エンドポイントセキュリティ ④ ディスク暗号化

  1. ホーム
  2. EndpointSecurity
  3. ④ディスク暗号化
Endpoint Protection Solution

テレワークでの企業活動が多くなると、ノートPCや、タブレット、スマホなどのモバイル端末の業務使用も多くなります。そして、クラウド上にも業務で使用するデータを保存する機会も増えてくるため、情報漏洩などのセキュリティリスクが高まります。その中で、最も基本的で効果が高い対策が、データの暗号化です。

シーイーシーカスタマサービスのディスク暗号化のソリューションでは、下記の対策が主なポイントとなります。

対策ポイント

(1) 情報漏洩に備えPCのディスクを丸ごと暗号化

(2) 共有フォルダもファイル保存するだけで暗号化

(3) クラウドストレージへの保存も暗号化して同期

(4) 外部デバイスの暗号化とアクセス制御

(5) Bitlockerなどの暗号化ツールもまとめて集中管理

(6) 紛失・盗難リスク回避のためにPCをロック制御

(7) プリブート認証によるPCの起動制御

(8) 使用環境で選択できる柔軟な運用形態

(1) 情報漏洩に備え、PCのディスクを丸ごと暗号化

 

不正行為やノートPCの置忘れ等に対する情報漏洩のリスクを回避するためには、使用する業務端末にあるディスクをすべて暗号化しておくことが最も有効です。

ディスクを丸ごと暗号化

このディスク暗号化のソリューションでは、データの種類や場所に関係なく、PCに保存されるすべてのデータを自動で暗号化します。

これにより、ユーザは暗号化されているこを意識することなしにPCを使用でき、ユーザ自身が暗号化処理をするかどうか、どこまで対象にするかなどを判断する必要はありません。
このため、管理者は、従来担当者任せになりがちな暗号化されていないデータがあるかどうか、についてを不安視する必要がなくなります。

暗号化のアルゴリズムは、電子政府推奨暗号リスト にも記載されているAES 128ビットよりも強力な、最高レベルの暗号化技術を使ったFIPS 140-2認証のAES-NI 256ビット暗号エンジンを使用しております。

全てを例外なくディスク暗号化しておけば、設定漏れを気にせず安心です

(2) 共有フォルダもファイル保存するだけで暗号化

 

PCがネットワーク接続されていれば、ファイルサーバなどの共有フォルダにデータが保管でき便利ですが、ローカルフォルダ内ではないため、ディスクを丸ごと暗号化してもそこは対象外となってしまい危険です。

このディスク暗号化のソリューションでは、事前にSecureDoc管理サーバで設定した共有フォルダ内のファイルを指定した暗号鍵で暗号化をすることが可能です。もちろん、ローカルの特定のフォルダに対して設定することも可能です。

ファイル/フォルダ暗号機能

また、ユーザは意識することなく事前に暗号化が設定されたフォルダにファイルを保存するだけで、自動的に暗号化する指定も可能です。
この場合、このソリューションが導入されていない、または、導入されていてもその共有フォルダに対して権限が与えられていないPCでは、無理やりファイルの中身を見ても復号化できないため、暗号化された状態で文字化けしてしまっており内容が分かりません。
これにより、使い勝手は変わらないので、ユーザに負荷をかけず簡単でより高いセキュリティが確保できます。

ネットワーク上の共有フォルダも、自動暗号化で情報漏洩リスクを軽減します

(3) クラウドストレージへの保存も暗号化して同期

 

リモートワークが活発になると、社内のファイルサーバにデータを置くよりも、クラウドストレージにファイル保存する方が利便性は向上します。しかしながら、リスクは増大してしまいます。

クラウドストレージの暗号化

このディスク暗号化のソリューションでは、CloudSync機能を使用して、PCからクラウド上へアップロードされるファイルを自動で暗号化することが可能になります。

クラウド上のデータの保存場所を問わず、クラウド環境のフォルダにポリシーを事前に設定しておき、クラウドサービスにデータを移動する前にエンドポイントで常にデータを暗号化するため、クラウドにおける情報漏洩のリスクを回避することができます。ポリシーで設定されたフォルダ内のデータは、ローカルでファイルが暗号化されない限り、データがクラウドに移動して追加されることはありません。

暗号化されたデータは、同じ暗号鍵へのアクセスが許可されているユーザ間ではパスワードが不要で、透過的に共有することが可能です。それ以外の許可されていない外部のユーザとは、パスワードを設定してデータを共有することもできます。

Windows、Mac、iOS、Androidのデバイス間で、暗号化されたデータを安全に共有することができ、さらに、iOSおよびAndroidプラットフォーム向けにFileViewerソフトウェアが提供されているため、CloudSyncを利用していないユーザとも、暗号化されたデータを共有できます。

クラウド上に保存するデータも、暗号化してアップロードされるので安心です

(4) 外部デバイスの暗号化と、アクセス制御

 

テレワークでの在宅勤務など、PCのUSBを電源代わりにして安易にスマホを接続したりしていると、その際にデータコピーも可能になるので、外部デバイスの接続による情報漏洩が心配です。

ポート/デバイス制御

このディスク暗号化のソリューションでは、外部メディアについての制御も可能になり安心です。

具体的には、外付けハードディスクについても暗号化でき、USBメモリや、CD、DVDなどのリムーバブルメディアをセクターベースで暗号化することが可能です。事前の設定により、ユーザは意識することなくファイル保存時に自動で暗号化できます。

しかも、暗号化されていない外部メディアでは、ユーザのPCへ接続してもアクセスできなくすることや、許可したUSBデバイスしか使用できなくするような制御も可能になるため、ウイルス感染防止対策にも有効です。

外部メディアの暗号化と制御で、情報漏洩対策やウイルス感染対策が強化できます

(5) Bitlockerなどの暗号化ツールもまとめて集中管理

 

たとえば、Windows環境である場合、OS標準で搭載の暗号化ツールであるBitlockerは、多くの企業や組織でも採用されていますが、同じ会社でもMac OSの環境がある場合は、標準がFileVaultで別のツールとなってしまいます。
そして、PCが複数あればクライアントOS側で暗号化機能があっても、それぞれのPCが暗号化できているかどうかの管理が複雑になってしまいます。

BitLocker/FileVault管理

このディスク暗号化のソリューションでは、Active Directoryに所属しない端末についても管理することが出来、BitLockerもFileVaultについても、SecureDocによって1台のサーバで一元管理することが可能です。

更に、WindowsやMac OSではない環境においても、SecureDocによる暗号化が可能になり、起動画面も統一できます。そして、たとえばWindowsの管理者権限があっても、このソリューションの復号化権限がなければ、データの復号化はできず、更なる不正防止強化にもつながります。

Windowsや、Mac OSの標準暗号化ツールを一元管理でき、管理効率がアップします

(6) 紛失・盗難リスク回避のためにPCをロック制御

 

ノートPCを、もし電車内に置き忘れたら、あるいは目を離した隙に盗難にあったら、情報漏洩のリスクははかり知れません。

紛失・盗難リスク回避策

こののソリューションでは、手元から離れてしまった利用端末についても。データを保護することができます。
一定期間管理サーバと通信しないとPCをロックして、ログインを不可能にする設定や、認証時にパスワードを規定回数間違えるとロックする設定ができます。

また、万が一第三者がSecureDocの認証を通過することができたとしても、遠隔地から消去コマンドを送りPCを動作不能にすることができます。

このソリューションをエンドポイントのPCに適用しておけば、リモートワークにおいても、万が一の紛失・盗難時に第三者による不正利用を防止することができます。

利用者が端末を離れた場合の対処によって、紛失・盗難に遭遇しても安心です

(7) プリブート認証によるPCの起動制御

 

会社内での業務であれば、PCを使用していても第三者に不正利用される可能性は比較的低いですが、テレワークとなるとリスクは増大します。そのため、OSが起動する前に、データを扱える権限の認証をできるようにすることがセキュリティを高めます。

プリブート認証

このディスク暗号化のソリューションのプリブート認証機能は、有線LANが接続されていて、SecureDocのサーバに接続が可能な場合には、認証画面をスキップして自動的にOSが起動させることができますが、オフラインなどSecureDocのサーバに有線LANで接続できない環境では、OSが起動する前に登録されているアカウントでプリブート認証が必須になるように設定できます。

この時、パスワード認証のみならず、USBトークンや、ICカード、PKIなど多要素認証が利用可能です。たとえば、Windowsの場合、SecureDocは常にMicrosoft Active Directoryと同期されており、最新の資格情報を使用して認証が行なわれるようになっています。この認証の仕組みはBitLockerや暗号化ドライブにもインストールが可能で、プリブート認証と Windows認証を一度に済ますSSOの設定が可能ですので、ユーザーが複数のパスワードを入力する必要はなく、利便性を保てます。また、SecureDocのパスワードと Windowsのパスワードを同期させることも可能なので、Windowsのパスワードと同一のパスワードにすることが可能です。

利便性を考慮した厳格な認証でセキュリティを高めます

(8) 使用環境で選択できる柔軟な運用形態

 

働き方改革によって、業務を行う環境も様々です。会社のPCで作業する場合はもちろん、テレワークによりリモートワークする場合など、環境にあったセキュリティ対策が必要です。

3つの運用形態

このディスク暗号化のソリューションでは、オンライン、オフライン、スタンドアロンの3つの形態に分けて、それぞれの運用が可能で、もちろんいづれかを複数併用しての運用も可能です。

ネットワークに繋げれる環境では、SecureDocの管理サーバによって、ユーザ作成、 インストールパッケージの作成、クライアントの設定、ワンタイムパスワードの発行およびそれらの管理、ログ管理、Active Directryからのユーザのインポート機能、遠隔暗号鍵消去、BitLockerでソフトウェア暗号化されたPCの管理、仮想サーバの暗号化などについて、一元管理が可能です。

その他、共用ディスクや、クラウドストレージ、リムーバブルメディアなどもトータルで管理でき、セキュリティポリシーが一元管理でき、ユーザと管理対象の紐づけも管理ザーバで変更できます。通信ログによる利用状況の把握や、ログインの成功や失敗のログも収集しているため、暗号化状況の把握もできます。

もちろん、スタンドアロンでの運用も可能なため、スモールスタートで、重要な持ち出し用PCから始めることもできます。

暗号化されたPCの廃棄も、サーバからコマンドの送信で、暗号鍵の削除だけで完了するため廃棄コストの削減にも貢献します。

柔軟で一元管理ができる運用形態が管理負荷を軽減します


このディスク暗号化のソリューションは、個々のPCのディスク暗号化に留まらず、共有のストレージサーバや、パブリック、プライベートを問わずハイブリットクラウドの環境まで、複数の環境での暗号化を一元管理できます。このため、企業規模を問わず最適なディスク暗号化の対策を選択することができます。


▼ このデイスク暗号化を実現するソリューション

SecureDoc  (セキュアドック)


SecureDoc

ディスク暗号化と暗号化デバイス管理


SecureDoc

SecureDocは、PCのハードディスクまるごと暗号化、PCの起動制御、PCの外部メディア制御の3つの機能を搭載したエンドポイントセキュリティ製品です。
オプションの選択で、共有フォルダ内のファイルや、クラウドストレージでの暗号化などが可能で、様々な暗号化ツールの一元管理も可能です。
[SecureDocは、米国およびその他の国におけるWinMagic社の商標です]

(記載されている会社名、製品名またはサービス名は各社の商標または登録商標です)
 ③ 特権ID管理
エンドポイント・セキュリティ 

お問合せ・資料請求
SecureDoc
■エンドポイントセキュリティ対策について、シーイーシーカスタマサービスへお気軽にご相談ください。
お問合せ