ストレージのセキュリティ
HDD・SSDの暗号化
リモートワークなどで会社のPCを社外に持ち出す場合や、営業、出張などで取引先などにPCやUSBメモリを持参する場合、PCが盗難に遭ったり、USBメモリを紛失したりしてデータ流出や情報漏洩などのトラブルを引き起こさないためにPC内のストレージや外部ストレージを暗号化することは、企業のITリテラシー上、避けられない方法かもしれません。仕事で使用している重要なファイルが紛失・盗難に遭うと、自社が不利益を被るだけでなく、取引先の企業にまで迷惑をかけてしまう可能性があるからです。
PCにパスワードを設定してあるからPC内のデータにアクセスすることはできないはず...などという油断は禁物です。※BIOSパスワードを設定してある場合でも、クラッキングソフトを使用すれば、分単位でパスワードを突き止められてしまいます。例えPC本体のロックを解除できなくても、HDD・SSDを取り出して、別のPCに接続すればデータにアクセスすることは可能です。
そこでHDD・SSDの暗号化が必要になってくるわけですが、その場合データをファイルやフォルダ単位で暗号化するのではなく、システムファイルエリアやOSエリアまでも含めたHDD・SSD全体を暗号化します。暗号化済みのHDDやSSD内のデータを閲覧・編集するためにはパスワードを入れるなどの認証が必要です。(認証方法には、指紋認証など他の認証方法もあります。)
外付けのHDD・SSDやUSBメモリなどにも同様に暗号化が必要です。機種によってはデバイス自体に暗号化の機能が備わっているものもあります。
※PCを保護するためのBIOSパスワードの設定には、2種類あります。
- User Password
- Administrator Password
「User Password」は、PC自体を保護するためのパスワードです。一方、「Administrator Password」は、BIOSセットアップユーティリティーを起動する際に設定できるパスワードです。BIOS設定の不用意な変更を避けたい時に設定します。PC自体の使用を制限するものではありません。
WindowsのBitLockerについて
BitLockerとは
Windows8以降の特定のバージョン(PRO以上のエディションで使用可能。HOMEではお使いになれません。)には、BitLockerというHDD・SSDを暗号化する機能が標準搭載されています。BitLockerを使うとPCに内蔵されたストレージだけでなく、BitLocker To Goという機能で外付けのHDD・SSDやUSBメモリなども暗号化することが可能です。HDD・SSDを丸ごと暗号化できるだけでなく、起動時にパスワードを入力しないと動作しないように設定することもできるので、二重にセキュリテイロックがかかった状態になります。
BitLockerは、法人向けPCに多く搭載されているTPMというセキュリティチップで、公開暗号鍵の生成と復号処理、固定暗号鍵の管理などを行っています。BitLockerは、暗号鍵情報をTPMに格納するので、HDD・SSDだけを取り外しても、中のデータにアクセスすることはできません。そのPCでしかロックの解除ができない仕組みになっているからです。TPMを使わずにBitLockerを使用する方法もありますが、この場合、パスワードの入力や外部キーによるロック解除の設定などが必要になります。
BitLocker使用の際の注意点
BitLockerは、PCごとの設定が必要になります。小規模な組織であれば問題ないのですが、社内のPCが数十台を超える場合、※Active Directryを用いた一括管理をお奨めします。Active Directryでは、管理対象のPCに、BitLockerの暗号化をグループポリシーとして設定します。BitLockerではパスワードを万が一忘れてしまった場合に備えて48桁の回復キーが用意されますが、回復キーもActive Directry内に保存できます。
導入コストがかからず、利用しやすいBitLockerですが、利用する上でいくつかの注意点があります。まず、BitLockerは、正規のユーザーであっても、パスワードを忘れてしまうと、データにアクセスできなくなります。パスワードを万が一忘れてしまった場合に備えて回復キーが用意されますが、それらの管理には十分注意が必要です。
※Active Directory(アクティブディレクトリ)とはWindows Serverに標準搭載されているディレクトリサービスの一つです。社内のPCを一括管理し、アクセス権限の設定や管理、IDやパスワードの管理やログの収集ができます。許可していないソフトのインストールを許可しないなど、外部からのマルウェア感染のリスクを減らすこともできます。また、認証機能により、ユーザーがパソコンにログオンしたログが確認できるので、不正アクセスの際も、人物の特定ができ、社内不正行為の抑止にも有効です。
HDD・SSD暗号化の種類
HDD・SSDを暗号化する場合、HDD・SSD全体を暗号化するのか、ドライブ単位で暗号化するのか、ファイル・フォルダ単位で暗号化するのかの3つの種類の暗号化があります。暗号化の種類によって、データにアクセスするごとに認証が必要なのか、暗号化や復号を意識せずに使えるのかなどユーザー側の使い勝手やセキュリティの強度なども変わってきます。暗号化の種類ごとに注意すべき点や特徴がありますので、HDD・SSDの暗号化を進める前に確認しておきましょう。
- HDD全体の暗号化
- HDD全体を暗号化すれば、万が一PCを紛失したり、盗難に遭ってもPC内のデータにアクセスできなくなるので、データ流出のリスクが大幅に避けられます。HDD全体を暗号化した場合、そのPCのユーザーは、暗号化を意識することなくPCを使用することができ、作成したデータやファイルをどのドライブに保存しても暗号化されるので安心です。
- ドライブの暗号化
- Windowsの場合、OSやアプリケーションなどのシステムファイルをCドライブに、それ以外の作成データや画像ファイル、動画ファイル、音声ファイルなどは他のドライブに分けて格納する場合が多いようです。ドライブ単位での暗号化を使用する場合は、誤ってシステムファイル群を暗号化してしまわないように、ファイル、フォルダを厳密に分けて使用することが求められます。
- ファイル・フォルダの暗号化
- HDD・SSDに保存されているファイル、フォルダの中から、機密性や重要性の高いものだけを選んで暗号化する方法ですが、暗号化や復号のたびに認証が必要になる煩わしさがあります。人為的なミスで誤ってOSやアプリケーション関連のファイルを暗号化してしまうと、トラブルの原因になり、PCが正常に作動しなくなる危険性もあるため、十分な注意が必要です。
自己暗号化ドライブ
自己暗号化ドライブのしくみ
HDD・SSDを暗号化する方法は大きく分けて2種類あります。1つは、ソフトウェア暗号化、もう1つが、ハードウェア暗号化です。HDD・SSDを暗号化するソフトウェアはさまざまな種類がありますが、暗号化ソフトは、PCを用いてデータが書き込まれたり、読み込まれたりしたときに、マザーボード上のCPUを使用してデータを暗号化 / 復号化します。データの暗号化をプロセッサが行うため、暗号化ソフトによっては、PCのパフォーマンスが低下してしまう場合があります。また、悪意の侵入者がメモリから暗号化パスワードを盗み出した事例があり、セキュリティの面で若干の不安があります。ハードウェア暗号化は、マザーボード上のCPUを暗号化に使用するのではなく、ドライブを使います。プロセッサを使わないため、PCのパフォーマンスが低下することはありません。
ストレージドライブに暗号化をサポートするコントローラが内蔵されている場合、フルディスク暗号化が可能です。これを一般的に自己暗号化ドライブ(※SED : Self Encrypting Drivers) といいます。自己暗号化ドライブにもセキュリティ上の脆弱性は若干ありますので、最低限、HDDパスワードとBIOSパスワード併用の必要はあります。
※SEDは暗号化のためのハードウェアを搭載していて、製造の段階で暗号鍵も組み込まれます。出荷時には認証済みの状態で出荷されます。SEDの暗号化は、ユーザーが製造時の認証鍵を秘密鍵に変更し、鍵管理サーバに保管することで初めて有効になります。これ以降は、起動のたびにSED内のデータは暗号化されます。SEDがこのサーバを離れると、データは完全に保護された状態になり、別のPCを使ってもSED内のデータを読み込むことはできません。