BitLockerは優れた暗号化ソリューションだがカギ管理（認証）に課題がある

　企業や官公庁からの情報漏えいが後を絶たない。最新のセキュリティ対策を講じているはずの大手企業でも情報漏えい事故が繰り返されるのは、技術的な対策はもちろん、内部犯行の抑止や人的教育も必要となるセキュリティ対策の難しさを改めて示しているといえるだろう。

　とはいえ、年々、セキュリティ技術が進歩しているのも事実だ。たとえば、WindowsとMac OS Xには、BitLockerやFileVaultのような、ディスク全体を暗号化する技術が最初から組み込まれている。特にビジネスへの影響の大きいWindowsのBitLockerは、うまく活用すれば強力な情報漏えい対策になるだろう。ただし、BitLockerにも課題はあると、ヒックマン氏は次のように指摘する。

「BitLockerは非常に優れた暗号化ソリューションです。ただし、カギ管理（認証）が複雑で、そこに課題があります。たとえば、ローカル管理者権限を付与されたユーザーは、BitLockerを簡単に無効化できます。また、ディスクを暗号化できるのは、ユーザーが認証されたあとです。このため、たとえば企業が従業員にノートPCを配布した直後は、そのノートPCはセキュアとはいえません」（ヒックマン氏）

　ヒックマン氏は、暗号化のソリューションは「暗号化」と「カギ管理（認証）」の2つコンポーネントから構成され、その2つは別々に扱うことが重要だと強調する。BitLockerについていえば、「暗号化」の部分はよくできているが、「カギ管理（認証）」が不十分だということだ。

　しかし、WinMagicのSecureDocを利用すると、BitLockerのカギ管理を強化し、より強固な暗号化ソリューションとして活用できるようになるという。

プリブート認証でWindows起動前に認証してBitLockerを強化、クラウドの暗号化にも対応

　米国の政府機関など、グローバルでは2500社以上の企業・組織がWinMagicのソリューションを使っている。同社のテクノロジーのポイントはいくつかあるが、その1つが「プリブート認証」だ。

「プリブート認証とは、ユーザーがWindowsを起動する前に認証を行う仕組みです。パスワードやUSBトークン、ICカード、生体認証、PKIなどが利用可能で、認証の失敗回数を検知し、既定回数失敗するとパソコンを起動不能にしたり、サーバと定期的に通信し、その通信が途絶えたらIDをロックしたりする制御ができます。また、WinMagic独自の技術として、認証をローカルで行うのではなく、サーバ接続によるネットワーク認証も可能です」（ヒックマン氏）


　プリブート認証はWindowsのActive Directoryとも連携できるので、Windows起動前にユーザー認証し、それが通ったらActive Directoryによって管理されたWindowsおよび社内システムを利用することができる。もちろん、そのWindowsではBitLockerも利用できるので、BitLockerのカギ管理を強固にできるというわけだ。なお、同じことはMacのFileVaultについても当てはまる。

　さらに同社はクラウドに対応した暗号化ソリューションも提供している。それが、「SecureDoc CloudSync」と「SecureDoc CloudVM」だ。「SecureDoc CloudSync」は、DropboxやBox、Google Driveなどの企業用のファイル同期/共有サービス（EFSS：Enterprise File Sync and Share）に対応した暗号化サービスである。クラウドに保存する前にデータを暗号化するので、クラウドからの情報漏えいのリスクを低減できる。

　「SecureDoc CloudVM」は、IaaSに特化した暗号化ソリューションだ。Amazon Web Services（AWS）やMicrosoft Azureなどのパブリッククラウド、プライベートクラウド、ハイブリッドクラウドをサポートし、クラウド上で動作する仮想マシンに対して、フルディスク暗号とインテリジェントなカギ管理機能を提供する。直近ではマイクロソフトとの提携も発表され、Azureを利用する企業は、Azureの仮想マシンを暗号化するカギを自社側で管理できるようになる。

自己暗号化ディスク（SED）とは何か？ WinMagicがSEDを重視するワケ

　WinMagicのテクノロジーのもう1つのポイントが、自己暗号化ディスク（SED）に対応していることだ。SEDは「Self-Encrypting Drive」の略で、ディスク内に暗号化チップと暗号化キーを内蔵しているドライブ製品のことだ（注1）。ドライブに搭載されたチップを利用するため、非常に高速に暗号化/復号できる。

注1： SEDの仕様としてはTCG（Trusted Computing Group）が標準化したOPALが知られている。OPALはハードディスクだけでなくSSDにも実装されている。

　ただ、暗号化キーがドライブに内蔵されているのと、そのままでは認証システムが備わっていないため、ドライブが盗まれたらデータも漏えいしてしまう。そこで必要となるのが、暗号化キーを暗号化する「認証キー」だ。OSへ変更を加えることなく、プリブート認証を追加できるOpal独自の「Shadow MBR機能」と「認証キー」を使って認証されたユーザーだけが、暗号化キーを使ってドライブを利用できる仕組みだ。単純化すると、図のようになる。


　SEDのメリットは、暗号化/復号が非常に高速であることだ。また、認証キーさえ厳格に管理すれば、仮にドライブが盗難に遭ったり紛失したりしてもデータが漏えいする心配がない。さらに、万が一の際は、暗号化キーを書き換えることで、ディスクを一瞬で利用不能にできる。

　WinMagicは、このSEDに対応している。具体的には、プリブート認証で「認証キー」を管理することにより、SEDを安全に運用することが可能だ。ヒックマン氏も、SEDの可能性について、次のように説明する。

「SEDを導入している企業は、米国でもまだ10％以下だと思います。日本では、さらに知られていないでしょう。しかし、SEDとWinMagicを組み合わせることで、ユーザーの利便性をまったく損なうことなく、データを保護できます。最善の暗号化ソリューションとは、『ユーザーがまったく意識することなく利用できるソリューション』のことで、SEDとWinMagicならそれを実現可能です。さらに、今後のIoT時代を考えれば、デバイスそのものに暗号化機能が内蔵されているSEDの重要性は、確実に高まると思います」（ヒックマン氏）

ローカル/クラウド/SEDも含めて統一されたカギ管理を実現

　WinMagicのソリューションは、国内でもすでに多くの企業・組織に導入・活用されている。

「日本では、大手電機メーカーがグループ全体で持ち出し用PC約1万5000台にSecureDocを採用しました。弊社パートナーのNECキャピタルソリューションが提供する『SecureDocマネージドサービス』を利用して、万が一、PCが紛失した場合は、リモートで端末を無効化できる仕組みになっています。また、ある大学病院では、病院内のすべてのPCにSecureDocを導入し、プリブート認証によって病院外ではPCを起動できない仕組みが構築されています」（ヒックマン氏）


　PCメーカーとの提携もすすんでいる。HPとレノボに関してはグローバルで提携し、「SecureDoc for HP」および「SecureDoc for Lenovo」というブランドで、SecureDocの動作が保証された製品を提供する仕組みが構築されている。国内のメーカーについても、日本独自で動作検証が行われている。

「プリブート認証はOSを起動する前の認証なので、ハードウェアとの相性が重要です。さらに、認証後はOSとの相性も考えなければいけません。このため、国内メーカーのPCに関しては、専門のチームを作って動作検証を行っています」（ヒックマン氏）

　ヒックマン氏が強調するように、暗号化においてはカギ管理が非常に重要なポイントだ。いかに暗号化の技術が優れていても、カギ管理がずさんだったり複雑だったりすると、セキュリティは確保できない。

　WinMagicのテクノロジーで重要な点は、ローカル/クラウドを問わず、シンプルで一元的なカギ管理を実現できることだ。プリブート認証で正しいユーザーと認められれば、そのユーザーに必要なカギがすべて揃った「カギの束」が渡される。あとは、そのカギによって、BitLockerやSEDが有効になったり、クラウドのデータが自動的に暗号化されたりする。自動なので、ユーザーは暗号化を意識する必要はない。

　ヒックマン氏は「これからは、すべてのデータを暗号化することが求められます」と力説する。WinMagicは、まさにこうした時代に必要なカギ管理のソリューションを提供しようしているといえるだろう。