暗号化による保護でデータ流出を防止する

データ流出を防止することは、企業ユーザーにとって避けて通れない、極めて重要な課題だと言えます。データ流出はマルウェア等を使った標的型攻撃で発生することもあり、ニュースとして報道されることが多いのもこの種の脅威ですが、実際には端末の盗難や紛失、置き忘れ等によって発生するケースが少なくありません。

日本ネットワーク・セキュリティ協会が2016年6月に公表した「2015年情報セキュリティインシデントに関する調査報告書【速報版】」によれば、2015年の個人情報漏えいインシデントは799件発生しており、そのうち30.4％が「紛失・置き忘れ」、5.5％が「盗難」によって発生しているのです。

端末が第三者の手に渡った場合でもデータが流出しないようにするには、データの暗号化が最も有効な手段です。WindowsにはVistaから「BitLocker」というデータ暗号化機能が提供されており、Windows 10でもProfessional/Enterprise/Educationの各エディションに標準搭載されています。BitLockerはWindows 10のProfessionalエディション以上であれば、追加コストなしに暗号化が可能なため、最も手軽に利用できる選択肢だと言えます。

しかしBitLockerにはいくつかの弱点があります。実際にBitLockerで暗号化運用を開始した後でこれらの弱点に気づき、追加対策を行うケースも多いようです。具体的には以下のような弱点があります。

クライアント側の設定で「有効化」する必要があり、暗号化運用の徹底が難しい

BitLockerはデフォルトでは「無効」となっており、この機能を利用するには端末のコントロールパネルでBitLockerを有効化する必要があります（Surface Pro4等の一部の端末ではデフォルトで有効になっています）。また専用の管理コンソールもないため、暗号化されているかどうかの集中管理も困難です。そのため端末数が多くなった場合には、暗号化されていない端末を見逃してしまう危険性が高くなります。

パーティション単位での暗号化なので、暗号化漏れが発生する可能性がある

BitLockerはハードディスク全体を暗号化するのではなく、パーティション（論理ボリューム）単位で暗号化を行います。どのパーティションを暗号化するかはユーザーが指定するため、ここでも暗号化の漏れが発生する可能性があります。またBitLockerを機能させるには、暗号化対象のパーティションの他にブート用パーティションが必要ですが、この領域は暗号化されません。

OS起動前の認証がないため、クラッキングされる可能性がある。

BitLockerはOSの機能として提供されていることもあり、OS起動前の認証がありません。そのためWindowsログオンへのパスワードクラックが行われる危険性があります。いったんWindowsにログインされてしまえば、すべてのデータにアクセス可能になってしまいます。またローカルの権利者権限があれば、データの復号が可能です。

よりセキュアな暗号化運用を行うならBitLocker以外の選択肢を

このような理由から、BitLockerによる暗号化では不十分と判断し、サードベンダーの暗号化ソフトを採用する企業も数多く存在します。ここで選択されている製品の代表が「Check Point Full Disk Encryption」だと言えるでしょう。

この製品は全世界で6300万ライセンスの出荷実績を持ち、日本国内でも出荷実績No.1となっています。米国政府関連機関や数多くのグローバル企業に採用されており、米調査会社によるモバイルデータ保護の総合評価では、15年連続（2001年〜2015年）でマーケットリーダーの評価を受けています。

この製品で注目すべき特長は、大きく3点あります。

スタンドアロンでも導入・運用が可能

第1は、スタンドアロン型とサーバー管理型の2種類が用意されており、サーバー管理型を選択することで、オンラインでのインストールや専用コンソールによる集中管理が行えることです。そのため暗号化運用を徹底しやすくなります。

ハードディスクを丸ごと暗号化

第2は、暗号化をパーティション単位ではなく、PCに接続されたハードディスク全体に対して行うことです。そのため暗号化漏れの心配がありません。

ハードディスク全体暗号化ツールユーザーは暗号化を意識しない全体を暗号化するため、暗号化の漏れがない
ドライブ単位 OS領域などは暗号化されない保存ドライブを間違えると暗号化されないファイルができてしまう
フォルダ・ファイル単位の暗号化ツールフォルダ・ファイルに対し毎回「暗号化」の操作が必要 OS領域やアプリケーションを誤って暗号化するとPCが起動しなくなる場合がある

強固なユーザー認証

第3は、OS起動前の認証が用意されていることです。暗号化製品の認証が成功しなければOS自体が起動しないため、クラッキングされるリスクは大幅に低下します

またWindowsだけではなく、Mac OSもサポートしています。そのためMac OSが混在する環境でも、暗号化運用を徹底できます。情報は「ほんの少しのスキマ」があれば、簡単に漏洩してしまいます。99％のデータが暗号化されていても、残りの1％が暗号化されていなければ、この対策は意味を失ってしまうのです。そのため暗号化運用を行う場合には、それをいかにして徹底するかを強く意識した上で、ソリューションを選択すべきです。

次回は、外部からの脅威に備える上で必須となる、マルウェア対策について考えます。