自社に新しいパソコンを導入しようと考えたとき、どのようなポイントで選んでいるだろうか。現在利用しているパソコンの不満点や課題を検討し、それを新パソコンの導入で改善するのが理想だろう。しかし実際に購入する際は、どうしてもコストが最重視されがちだ。図1を見るとわかりやすい。これは、企業がパソコンに関して抱えている課題と、実際にパソコンを購入する際に重視しているポイントを比較したものである（出典：（株）クロス・マーケティング）。パソコンの課題としては「セキュリティ・情報漏えい対策」が36.6％とトップだ。ところが不思議なことに、その課題を認識している企業に対し、購入時にその課題を重視しているかどうかクロス集計したところ、重視している企業は41.5％にとどまってしまった。これは「イニシャルコスト削減」を課題に挙げた企業が、購入時も88.5％と高い数字で重視しているのに比べ、かなり低い。セキュリティは大事なのに、それが重視されにくいのは、コストとの兼ね合いがあるからなのだ。


　セキュリティや情報漏えい対策を強化するにはコストがかかる。また、強化したことによって管理や運用が煩雑になるとすれば、人的リソースという観点からもコスト増になるのではないか──。このように考え、セキュリティや情報漏えい対策に関して課題は感じつつも、先送りにしている企業は多い。しかし、セキュリティ強化とコスト削減は、必ずしもトレードオフの関係ではない。内部統制やコンプライアンスの強化は企業として対応しなくてはならない必須条件である。そこでパソコンに最初からバンドルされているソフトウェアで各種のセキュリティ強化ができれば、イニシャルコストを大きく削減できるし、今利用しているセキュリティ管理・運用ツールよりも簡単かつ便利であれば、管理や運用コストも削減できるだろう。そこで、コスト削減もセキュリティ強化も妥協しないビジネスパソコンの導入を提案したい。

　パソコン販売台数の世界シェアでここ数年トップを走り続けているメーカー、Hewlett-Packard（ヒューレット・パッカード）。ビジネス用のパソコンとしても、堅牢性と信頼性、コストを含めたパフォーマンスから、日本HPの製品を選択している企業は多いだろう。4月22日には、ビジネス向けノートPCの「HP EliteBookシリーズ」に新たに4機種が追加されることが発表された。モバイル用途からデスクトップの代替用途、さらに高機能なモバイルワークステーションまで広く展開される主力シリーズで、多くのモデルで「HP DuraCase」が採用されており、落下の衝撃や液体から本体機能を守ってくれる堅牢性は従来の通りだ。Intel製CPUを搭載したラインナップはすべて最新Core iを採用したものとなり、パフォーマンス面でも大きな進化を遂げている。

　また、起動の待ち時間すらもムダにしない「HP DayStarter」（クリックでデモ動画へ）も魅力的だ。OSの起動中に、Outlookの予定表にある12時間分のイベントスケジュールや、バッテリーの充電状況を確認できる。動画で確認いただくとわかりやすいだろう。

　同時に、セキュリティ強化の観点からするとさらに注目すべき発表が行われた。日本HPのビジネス向けパソコンに、デスクトップ／ノートを問わずバンドルされる「HP ProtectTools」のバージョンアップである^（注1）。HP ProtectToolsとは、簡単に言えばパソコンに保存された情報を安全に守るためのセキュリティツール群だ。各種のセキュリティ機能や管理機能を備えているので、別途大掛かりなセキュリティシステムを構築することが難しいような中小規模の企業でも、ビジネスの現場で必要とされるセキュリティ・情報漏えい対策を施せる。また、ほとんどの機能が無償で利用できる点も特筆したい。今回の刷新では一部の認証機能が強化されたほか、各機能を設定するインターフェイスを統合し、より設定や管理が容易になっているのが大きなポイントだ。

注1 ： 対応機種はNotebook(Mini/ProBook s シリーズ/ProBook b シリーズ/EliteBook シリーズ)およびDesktop(8000 Eliteシリーズ/8100 Eliteシリーズ)、2010年4月22日現在。一部有償メニューもある

　つまり、HP ProtectTools対応パソコンであれば、各種セキュリティ製品が最初からバンドルされているため、セキュリティ強化のためにかかるイニシャルコストはゼロと言ってよく、ほとんどの機能が無償のため、ランニングコストもかからない。加えて各種セキュリティ機能を共通のインターフェイスで統合管理できるため、もし今何らかのセキュリティ管理ツールを利用している場合、それらと比べて管理や運用が楽になる可能性が高いと言える。これが、コスト削減もセキュリティ強化も妥協しないビジネスパソコンの提案である。

　ここからは、HP ProtectToolsを詳しく見ていこう。全体の特長として、管理コンソールとユーザー画面がはっきり区別されている点がポイントとして挙げられる。セキュリティ設定を変更するための管理コンソールは、管理者権限がなければアクセスできないため、一般ユーザーが勝手にセキュリティ設定を変更できないようになっている。一方で、パスワード管理などユーザーが行うべき操作はユーザー画面に集約されており、こちらはユーザー自身で利用できるようになっている。

　セキュリティ設定の観点でほかの仕組みに比べて非常に優れているのは、認証機能とその組み合わせ利用の容易さだ。セキュリティ強度を高めるために、通常のWindows起動後のパスワード認証のほかに、Windows起動前に認証を行う「Pre-Boot セキュリティ」（クリックでデモ動画へ）や、アプリケーションのパスワード管理を行う「Credential Manager」などが用意されている。これらの機能は個別にオン／オフできるだけではなく、パスワードや認証方法の設定を共有できるようになっているのだ。たとえばPre-Boot セキュリティで指紋認証を使うよう設定し、同じ指紋でアプリケーションのパスワードを代理入力させたい場合、そのために再度指紋を登録する必要はない。登録された指紋をCredential Managerで有効にするだけで設定は完了する。

　こうした類似機能の連携は、個別の認証ソリューションを組み合わせただけでは実現できず、これまで管理者、ユーザー双方を悩ませてきた。HP ProtectToolsならパスワード、指紋、顔認証にスマートカードと豊富に用意された認証の選択肢から、それぞれのセキュリティ機能に必要なものを組み合わせて利用できる。


　認証要素にはWindowsパスワード、指紋認証、顔認証、スマートカード認証が用意されており^（注2）、その中から各セキュリティ機能に必要な認証要素を選択する。複数の認証要素を選択してすべての認証を求めることで高度なセキュリティを確保できるだけではなく、選択した要素のうちどれかひとつが認証されればよいという利便性重視の設定も選択できる。

注2 ： それぞれの認証要素は、各認証デバイスを搭載するモデルのみ対応

　認証要素のひとつである顔認証機能を利用するためには、カメラを使ってユーザーの顔を登録しておき、認証時に同一人物であることを確認する。カメラはノートPCに内蔵されているもののほか、外付けのWebカメラなどを使うことも可能だ。また、スマートカードを使ったJava Card Securityを利用する場合は、Expressカードスロット用の専用のスマートカードリーダをパソコンに装備する必要がある。

　Pre-Boot セキュリティを利用すると、電源をオンにしてすぐに認証を求められる。一般的なBIOSパスワードなどとも似ているが、指紋やスマートカードによる認証を利用できる点や、ここでの認証をWindowsに引き継ぐことでシングルサインオンが可能になっている点で大きく異なる。Windowsを起動する前に認証を行うことでハッキングの危険性を大きく軽減しつつ、シングルサインオンでユーザーの利便性を確保している。

　そして、Windows起動後に利用するアプリケーションのパスワードを管理してくれるのが、Credential Manager（クリックでデモ動画へ）だ。メールやWebアプリケーションなどを利用する際、必要な認証を行うことでパスワードを代理入力してくれる。認証には指紋認証や顔認証も使えるので、ユーザーがアプリケーション個別の複雑なパスワードを覚えることから開放され、指紋を読み取らせるなどの簡単な操作で安全にアプリケーションを利用できるようになる。

　HP ProtectToolsで提供されているのは認証機能ばかりではない。パソコンに保存された情報の保護、持ち出しの制御などを行い、情報漏洩を防ぐ機能も豊富に用意されている。そのひとつが、ユーザーが不用意にデータを持ち出すことを防ぐ「Device Access Manager」（クリックでデモ動画へ）だ。USBメディアや光学式ドライブの利用を制限できる機能で、ユーザー、グループごとにアクセス権限を設定できるので、管理者のみ利用可能にすることもできる。光学式ドライブに関しては読み込みと書き込みを個別に設定できるため、読み込みのみ許可し、書き込ませないという設定も可能だ。Device Access Managerで利用制限されたデバイスは、CD書き込みソフトのようなサードパーティアプリからももちろん利用できない。




　HDDをパーティション単位で暗号化する「Drive Encryption」（クリックでデモ動画へ）といった機能も用意される。Windowsパスワード、指紋、スマートカードのいずれかを認証できない限り、ドライブ内のデータにアクセスすることはできない。なお、Drive EncryptionとPre-Boot セキュリティを同時に設定した場合は、Pre-Boot セキュリティでの認証結果を引き継ぐことでシングルサインオンを実現できるため、起動時の認証が煩雑になる心配はない。

　内蔵セキュリティチップを使ってセキュリティ強度を高める「Embedded Security」（クリックでデモ動画へ）をDrive Encryptionに組み合わせれば、さらに高い安全性を確保できる。ドライブ内のデータを暗号化する際、復号化するための鍵もドライブ内のどこかに書き込まれるのが普通だ。Embedded Securityを設定すると、その鍵をドライブではなく内蔵されたセキュリティチップに書き込み、ドライブとは別に管理される。ドライブのみを抜き出して暗号解析されることを防止できる。



　「File Sanitizer」を有効にすれば、HDDから削除済みのデータを復旧されることさえ防いでくれる。HDDからデータを削除してもデータ復旧ソフトを使えば読み出せるようになるというのは、今では多くのPCユーザーが知っている手法だが、File SanitizerはHDDの該当個所をランダムなデータで上書きすることでデータ復旧を不可能にする。いわば、PC上のデータを確実に消去するためのシュレッダーだ。

　一部有償になるものの、セキュリティを高めるためのサービスを手軽に利用するためのパスも、HP ProtectToolsでは用意されている。たとえば「Privacy Manager」を使えば、スマートカードやUSBメディアを使った多要素認証に利用できるデジタル証明書を取得できる。2年目以降は有償での更新となるが、登録初年度は無料。パソコンの台数に応じて必要な数だけデジタル証明書を取得できるので、自社でデジタル証明書を用意できないような小規模運用では大いに役立つに違いない。

　さらにノートPCが宿命的に持っている盗難のリスクに対しても、Absolute社の盗難対策サービスを利用可能な「Theft Recovery」で対応。こちらはAbsolute社の有償サービスだが、盗難にあったPCに保存されたデータを遠隔操作で消去したり、Windowsを起動できなくするなどの機能が盛り込まれており、情報漏洩対策をより万全なものにしてくれる。

　HP ProtectToolsの優れているポイントは、個別の機能が高度なだけではなく、これらを統一のインターフェイスで簡単に設定、利用できるという点だ。しかも、ほとんどの機能が同一の機能名でデスクトップPC向けにも提供されている。社内のパソコンを、種類を問わず同じ設定で運用できるため、高いセキュリティ運用を行っても管理負荷は低い。個別機能の実際の設定、動作イメージは動画でチェックできるので、気になる機能があればぜひご確認いただきたい。

　HP ProtectToolsの機能ではないが、デスクトップPCのみに搭載される特徴的なセキュリティ機能として、「スマートカバーロック」（クリックでデモ動画へ）がある。これはPC側面カバーの開閉をBIOS設定でロックする機能で、ハードディスクなどを物理的に盗難されるのを防ぐ。そのメカニズムを動画で解説しているので、ぜひ確認してほしい。