ディスク等に保存されている状態の情報の保護 (エンド ポイント)
企業や組織内で、重要な情報が保存されているのは、個々のクライアント PC の内蔵ハードディスクと、ネットワーク上の共有ファイル サーバーでしょう。クライアント PC の中でも、ノート PC の危険性は特に高いと言えます。
また、クライアント PC からUSB メモリ等に書き出した情報はさらに危険であるといえます。重要な情報が USB メモリのような簡単に持ち運びできるデバイスに書き出されるときに、何の保護もされないのであれば、それは情報を盗んで欲しいというようなものではないでしょうか。
企業が取り扱う情報には様々な種類があり、ごく一部の例外(広報資料や製品情報など)を除き、ほとんどが社外秘、あるいは、社外秘とまでは言えないまでも、積極的には知らせたくない、といった情報です。そして今やそういった重要情報のほとんどが電子化されて社内のPCやファイル サーバーに蓄積されており、日々活用されています。
ほとんどの企業では、情報に重要度を付け、アクセス権の設定などを行って情報漏洩の防止に努めていますが、ファイル サーバーに侵入されて情報を盗まれる危険性は否定できません。また、重要情報が入ったノート PC を紛失したり、盗まれることもありますし、仕事に必要な情報を USB メモリにコピーして持ち歩いている間に紛失してしまう、という事件も後を絶ちません。電子化された情報のやっかいな点は、盗難や漏洩があってもすぐには気づきにくいこと、痕跡が残りにくいこと、そしてコピーや配布が容易なことです。一度漏れた情報は、回収もできませんし、流通を止めることも不可能です。電子データは、絶対に漏洩させてはならないのです。
情報の漏洩を防ぐには、ファイアウォールの強化やアクセス規制によって、情報の出入りを管理することももちろん大切ですが、それでも漏洩が起こることは、昨今の情報漏洩事件を見れば明らかです。このため、PC側に情報が残らないシン クライアントの導入を打ち出す企業もありますが、業務プロセスへの影響は避けられず、システムへの投資コストがかさむ問題もあります。
過度の利用制限は逆効果
これに対し、ノート PC の利用禁止や、データの社外持ち出しを完全に禁止することにより漏洩を防止しようという考え方もあります。しかし、情報は利用されてこそ価値を生むものです。アクセスを過度に制限して、誰の目にも触れないところに隠してしまっては、漏洩は防げるかも知れませんが、情報の価値、そしてそれが生み出す可能性は失われます。こういった、過度の利用制限は企業全体の利益にとって逆効果でしかありません。情報を守ろうとするあまり、情報の流通を阻害し、企業の活力を失うことになっては、元も子もありません。
この問題を根本的に、しかも許容可能なコスト負担で解決するためには、暗号化が最適です。全ての情報を暗号化して、万一盗難や漏洩が起きた場合にも、解読が不可能なようにしておけば、被害は最小限に食い止められます。
PGP® Whole Disk Encryption (WDE) によるファイル暗号化とディスク全体暗号化
ディスクの暗号化には、重要なファイルやフォルダのみを暗号化する方法と、ディスク全体を暗号化する方法があります。
ディスク全体を強制的に暗号化する場合、OS の起動前に認証が行われ (プリブート認証)、認証に失敗すればシステムは起動すらしません。もちろん、ハードディスクを取り出して他の PC に繋いでも読み込むことはできません。
ディスク全体を暗号化する場合、初回のみ、暗号化のために数時間の時間がかかります。しかし、作業上のオーバー ヘッドは少なく、その間もユーザーは PC の利用を継続できますし、サスペンドやシャットダウンによって中断することもできます。再開後は、暗号化を継続します。
いったん暗号化してしまえば、ユーザーは暗号化について何ら意識することなく、普通に PC を利用することができます。パフォーマンスへの影響も軽微で、暗号化はバック グラウンドで自動的に行われます。
また、WDE では、内蔵あるいは外付けストレージのパーティション毎の暗号化にも対応しています。(Windows 版のみ)
2 要素認証を使ったより強固なセキュリティ
WDE は、様々な USB トークンやスマート カードをサポートしており、プリブート認証時にこれらを使った認証を組み合わせて、強固な 2 要素認証を行うことができます。
USB メモリへの書き出しも自動で暗号化
USB メモリなどの外部記憶装置の普及は、業務の利便性を高めましたが、同時にセキュリティ上の問題も引き起こしています。USB メモリ等に情報を書き出して持ち歩くことが一般的になり、紛失や盗難による被害が懸念されています。
USB メモリの利用や、ノート PC の持ち出しを禁止することは簡単です。しかし、何もかも禁止では、仕事が進まなくなってしまいます。WDE は、PC 本体内のディスクだけではなく、USB メモリなどの、PC に接続された外部記憶デバイスへの書き込みも自動的に暗号化します。万が一デバイスを紛失したとしても、暗号化してあれば被害は最小限に抑えられます。
Mac OS X にも対応
近年、ビジネス シーンでも Macintosh が活用されるようになってきました。企業にとって、Mac 上の情報保護も Windows と同様に大切です。WDE は、最新バージョンで Mac OS X のディスク全体暗号化およびプリブート認証に対応しました。
導入中でも作業の継続が可能
ディスク全体の暗号化は、導入時に、ディスク上の全てのファイルを暗号化します。このときだけは、ディスク容量により、数時間の時間がかかります。しかし、WDE では、導入時の暗号化もバック グラウンドで行われますから、その間も作業を続けることができ、サスペンドもシャットダウンも可能です。再開後に、またバックグラウンドで暗号化の続きが行われますので、ユーザーの操作を阻害することは一切ありません。
スタンドアロンからワークグループ、大企業レベルまで対応可能なスケーラビリティ
WDE は、スタンドアロン (管理ツールを利用しない) の導入からエンタープライズ レベルの導入まで対応できる、スケーラブルなアーキテクチャとなっております。PGP では、導入規模別に最適なソリューションをご用意しております。
① 小規模な組織への単体導入
1 台 ~ 10 台程度の小規模な導入で、暗号化ポリシーの集中管理などの必要性がない場合は、WDE を各 PC に各々単独でインストールしていただく構成が一般的です。
② 中小規模な組織への導入
PGP では、ワーク グループや 中小規模 (10~150 台程度の中規模な導入) でのご利用に最適な、PGP® Whole Disk Encryption Workgroup Edition (WDE-WE) を提供しております。
WDE-WE は、Microsoft Windows 上で動作する PGP Whole Disk Encryption Controller (WDE Controller) と各クライアント マシンにインストールする WDE から構成されます。
WDE Controller は、専用のサーバーやデータベースを必要とせずに既存の Windows マシン上で動作させることができるシンプルで直感的な管理アプリケーションです。運用時に必要なのは Windows の基本的な管理レベルの知識で、GUI からのクリック操作のみでポリシー設定済のインストールパッケージを作成することができ、一般的なソフトウェア配備ツールを利用して各クライアント マシンに WDE をインストールすることができます。
③ 大規模な組織への導入
PGP では、150 台以上の大規模な導入には、WDE と PGP Universal™ Server の組み合わせでの導入をお勧めしております。専用サーバーの利用で、大規模ユーザーに求められる管理ニーズを満たし、また WDE 以外の PGP 製品まで含めた統合管理も可能です。
PGP® NetShare によるファイル サーバー上のファイル / フォルダの暗号化
今やコンピュータを使った共同作業に共有ファイル サーバーは欠かせません。機密情報や重要譲歩の多くもファイル サーバー上に蓄積され、管理されています。企業内に設置されたファイル サーバーは、もちろん厳重なセキュリティの元に管理されてはいますが、それにも関わらず、企業ネットワークへの侵入や情報漏洩事件は後を絶ちません。
ビジネス的に重要な情報、機密情報は、外部からの攻撃だけでなく、内部関係者による漏洩も見逃せない問題です。いくらファイアウォールを強化しても、内部から不正にアクセスされては、セキュリティ対策の多くは無力なことが多いのです。ファイル サーバーの管理者が情報漏洩の当事者であることもあります。また、企業に侵入されて、物理的に盗み出される危険も考慮する必要があります。これら全てのケースに対して、個別に対応していてはコストも人的リソースも膨大なものになりますし、ユーザーの利便性も大きく損なわれます。
PGP NetShare は、各クライアント PC にインストールし、ネットワーク上の共有ファイル サーバー上のデータを暗号化します。たとえ不正なアクセスによって情報が流出しても、個々のファイルは暗号化されていますから、被害は最小限に抑えられます。
ファイル サーバー側に暗号化ソフトウェアや管理用のソフトをインストールする必要はありません。ファイルやフォルダへのアクセス権限はファイル サーバーのアクセス権とは別に設定することができ、ネットワーク管理者にもファイルの内容が見えないように設定することも可能で、きめ細かいロール ベースのアクセス制限をすることができます。この場合でも、ネットワーク管理者はファイルのバックアップなどは通常通り行うことができます。ファイルは暗号化された状態でバックアップされ、情報はどこにあっても、引き続き安全に保護されます。
WDE および PGP NetShare に共通の特徴
PGP Universal Server によるポリシーの集中管理と自動適用
PWDE や PGP NetShare を PGP Universal Server と共に導入すると、ユーザー・グループ毎のアクセス権の管理や、暗号化すべきファイルを特定するポリシーの共有などが簡単に行えます。また、電子メール暗号化とのパスフレーズの共有や、ポリシーの共有が可能になり、全社的に統一されたポリシーの元に暗号化を適用することができます。
操作は完全に透過的で、ユーザーへのトレーニングは不要
情報を確実に保護できても、ユーザーの利便性を損ねては支持を得られません。WDE は、ハード ディスクに書き込む全ての情報をバック グラウンドで自動的に暗号化し、読み出し時には自動的に復号化します。数%のオーバー ヘッドの他は、ユーザーに暗号化を意識させることはまったくありません。
PGP NetShare も、一度設定してしまえば、その後は暗号化を気にかける必要はありません。重要な情報は全て自動的に暗号化され、必要に応じて復号化されます。
すべてが自動的に行われますから、エンド ユーザーへのトレーニングもほとんど必要ありません。
パスフレーズや鍵の紛失にも迅速に対応
導入をお考えのお客様の最も多い懸念事項は、エンド ユーザーがパスフレーズを忘れてしまった場合や、鍵を紛失してしまった場合に、暗号化された情報にアクセスできなくなってしまうのではないか、ということです。しかし、PGP Universal Server と共に運用していれば、これも数分の作業で復旧できます。パスフレーズを忘れたり、紛失した場合には、一度だけ使用できる復旧パスフレーズを生成します。
また、PGP の特許技術である PGP 予備復号化鍵 (ADK) を使えば、鍵の紛失に備えることも可能です。ADK により、情報は追加の企業鍵で暗号化され、ADK は複数に分割することができ、何人かの管理者が鍵のピースを持ち寄らないと復号化できないように運用することもできます。
