フルディスク暗号化だけでは不十分――アナリストらが指摘
セキュリティアナリストやベンダーによると、データ漏えいを効果的に防止するには、フルディスク暗号化とファイルレベルの暗号化を組み合わせる必要があるという。
大量の社内データや個人情報が入ったノートPCの紛失といった事件が、1カ月に一度くらいは報じられているように思える。
現在、企業の法務部門は、データの一部もしくは全部が暗号化されていることをIT部門が確認できるかどうか知りたがっている。それが分かれば、データ漏えいのリスクの程度、そして漏えい時に何をすべきかを判断できるからだ。
一部のベンダーやアナリストによると、このようにデータが危険にさらされている場合の究極的なデータ漏えい対策がフルディスク暗号化だという。
「法律的に言えば、わたしがマシンを紛失しても、データが暗号化されていれば、どういったデータがマシンに入っていたかはあまり重要ではない。そのデータに誰もアクセスできないからだ」と話すのは、マサチューセッツ州リーに本社を置くWave Systemsのスティーブン・スプレーグCEOだ。「これに関しては2つの課題がある。1つは、優れた強力な暗号化技術が必要だということだ。もう1つは、紛失して既に手元にないマシンが暗号化されていたことをどうやって証明するかということだ」。
Dellの「Latitude D630」と「同D83」コンピュータは、管理機能を備えたハードウェア方式の暗号化機能を備えている。これは、Dell、Wave Systems、Seagate Technologyの3社の提携を通じて実現された。これらのマシンには、Seagateの「Momentus」FDE(フルディスク暗号化)ハードディスクおよびWave Systemsのユーザー管理/起動前認証技術である「Embassy Trust Suite」が搭載されている。
Embassy Trust Suiteは、パスワードのバックアップ、ハードディスクポリシーの設定・管理機能に加え、ハードディスクの安全な再配備や廃棄のために全データを暗号化して消去する機能を提供する。
Gartnerのアナリスト、ニール・マクドナルド氏は、「ハードディスクやシステムには、購入した時点で暗号化技術が組み込まれているべきだ」と語る。
しかしマクドナルド氏らによると、情報を総合的に保護するという意味では、フルディスク暗号化はソリューションの一部でしかないという。
「暗号化されたハードディスクを使用するユーザーが、センシティブなファイルを暗号化されていない状態で電子メールやUSBストレージにコピーするようであれば、フルディスク暗号化といえどもDLP(データ漏えい防止)の改善にはつながらない。FDEを補完するのがファイルベースの暗号化だ。これは特に、マシンやフォルダを複数のユーザーが共有する場合に当てはまる」とマクドナルド氏は話す。
マクドナルド氏によると、ユーザーがパスワードを忘れたときの対策として暗号鍵の管理、保管、復元を行う必要があるなど、FDEの導入に伴うプロセスの変化が、企業にとって不安要因になっている。暗号化のコストも問題だが、これについてはMicrosoft、Seagate、Dellなどのベンダーの取り組みが状況の改善につながっているという。
「1年半ほど前まで、デスクトップ1台当たりのソフトウェアの平均コストは70〜90ドルだった。今日ではその半分の価格になっている」と同氏は語る。
ハードウェアベースの暗号化方式の採用を検討している企業は、すべてのユーザーに新品のノートPCを購入するのにかかる費用を計算する必要があるだろう。大企業であれば、これは莫大な価格になる可能性がある。
データ漏えいの危険性は、ノートPCの紛失という場合だけでなく、従業員がセンシティブな情報をUSBデバイスにコピーするといったことでも生じる。
「ハッカーはデータに到達するのに最も抵抗が少ない経路を選ぶものだ」と指摘するのは、ペンシルベニア州ピッツバーグに本社を置くBitArmor Systemsのパトリック・マグレガーCEOだ。「ハードディスク上にあるデータが安全だと分かれば、彼らはより脆弱な保存場所を攻撃しようとするだろう。Seagateの方式では、データがコンピュータの外に出てしまえば暗号化することができないため、賢いハッカーはユーザーがファイル転送を開始するまで待ってネットワークからデータを盗むか、USBドライブや保護されていないネットワーク共有フォルダにデータがコピーされるまで待つだろう」。
同氏によると、そこで出番となるのがファイルベースの暗号化製品だという。BitArmorの「DataControl」ソフトウェアは、ファイルレベルのアプローチを主体とした暗号化方式を採用している。同ソフトウェアの最新版では、「Smart Tags」と呼ばれる技術により、データがノートPCや各種デバイス上にあるときでも、データが転送中のときでも、暗号化された状態が維持される。
「データ漏えいを本当に防止するための唯一の方法は、センシティブなファイルを保護、管理することであり、それはドライブを暗号化するだけでは実現できない」とマクレガー氏は主張する。
Forrester Researchのアナリスト、トーマス・ラシュケ氏も同じ考えのようだ。同氏によると、デバイスが紛失するといった被害が生じた後ではFDEが有効だが、まず情報の流出を防止することが重要だという。
「最も効果があるのが多階層型のリスクベースのセキュリティだ。ILP(情報漏えい防止)と暗号化を連携する必要がある。ILPでは、きめ細かなセキュリティ管理が可能だ。規定されたポリシーに基づいて、センシティブなコンテンツの個々の要素、例えばWord文書内の1行といった要素の使用を管理することができるのだ」とラシュケ氏は話す。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
ITmediaはアイティメディア株式会社の登録商標です。