk Encryption管理用アカウントとパスワードの入力が必要となるため、利用者の勝手な暗号化解除を防ぐ仕様となっています。これにより社内の情報漏えい対策の抜け道をふさぐことができます。

PCの盗難・紛失による情報漏えい対策を検討している企業に対し、Check Point Full Disk Encryptionは、世界最高水準のセキュリティ認証と導入・管理しやすい環境により企業のセキュリティ強化を支援します。

「ディスク全て」を暗号化

Check Point Full Disc Encryptionは、OSなどの  システム領域からアプリケーション、ユーザーデータまでハードディスク全体を透過的に暗号化します。

確かな認証とWindowsとの連携

Check Point Full Disc EncryptionはOS起動前にブートセクターで独自の認証を行います。この認証を通らない限り、Windowsも起動できないため、Windowsパスワードクラックツールなどによるパスワードクラックに耐性を持ちます。

また、Check Point Full Disc Encryption独自の起動前認証はWindowsログインとのシングルサインオン(SSO)が可能となっており、起動前認証を通過すると自動的にWindowsログインまで可能です。セキュリティ強化と利便性を両立することができます。

Windows / Mac 混在環境でも利用可能

Check Point Full Disk EncryptionはMacにも対応しているため、すべての暗号化環境をCheck Pointシリーズで統一して構築できます。“全社的にガバナンスをきかせた暗号化対策を行いたい”というニーズにもマッチする製品です。

ネットワーク・スタンドアロンどちらでも導入/運用が可能

Check Point Full Disk Encryptionには、専用の管理コンソールが標準搭載されているので、管理者はこの管理コンソールを使って一元的かつ簡易に導入・展開ができ、社内で統一的なポリシーを適用することも可能です。BitLockerで懸念されるような導入・運用における工数の増大化も発生しません。また?、本製品はサーバーレスで導入・運用が可能なため、BitLockerのように、Windows ServerやSQL Serverに関わる費用は発生しません。

専用コンソールによる設定の追加

Check Point Full Disc Encryptionは、管理PCにインストールして使う、日本語対応した専用コンソールによって、インストールイメージの作成やポリシーの設定、暗号化状況の把握やリカバリファイルの一元管理まで可能です。そのため、どなたでも簡単にPCのハードディスク暗号化ソリューションを導入・運用できます。

IT資産管理ツールとの連携

企業で利用しているPCなどを管理する「IT資産管理ツール」は、企業のITセキュリティのベースラインを作る重要なソリューションです。Check Point Full Disc Encryptionは、Sky社のクライアント運用管理ソフトウェア「SKYSEA Client View」やサイバネットシステムの「PC&モバイル管理サービス」に対応することで、Check Point Full Disc EncryptionによるクライアントPCの暗号状況の把握やリカバリファイルの回収などを行うことができます。

関連ページ

Check Point Full Disk Encryption 詳細情報

関連ホワイトぺーパー

BitLockerを検討するにあたり考慮すべきポイント

 



お問い合わせ サイバネットシステム株式会社 ITソリューション事業部 TEL: 03-5297-3487 (平日 9:00-17:30)
お問い合わせ全般  価格お問い合わせ  評価版お申し込み