「マイナンバー」の情報漏えい対策、セキュリティ強化に最適な定番PCの“スゴイ標準機能”を見る:データ暗号化、デバイス管理で情報を守る
厳密な個人情報の管理を求める「マイナンバー制度」が始まる。情報漏えいのリスクが高いのは実はノートPCなどエンドポイントのデバイスだ。コストを抑えながらどうセキュリティを守るか。最新デバイスを紹介する。
2016年に利用が開始されるマイナンバー(税と社会保障の共通番号)制度は、全ての企業に個人情報の厳格な管理を義務付ける制度であり、大きな負担を強いるものとして捉えられている。一方で、政府が示したガイドラインに沿って対策を実施することによって、これまで不安であったセキュリティ対策を見直す機会になるのも事実だ。
ガイドラインには、「安全管理措置」として複数のシステム要件が記されており、保護すべき対象や対策を施すべき範囲は広範だ。そのため、十分な予算を確保できない中堅・中小企業にとっては、なかなか実施しにくい面もあるだろう。
特に遅れがちなのが、普段利用するクライアントPCにおける対策である。2015年7月に「Windows Server 2003」のサポートが終了したことを受けて、サーバを更改した企業は少なくない。その更改に大きな予算を割り当てたために、クライアントPCの対策が後手に回ってしまっているのだ。
そこで今回は、特に中堅・中小企業を対象に、クライアントPCにおけるセキュリティ対策について解説しよう。OSやアプリケーション、セキュリティツールなどの見直しもさることながら、クライアントPC本体に注目をして解説したい。
紛失や盗難を前提としてデータ暗号化を実施する
マイナンバー制度で求められる安全管理措置のうち、「物理的安全管理措置」に「電子媒体等を持ち出す場合の漏洩等の防止」という項目がある。具体的な手法が記されているわけではないが、ここで対策として考えられるのが「データの暗号化」だ。仮に端末を紛失したり盗難に遭ったりしても、第三者がデータを盗み見ることは困難となる。
特にノートPCやモバイルPCなど、外に持ち出す機会が多い端末や盗難の恐れがある端末は、データ暗号化の機能が欠かせない。経済産業省も、産業分野向けのガイドラインにおいて、個人情報を保護するために「高度な暗号化」が必要だとし、幾つか推奨する暗号アルゴリズムを挙げている。
また、以前は業務用のクライアントPCを紛失すると、それだけでニュースになったものだが、現在はそのようなことはない。なぜなら、上述の産業分野向けガイドラインでは、適切なデータ暗号化を施していれば、紛失や盗難にあっても公表する必要はないと定められているからだ。
データを暗号化するのであれば、ディスクドライブを丸ごと暗号化できるツールを用いるのが望ましい。フォルダやデータごとに暗号化するツールもあるが、うっかりミスなどで機密データを暗号化し忘れるケースもあるためである。
ディスクを丸ごと暗号化して設定ミスなどを防ぐ
「Windows Vista」以降のWindowsには「BitLocker」と呼ばれるデータ暗号化機能が搭載されている。ディスクドライブのパーティション単位で丸ごとデータを暗号化し、クライアントPCに搭載されたセキュリティチップや任意に設定したハードウェアキーがなければ復号することはできない。
ところが、BitLockerは大規模環境向けのWindowsエディションでしか利用できないという問題がある。具体的には、「Windows 7」ではEnterprise、Ultimateが対応。「Windows 8/8.1」と「Windows 10」はPro、Enterpriseが対応する。中堅・中小企業では、Windows 7やWindows 8/8.1の下位エディションを利用しており、BitLockerを利用できないケースも少なくないだろう。
ディスクを丸ごと暗号化するソフトウェア製品も市販されているが、比較的高額であるという問題がある。まれに、クライアントPC本体との相性が悪いためか、Windowsにログインできないなどのトラブルにつながるケースも報告されている。
そこでオススメするのが、日本HPのビジネスデバイス「HP EliteBook」シリーズと「EliteDesk」シリーズ、「HP ProBook」シリーズだ。
同社では、「Windows XP」マシンの時代からセキュリティソフトウェア「HP Client Security」を提供し、クライアントPCのセキュリティ対策に注力してきていた。
Windows 10では、BitLockerの継続採用をはじめ、多要素認証やシングルサインオンなどのセキュリティ機能が標準搭載されていることが注目されている。こうしたセキュリティ機能は、既にHP Client Securityで対応しているものであり、少なくともWindows 7搭載のHPのクライアントPCでは、Windows 10で提供されるのと同等のセキュリティ機能が既に提供されていた。現在、広く必要とされているセキュリティ機能について、HPがいかに実績と経験が豊富であるかが分かるだろう。早い段階からの実装によって、セキュリティ対策で問題視される「利便性」を損ねることのないソリューションへと進化しているといえる。
ディスク暗号化機能については、EliteBook、EliteDesk、 ProBookは標準で搭載しており、米国連邦情報処理規格(FIPS 140-2)準拠の安全性の高い暗号化を無償で利用できる。HDD/フラッシュディスクに対応したデータ消去機能にも対応している。
HPはセキュリティ機能を標準搭載
ディスク暗号化は、基本的に認証の手間が増える機能である。つまり、ディスク暗号化に対する認証とWindowsに対する認証の、2つのログイン作業を行わなければならず、利便性が低下するというわけだ。これは、暗号化ソフトウェアをクライアントPCに個別に導入したときに、クリアできない問題として残ることが多い。
そこでHP Client Securityでは、多要素認証の仕組みを活用してシングルサインオンを実現し、利便性の低下を防いでいる。ディスクの丸ごと暗号化では、Windowsパスワードや指紋、ICカード(SmartCard)の3種類の認証に対応しており、要件や環境に合わせて選択できる。さらにHP Client Security の多要素認証はBluetooth デバイス+PIN 、USBトークンなど含めさらに多様な認証方法が選択できる。
また、米WinMagicの「SecureDoc for HP」(有償)を利用すれば、データ暗号化を一元的に管理して、セキュリティポリシーの徹底を図ることも可能だ。HP Client SecurityではWinMagicのSecureDocの機能を採用しており、HP Client Securityがインストール済みのクライアントPCであれば、SecureDoc for HPへの移行の際に暗号化解除および再暗号化の対応が不要となる。
クライアントPCのパフォーマンスを重視する場合には、「SED(Self Encrypting Drive:自己暗号化ドライブ)」に対応したドライブを選択するのもよいだろう。ソフトウェアではなく、ドライブ自身がデータを処理するため、高速な暗号化が期待できる。さらにHP Client SecurityではSEDドライブをOPALモード(ストレージセキュリティ仕様「Opal」に準拠した動作モード)で運用できるため、より強固なセキュリティで運用が可能だ。
上位機種であるEliteBook/EliteDeskシリーズには、さらに高度なセキュリティ機能が搭載されている。
その1つとして、BIOSを保護する機能がある。3〜4年ほど前から、BIOSの改ざんや破壊を狙ったサイバー攻撃が報告されており、専門家の間でも話題になっていた。もしBIOSがクラックされれば、ディスクを暗号化していてもシステムにログインされてしまう恐れがある。
HP EliteBook/EliteDeskシリーズ(G2以降)は、BIOSが改ざんされたり破壊されたりした場合でも、自動的に復旧して起動できるようにする「HP Sure Start」機能を標準搭載している。BIOSのアップデートも自動的に行えるため、常に安全な状態を保つことが可能だ。
HP BIOSは、NIST SP 800-147、NIST SP 800-155に対応しているなど、米国の政府機関にも採用されている最新のガイドラインに適応しており、BIOS自体も強固なセキュリティを採用している。
クラウド型MDMサービスで安価に安全性を高める
ノートブックPCやその他のスマートデバイスと貴重なデータを保護する手段として、MDM(モバイルデバイス管理)にも注目したい。
日本HPでは、クラウド型のMDMサービス「HP Touchpoint Manager」を提供している。デバイスの状況監視やウイルス対策、ファイアウォールポリシーの管理、リモートロックといった標準的なMDM機能を、1ライセンス月額240円という安価な「ベーシックパッケージ」で利用できるサービスだ。
しかも、Touchpoint Managerは1ライセンスで5台のデバイスまで管理できるというリーズナブルさだ。クライアントPCの状態管理などはHP製品のみの対応であるが、基本機能はマルチOSに対応するため、AndroidデバイスやiOSデバイスなども管理対象に含められる。複数のデバイスを持つことが標準的となった昨今のビジネスパーソンに最適なサービスだ。
パスワードリセット、データ消去、位置情報の検知といった高度なMDM機能は、月額1200円の「プロパッケージ」で利用できる。
実は、ベーシックパッケージとプロパッケージは、デバイスごとに月単位で切り替えが可能である。プロパッケージに含まれる機能は、デバイス紛失などのインシデント時に必要なものであるため、普段はベーシックパッケージで安価に監視し、トラブルが発生したらプロパッケージに切り替えるという運用も可能である。素早く切り替えるためには、クレジットカード支払いを行うなどの対応が必要であるが、コストを最適化できる“裏技”として覚えておいて損はないだろう。
Windows XPやWindows Server 2003のサポート終了、マイナンバー対応など、中堅・中小企業はこの数年でさまざまなシステム更新を強いられており、セキュリティ対策が後手に回るのも致し方ない面もある。しかし後手のままでは、安全性が低下し、甚大な損害を被ることになりかねない。
クライアントPCを更新する際に、HPのビジネスデバイスを選択することで、上述のようなセキュリティ対策を同時に実施できる。従来、暗号化ツールに高額なライセンス料を支払っている場合には、HPのクライアントPCに買い換えることがコスト削減につながる。HP製PCはそもそも安価であるため、上位機種のEliteシリーズであっても、性能やセキュリティ機能を考えれば高価な部類には入らない。セキュリティ対策の一環として、クライアントPCの選定から始めてはいかがだろうか。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
Copyright © ITmedia, Inc. All Rights Reserved.
提供:株式会社 日本HP
アイティメディア営業企画/制作:TechTargetジャパン編集部