社外に持ち出すノートPCの盗難や紛失による情報漏えい対策として、ハードディスク暗号化は非常に有効な手段です。ハードディスク暗号化はデータをフォルダ・ファイル単位で暗号化するのではなく、OS領域やシステムファイル領域を含めたハードディスクを丸ごと暗号化します。ハードディスクとメモリーの間を通るデータは、ハードディスク暗号化ソフトを介して自動的に暗号化・復号化されるため、ユーザーが自発的に暗号化する必要がありません。
ハードディスク全体暗号化ツール
|
![]() |
ドライブ単位
|
![]() |
フォルダ・ファイル単位の暗号化ツール
|
![]() |
ここで注意したいのが、ハードディスク暗号化はファイルそのものを暗号化していない点です。そのため、ハードディスク暗号化ソフトが導入済みのPCを起動した状態で、EメールやUSBなどの外部記憶デバイスにファイルを書き出せば、暗号化されていない状態でデータを持ち出せることになります。持ち出しするファイル自体に暗号をかけたい場合は、ファイル・フォルダ単位の暗号化ツールを別途用意する必要があります。
また、外付けハードディスクはハードディスク暗号化ソフトではなく、USBメモリーやCDなどのリムーバブル・メディアを自動的に暗号化するソフトウェアで暗号化を実施することが可能です。
関連リンク:リムーバブル・メディア暗号化/デバイス・ポート制御製品
ハードディスク暗号化ソフトを導入後は、PCを起動するとOSのブートプログラムの前に、ハードディスク暗号化ソフトの認証用プログラムが起動されます。ここで、ID・パスワード入力などで認証を通過すると、暗号化された領域にアクセスできるようになり、ブートプログラムが呼び出された後にOSが起動されます。このブートプロテクトにより、第三者がPCを起動しようとしても、認証を通過できないとハードディスクにアクセスすることができなくなります。
ハードディスク暗号化ソフト「Check Point Full Disk Encryption」は、クライアントインストール後の初回ログオン時のWindowsアカウントとパスワード情報がキャッシュされ、その情報がハードディスク暗号化ソフトの認証情報として登録されます。つまり、Windowsとハードディスク暗号化ソフトの認証用アカウントは同一になります。
Check Point Full Disk Encryptionの認証とWindowsアカウントは別にしたいという場合は、固定アカウントやテンポラリアカウント(初回の認証時にアカウントの任意設定が可能)を設定することも可能です。
また、ID・パスワード認証だけでは不安だという方は、USBトークンを利用した認証と連携することで、よりセキュリティレベルを向上させることも可能です。
OSが起動した後は、HDDへのデータの書き込み時には暗号化、読み込み時には復号化といった処理をシステム側で自動処理するため、ユーザーは暗号化/復号化を意識する必要はありません。ただ、こうした自動処理がファイル操作のたびに行われることで、PCの処理速度に影響がでることがあります。その点、ハードディスク暗号化ソフト「Check Point Full Disk Encryption」であれば、第三者機関が調査したところ他社製品と比べてパフォーマンスの低下率が非常に少ないという結果がでています。
ハードディスク暗号化を導入することで、社外持ち出し用ノートPCの盗難・紛失による情報漏えいは大幅に軽減できます。しかし、ハードディスク暗号化ソフトであれば、どれでも良いというわけではありません。ハードディスク暗号化にともなうパフォーマンスの低下、暗号化したPCのリカバリ、そして何よりも、台数が多く、社外に持ち出されるノートPCへの「導入」と「一元的な管理」の視点でハードディスク暗号化ソフトを選定する必要があります。