多くの企業が社外へのモバイルPC持ち出しを許可する今、紛失や盗難による情報漏えい対策に「HDD/SSD暗号化」が広く利用されています。そして、Windows 7の延長サポート終了を目前に、Windows 10への移行が急速に進む中、Windows 10標準搭載のBitLockerでHDD/SSDを暗号化しようと検討する企業が増えています。しかしBitLockerは、企業の要件を十分に満たしているのでしょうか?
そこで本ページでは、暗号化の強度や機能だけでなく、企業での運用や社員の利便性などを7つポイントで、BitLockerとHDD/SSD暗号化ソフト「Check Point Full Disk Encryption(旧製品名 Pointsec PC)」を比較してみました。
BitLockerとは
Windows 10 Pro / Enterpriseに標準で搭載されているディスク暗号化機能。
Check Point Full Disk Encryptionとは
全世界で6300万ライセンスの出荷実績をもつ有償のHDD/SSD暗号化ソフト。
BitLockerは信頼性の高いOS起動前認証(プリブート認証)ではなく、Windows OSの一部であるTPMによる認証に依存しているため、OSレベルおよびメモリーベースの脆弱性を突いた攻撃に対してリスクが存在します。万一、パスワードクラックにより、Windowsログオンがパスされた場合は、ハードディスクにどのような暗号化をしていたとしても意味がありません。
Check Point Full Disc EncryptionはOS起動前にブートセクターで独自の認証を行います。この認証を通らない限り、Windowsも起動できないため、Windowsパスワードクラックツールなどによるパスワードクラックに耐性を持ちます。
また、Check Point Full Disc Encryption独自の起動前認証はWindowsログインとのシングルサインオン(SSO)が可能となっており、起動前認証を通過すると自動的にWindowsログインまで可能です。セキュリティ強化と利便性を両立することができます。
BitLockerは一元管理することができず、ユーザーが任意かつ手動で設定する必要があります。そのため、PCの台数が増えるほど導入・運用の工数は増大します。これらを補うため、Microsoft社からはBitLockerを管理する専用ツールとしてMicrosoft BitLocker Administration and Monitoring(MBAM)が提供されています。ただし、MBAMの利用には、Windows ServerおよびSQL Serverが別途必要になる上、クライアントごと、あるいはCPU コアごとのボリュームライセンス契約も必要となります。
例えば、SQL Server Enterprise Edition エディションは 1CPU コアごとに約 680,000 円ものライセンス費用が必要になります。サーバーの大半が複数のコアを使用してシステムを 稼働させていることを考えると、年換算では非常に高額なコストがかかります。また、MBAMはローカライズされていない上にドキュメントやインストラクションも整備されていないため、操作方法を覚え、正確に使用するための難易度は低くありません。
Check Point Full Disk Encryptionには、日本語に対応した専用の管理コンソールが標準搭載されているので、管理者はこの管理コンソールを使って一元的かつ簡易に導入・展開ができ、社内で統一的なポリシーを適用することも可能です。BitLockerで懸念されるような導入・運用における工数の増大化も発生しません。また、本製品はサーバーレスで導入・運用が可能なため、BitLockerのように、Windows ServerやSQL Serverに関わる費用は発生しません。
某社では、BitLockerの回復キーを手動で管理していましたが、下記理由によりBitLockerの利用を止めることになりました。
①運用に手間がかかる
ファイルに保存し、それを共有フォルダにコピーして管理部門にて有事の際に使用していましたが、全て手動で行うため、非常に手間のかかる運用となっていました。
②回復キー情報の紛失
ファイル名の誤記入をしたことで検索することができない、複数の担当者が操作するため誤ってファイルの削除や編集を行ってしまい、キーの情報を失い復旧できないということが多発しました。
③回復キーが平文
回復キーそのものが平文のため外部に漏えいした場合は無防備となることも社内で問題となっていました。
BitLockerはWindowsのローカルの管理者権限があれば、暗号化を簡単に解除できてしまうことが問題点として挙げられます。つまり、ローカルの管理者権限があればエンドユーザー自身が勝手に解除できてしまうのです。
エンドユーザーがローカルの管理者権限のあるWindowsアカウントでPCを利用していた場合、PCの盗難・紛失事故が発生した際に、その時点でBitLockerの暗号化が解除されていた可能性が疑われます。このような場合、会社と関係のある消費者、取引業者、株主に対して情報漏えいの有無について完全に説明責任を果たせるとは言えません。暗号化維持の強制力が低いソリューションは情報漏えい対策としては成立しません。
アンインストールを実行する際、Check Point Full Disk Encryption管理用アカウントパスワードの入力が必要となるため、利用者の勝手な暗号化解除を防ぐ仕様となっています。これにより社内の情報漏えい対策の抜け道をふさぐことができます。
某社においてPCの紛失事件が発生しました。その件について取引先から説明が求められてため、該当PCがBitLockerで暗号化しているため安全である旨の説明をしました。
しかし某社では利用者にローカル管理権限を持たせる運用をしていたため、取引先から該当PCの利用者がBitLockerを勝手に解除し、紛失時に暗号化が維持されていなかった可能性があることを指摘されました。それに対して某社では紛失時の暗号化維持の証明ができず、説明責任としては不十分なものとなりました。このためBitLockerの使用を止めることになりました。
パスワード忘れの対応は対象者が多くなればなるほど、大きな負担となります。しかし、セキュリティの要でもあるため、軽視はできません。
BitLockerはパスワード忘れの際に必要な「回復キー(48桁の数字)」を管理する仕組みが基本機能にないため、有事の際の対応が煩雑になる傾向があり、最悪の場合は復旧できないリスクがあります。また、Active Directory環境であれば一元的に管理する機能はありますが、回復キーが平文のため、セキュアな状態で管理できません。
ユーザーがパスワードを忘れた場合には、システム管理者側に電話での問い合わせを行うことで再設定が可能です。管理PCとユーザーの双方でコードの発行・受渡をすることで、セキュアなパスワード再設定を、短時間で行うことができます。なお、パスワード再設定時にネットワーク環境は不要です。
PCの暗号化は平時であれば手離れの良いソリューションです。しかし障害が発生した場合はローカルのデータにアクセスできないというような危機的な状況になります。その際にサポートというものが非常に重要となります。
BitLockerはマイクロソフトサポートとなり、トラブル発生時、マイクロソフト社のコミュニティサイトなどを頼ることになり、満足いく回答を素早く得ることは難しいこともあります。また、プロフェッショナル・サポートもありますが、別途費用がかかります。
CheckPoint社のエンドポイントセキュリティ製品専用のサポートサイトがあり、問い合わせに迅速かつ正確に対応しております。また新バージョンの提供やFAQなどのナレッジの参照も可能です。
某社ではBitLockerで暗号化した端末に対してWindows Updateを実施したところ、BitLockerの正しいPIN(パスワード)を入力してもログインできないという不具合が発生したため、マイクロソフト社のサポートに問い合わせる事態となりました。
最初は電話をかけましたが長時間待つ状況だったため、チャットやメールを使用することにしましたが、回答内容は的を射ない非常に乏しい内容であり、最終的にはPCの初期化を促されるだけの不満足な回答に終始することになりました。回答内容もさることながらサポートのインターフェイスとしても使用勝手の良いものではありませんでした。
また1つの質問(1インシデント)につき数万円の費用がかかるため、質問数が増えるに従い、コスト面も無視できない規模となっていきました。この経験からBitLokcerの使用を止めることとなりました。
一般的に、BitLockerはPCのハードディスク全体を暗号化するソリューションとして理解されていますが、正確にはBitLockerの利用するパーテーションは暗号化されません。
Check Point Full Disc Encryptionは、OSなどの システム領域からアプリケーション、ユーザーデータまでハードディスク全体を透過的に暗号化します。
最近、WindowsとMac環境を併用している企業が増えています。当然ながら、BitLockerはWindows向けのソリューションのため、Macには適用できません。たとえ、社内のWindowsは全てBitLockerで暗号化できたとしても、Macの暗号化を実施していなければ、情報漏えい対策としては不完全です。
Check Point Full Disk EncryptionはMacにも対応しているため、すべての暗号化環境をCheck Pointシリーズで統一して構築できます。“全社的にガバナンスをきかせた暗号化対策を行いたい”というニーズにもマッチする製品です。
これまで挙げたBitLokcerの仕様や実際にご利用されたお客様の事例から考察すると「BitLockerは自己責任で使用する」という側面の強いソリューションと言わざるを得ません 。
数台のPCを暗号化して運用するというレベルであれば問題ないかもしれませんが、企業向けのソリューションとして採用する場合は少なからずリスクがあることを考慮する必要があると考えます。
パスワード クラッキング対策 |
OS起動前認証がない。BitLockerのPINを入力する認証機能はあるが、OSレベルのものであるため、パスワードクラッキングツールによって改ざんされるリスクが高い。
|
OS起動時、OS起動前認証を通らない限りPCは起動できず、パスワードクラッキングは通用しない。
|
導入・運用管理 |
BitLockerの設定はPC単位。導入・設定は各ユーザー任せとなる。PC台数が多いほど、導入・運用の工数は増大。専用の管理ツールも用意されているが、別途コストが必要。
|
PCへのインストールは、専用の管理コンソールを使い、一元的に行える。統一的なセキュリティポリシーの適用や暗号化の状況把握、リカバリファイルの一元管理なども可能。サーバーレスのタイプもあるが、こちらでも最低限の一元管理は可能。
|
暗号化の 解除 |
Windowsの管理者権限があれば、誰でも暗号化を解除でき、情報漏えいの恐れが残る。また、解除可能な仕様のため、盗難・紛失時に暗号化が維持されていたことを担保できない。
|
暗号化の解除には専用アカウントやパスワードが必要。第三者による情報盗難を防げる。また、利用者は勝手に暗号化を解除できない。
|
パスワード忘れ |
パスワード忘れの際に必要な「回復キー(48桁の数字)」を管理する仕組みが基本機能にないため、有事の際の対応が煩雑になる傾向があり、最悪の場合は復旧できないリスクがある。Active Directory環境であれば一元的に管理する機能はあるが、回復キーが平文のため、セキュアな状態で管理できない。
|
“チャレンジ&レスポンス”で迅速なパスワードの再発行が可能。また、クライアントPCがスタンドアロンな状態でも実施できる。
|
サポート |
トラブル発生時、マイクロソフト社のコミュニティサイトなどを頼ることになり、満足いく回答を素早く得ることは難しい。また、プロフェッショナル・サポートもあるが1件につき別途費用がかかる。
|
CheckPoint社のエンドポイントセキュリティ製品専用のサポートサイトがあり、問い合わせに迅速かつ正確に対応する。また新バージョンの提供やFAQなどのナレッジの参照も可能。
|
暗号化の 対象 |
暗号化の対象はドライブ単位。仕様的にすべての領域を暗号化できないため、非暗号化領域が残ってしまう。
|
OSやデータも含むフルディスクを暗号化。
|
Win/Mac混在環境 |
Windows向けのため、Macに暗号化を適用できず、セキュリティホールになる恐れがある。
|
Windows/Macに対応し、暗号化環境の統一化が可能。全社にガバナンスを効かすことができる。
|
この比較表の詳しい解説や「Check Point Full Disk Encryption」の
機能や特長をご紹介した資料です。
「Check Point Full Disk Encryption」は、全世界で6300万ライセンス、日本では175万ライセンスの出荷実績をもつHDD/SSD暗号化ソフトウェアです。世界最高レベルの認証を多数取得し、米国政府関連機関(米国海軍・陸軍、米国司法省、米国連邦捜査局など)や世界のメジャー企業が幅広く採用。また、米調査会社によるモバイルデータ保護の総合評価では、15年連続(2001年~2015年)でマーケット・リーダーの評価(※)を受けています。
※ 出典元:米調査会社ガードナー社 「Magic Quadrant for Mobile Data Protection」(2001年~2015年)