働き方改革や生産性向上の観点から、オフィスにとらわれずに多様な働き方をする企業が増えています。その顕著な例として、ノートパソコンを持ち出して社外で仕事をすることを挙げることができます。
しかし、その一方でパソコンの置き忘れや紛失、盗難による情報漏洩のリスクを考えると、リモートワークなどの多様な働き方に一歩踏み出せない企業もあるのではないでしょうか?またリモートワークを認めていても、具体的な情報漏洩対策を施していない方々もいらっしゃるかと思います。
今回は、ITライターの柳谷智宣氏にノートパソコン紛失・盗難による情報漏洩対策に効果的な「HDD暗号化」について解説していただきました。
目次
- ノートパソコン運用で考えられる情報漏洩のリスクと対策
- Windows OS搭載のBitLockerの機能について
- HDD暗号化を導入する際のチェックポイント
- 高速動作が可能な自己暗号化ドライブ(SED)がおすすめ!
- 万が一の紛失・盗難時にも遠隔データ消去があれば万全!
ノートパソコン運用で考えられる情報漏洩のリスクと対策
ビジネスには対応力とスピードが欠かせません。社外に出る人もノートパソコンを携帯し、あらゆる状況に即応できる体制を整えておきたいところです。しかし、そうなると付いてくるのが、ノートパソコンの盗難や紛失というリスクです。
もし、パソコン内のデータを第三者に取得されたら……と想像するだけで恐ろしいことではないでしょうか。所属企業の情報やプライベートな個人情報はもちろんのこと、取引先や顧客情報が流出してしまうと、社会的な信頼を失うばかりか、多額の慰謝料が発生する可能性もあります。情報漏洩は“対岸の火事”ではありません。JNSA(NPO法人日本ネットワークセキュリティ協会)の「2016年 情報セキュリティインシデントに関する調査報告書〜個人情報漏えい編〜」によるデータを見てみましょう。
漏えい人数 | 1,396万5,227人 | インシデント件数 | 488件 | 想定損害賠償総額 | 2,788億7,979万円 | 一件あたりの漏えい人数 | 3万1,453人 | 一件あたり平均想定損害賠償額 | 6億2,811万円 | 一人あたりの平均想定損害賠償額 | 3万1,646円 |
※JNSA「2016年 情報セキュリティインシデントに関する調査報告書〜個人情報漏えい編〜」より「2016年 個人情報漏えいインシデント 概要データ」を引用
漏えい原因比率(件数)
あくまで「個人情報」漏洩の割合ではありますが、18.3%が「紛失・置き忘れ」と「盗難」が原因となっています。また損害賠償金額も多額になっており、情報漏洩のリスクに対する備えが、働き方・生産性を進めるために必要不可欠だと言えるでしょう。
ノートパソコンのセキュリティ対策として、効果的だと評価されているのがHDD暗号化(ハードディスクドライブ暗号化)です。HDD暗号化は、ファイルやフォルダ単位で暗号化するのではなく、OSやシステムファイル全体を含めたハードディスクドライブをまるごと暗号化するものです。
一口にHDD暗号化といっても色々なサービスがありますので、導入にあたり気をつけたいポイントを紹介していきます。
Windows OS搭載のBitLockerの機能について
もっとも一般的なHDD暗号化サービスにBitLockerがあります。Windows 10 Proに搭載されている暗号化機能ですので、利用されている方も多くいらっしゃるのではないでしょうか。BitLockerを有効にすると、HDDやSSDのドライブ全体を暗号化することができ、暗号化キーを持っていないと解除することはできません。暗号化することで、ハードディスクを取り出して、他のPCに接続したとしても、データにアクセスすることができません。またTPM(Trusted Platform Module)セキュリティチップが搭載されているパソコンですと、暗号キーをTPMセキュリティチップ内に保存することで、より堅牢なセキュリティを実現することができます。
◎TPM機能と連携してBitLockerドライブ暗号化を有効/無効にする方法(リンク先:https://solutions.vaio.com/417)
BitLockerは、Windows 10 ProのOS搭載機能ですので、追加コストをかけることなく、セキュリティを強化でき、非常に魅力的だと言えます。しかし、BitLockerも万能ではありません。管理者権限のユーザーであれば、簡単にBitLocker暗号化をオフにすることができてしまいますし、複数台のパソコンを一元管理する機能がありません。またWindows OSのみの機能ですので、MacにもFileVaultという暗号化機能がありますが、WindowsとMacが混在する企業だと管理がより複雑になってしまいます。
MicrosoftからBitLockerを一元管理する専用ツールMicrosoft BitLocker Administration and Monitoring(MBAM)が提供されていますが、1台ごとにライセンス契約が必要でコストがかかります。また他の企業からもBitLockerの一元管理のソフトが販売されていますが、企業規模や運用方法、維持管理にはよく吟味して選ぶ必要があります。
HDD暗号化を導入する際のチェックポイント!
では、BitLocker以外でHDD暗号化ソフトを選ぶ際には、どのようなポイントを抑えればいいのでしょうか?
「TrueCrypt」などWindowsとMacの両方に対応するフリーの暗号化ソフトも存在しますので、中小企業の場合は、フリーソフトを活用してコストを抑えることも考えられます。しかし、一定規模以上の企業であれば、運用管理やフリーソフトの脆弱性を考慮するとおすすめできません。
HDD暗号化ソフトを選ぶ際に気をつけたいポイントは以下になります。
■暗号化領域
■認証方法
■回復方法
■管理方法
暗号化領域はフルドライブ化、外部メディアも対応しているとベスト!
システム領域やプログラム領域を含むHDDすべてを暗号化するフルドライブ暗号化が大前提です。例えば、ソフトによっては、暗号化されないシステムパーティションなど非暗号化領域が存在するものもあります。フルドライブ暗号化ですと、非暗号化領域がありませんので、より万全のセキュリティを確保できます。
またパソコン自体が暗号化されていても、USBメモリーやクラウドにファイルをコピーすると暗号化は解除される場合もあります。重要なデータを保存したUSBメモリーを紛失し、そこから情報が漏洩してしまっては意味がありません。外部メディアにデータを移動しても、ファイルやフォルダの暗号化が維持できるソフトもありますので、パソコンを社外に持ち出す機会が多い場合は、検討をおすすめします。
SSO(シングルサインオン)と二段階認証、ネットワーク認証などを使い分けが可能か?
認証方式も、OS認証と暗号化ソフトの認証の「二段階認証方式」とOSと連携させて認証一回で済むSSO(シングルサインオン)があります。さらにこの段階で、ネットワーク認証が可能な製品もあります。例えば、ネットワークに接続可能であれば認証を不要にしたり、逆にネットワークに接続できなければ正規のIDとパスワードでも認証できないようにすることも可能です。つまり社内での作業では、認証の手間を省くことができ、社外での使用では定められた認証が必要と、ケース・バイ・ケースでセキュリティを守ることができます。社内作業にも関わらず、毎回二段階認証をしていては、パスワードを忘れてしまったり、手間がかかってしまいますので、認証方式も確認しておきましょう。
パスワード紛失時やトラブル時の回復に手間がかからないか?
ユーザーがパスワードを忘れてしまった場合に回復する方法もチェックしておきましょう。せっかく暗号化をして安全対策をしていても、データにアクセスできなければ業務が滞ってしまいます。例えば、管理者が簡単に回復できる場合はいいのですが、簡単に回復できないこともあります。パスワードの再発行やワンタイムパスワードといった機能を備えていると、利便性と堅牢性を両立させることができます。
企業規模や業務内容に応じて、適切な管理方法を
サーバー上やクラウドで一元管理できるソフトがほとんどです。専用サーバーで集中管理できる商品から既存のファイルサーバーで利用できるものがありますが、管理の対象が多いほど設定に時間がかかりますので、規模や状況に応じてもっとも適切な管理システムを選びましょう。また先述のように、OSが混同している馬合でも、一元管理が可能かどうかを必ず確認しましょう。
高速動作が可能な自己暗号ドライブ(SED)がおすすめ!
HDD暗号化ソフトを導入すると、パソコンを使い始める際、まずは内蔵されているデータを暗号化することになります。この作業にはとても時間がかかり、1GBを暗号化するのに数分かかる場合もあります。このようなセキュリティを導入する際の本来の目的は、生産性や働き方の多様性であるため、パソコンのパフォーマンスを落としてしまっては、元も子もないでしょう。
そこで注目されているのが、暗号化機能が組み込まれたHDDやSSDである自己暗号ドライブ(SED)です。SEDはSelf-Encrypting Driveの略で、ドライブ自体が暗号化を行うので、処理が圧倒的に高速という特徴があります。元から暗号化されているので、最初の暗号化処理も不要です。また、暗号化キーはSEDの中にあるので、外部からクラッキングするのが困難になります。
SEDに対応する暗号化製品の中には、例えばSEDを本体から取り出し、他のパソコンに接続したことを検出すると、暗号化キーを書き換えて復旧不能にできるものもあります。データは失われますが、情報漏洩の心配もなくなります。また、何年間か利用した後に製品をリプレースする際、情報漏洩を防ぐためにドライブを破壊したり、厳重にデータを上書き消去しなければなりません。その点、SEDであれば、暗号化キーを書き換えるだけで、データにはアクセスできなくなるので、手間がかからずコストと時間の削減が可能です。
万が一の紛失・盗難時にも遠隔データ消去もあれば万全!
データを暗号化しておけば、例え紛失や盗難にあっても情報を盗まれる可能性は低くなりますが、やはり大切なデータが入ったパソコンが手元にないと不安になります。そんな時、遠隔消去機能を備えている暗号化製品であれば、紛失・盗難が発覚した後、システム管理部やコールセンターに連絡してパソコンのデータを消去したり、起動できなくすることも可能です。現在では、「TRUST DELETE Biz for VAIO® PC」など遠隔データ消去機能が実装されているビジネス用パソコンもあります。状況に応じて、データの一部消去、全消去を使い分けることができるので、改めて遠隔データ消去ソフトを購入する必要はありません。もしパソコンのリプレースを検討しているのであれば、法人向けに開発されたパソコンがセキュリティー面でも最新の多機能を備えているので、チェックしてみるといいでしょう。
ただし、紛失した人がスムーズに会社に報告する必要があります。例えば、新人がノートパソコンを紛失してしまい、怒られるかもと不安になり、探し回って時間が過ぎてしまうといったことも考えられます。HDD暗号化やその他のサービス製品は、ヒューマンエラーから生まれた事態に対しての備えであることを社内に周知しておかなくていけません。紛失に盗難そのものを無くす努力をして、万が一の紛失時には即対応する、といった社内文化作りも必要です。
暗号化製品を導入するには、ある程度のコストがかかりますし、ユーザーの負担もあります。しかし、多様化・生産性向上が掲げられる昨今、リモートワークなどの社外作業を認めないことによる損失の方がはるかに大きいでしょう。企業側がHDD暗号化などの対策を用意することで、安心に働きやすい環境を生み出すことがより社員のモチベーションを上げ、新たなイノベーションを生むきっかけになるかもしれません。