機密データをどう守る? PCに標準搭載されるデータ保護の機能を動画でチェック
【PCセキュリティ検証:データ保護篇】
ビジネスで利用するPCにはデータ保護機能が必須
機密データを守るためには、セキュリティ ポリシーを徹底させ運用でカバーすることが大事である。しかし、人間が扱う以上、何らかの抜け漏れや紛失・盗難の可能性はどうしても避けられない。データそのものを保護する、データ暗号化ソリューションなどの利用が確実とはいえ、PCとは別に導入する場合、そこに求められるコストと作業負荷はかなり大きなものになってしまう。
実は、これらのデータ保護機能が標準(注1)で備わっているPCがある。それが、日本ヒューレット・パッカード(以下、日本HP)の法人向けPCだ。先に述べたように、データ保護はセキュリティ対策の重要課題だ。業務に使われるPCには、そのために必要な機能が備わっているべき、というのが日本HPの考え方なのだ。標準搭載のため追加コストの負担はなく、インストールの手間も不要。簡単な設定だけで、業務に使う機密データを保護できるようになる。その具体的な機能について、実際の操作画面を記録した動画とともに紹介していこう。
注1 : 一部のモデルでは、機器構成や機能により利用できるセキュリティ機能が限定されます。対応モデルと機能は、こちらでご確認ください。
ドライブ全体の保護と使い勝手を両立した「Drive Encryption」
ノートPCが盗難・紛失した場合、パスワード等でWindowsへの不正ログオンを保護していても、内蔵ドライブを抜き取られ、別のPCに接続してドライブの中身を読み取られてしまう可能性がある。そこで紹介したいのが、内蔵ドライブ全体を暗号化する「Drive Encryption」だ。内蔵ドライブを丸ごと暗号化しておけば、第三者が中身を確認することは非常に困難となる。類似の機能を提供するサードパーティ製品はいくつかあるが、中には、ドライブ全体を暗号化する都合上、まず暗号化を解かなくてはWindowsの起動すらできないため、まず暗号化解除の認証を行ってからWindowsを起動し、Windowsが起動したらログインのために再度認証しなければならないものもある。
しかし日本HPの法人向けPCでは、そのような二度手間は生じない。Windowsの起動前に認証を行うプリブート認証とシングルサインオン技術をDrive Encryptionに組み合わせることで、こうした煩雑さを回避しているのだ。電源を入れ、一度認証するだけでドライブの暗号化解除、Windowsのログオンまで自動的に進むようになっている。
暗号化の処理も、ユーザーの負担にならないよう工夫されている。設定画面で必要な操作は、暗号化の対象となるドライブを選択し、暗号化処理に必要な暗号化キーの保存場所を指定するだけ。暗号化キーを保存する場所にはUSBメモリなどの外部記憶装置のほか、マイクロソフトが提供するクラウドサービスOneDrive(旧SkyDrive)も利用できる。なお、暗号化処理が完了したのちには不要になるので、暗号化キーを納めたUSBメモリを常にセットしておかなければならないということもない。
暗号化の処理はHDDの場合で数十分、SSDなら数分程度しかかからない。その間も通常通りにPCを利用できるので、仕事の資料を作成している間に暗号化処理を済ませることもできる。ちなみに、SED(自己暗号化機能)搭載のドライブにも対応し、その場合には数秒で終わるので、暗号化の待ち時間を意識することはほとんどないだろう。
<「Drive Encryption」を動画でチェック!>
機密データを完全消去する「File Sanitizer」と「Secure Erase」
データ保護の観点では、今現在ドライブに存在するデータだけではなく、削除したデータの安全性にも目を向ける必要がある。その意味では、Windowsのごみ箱では不安が残る。「ごみ箱を空にする」を選べば一見ファイルは削除されるが、実際には、ドライブを詳細に分析することで削除済みのファイルを復元することができる。しかも特別な技術は不要で、フリーソフトウェアなどでもできることだ。こうした悪意を持った削除データの復元からも情報を守るため、日本HPの法人向けPCには「File Sanitizer」という機能が標準で備わっている。File Sanitizerのシュレッド機能を使えば、ファイルを復元不可能な状態にして完全削除ができる。ドライブ上のファイルが保存されていた領域をランダムなデータで上書きすることで、復元を防ぐのだ。削除したいファイルを一旦登録しておき、毎週、毎日などスケジュール化して決まったタイミングで処理することもできる。
また、空き領域をランダムデータを埋めるブリーチ機能も備わっている。こちらは書き込む領域が広いので処理に時間を要するが、シュレッド機能を使い忘れてしまった場合にも復元を回避可能な手段として有効だろう。
もうひとつ、データ消去の機能として紹介したいのが、日本HPの法人向けデスクトップPCに備わる「Disk Sanitizer」と、同じく法人向けノートPCに備わる「Secure Erase」だ。それぞれドライブを完全に消去する機能なのだが、ブートメディアがなくても実行可能という点が優れている。一般的に起動ドライブを消去するためには他のドライブから起動しなければならないが、Disk SanitizerとSecure EraseはBIOSメニューから実行できるため、PCを廃棄する際などに確実なデータ消去が可能で、専門の業者等に依頼して余計なコストをかける必要もない。また、Secure EraseはSSDに対応している点も特筆すべきポイントだろう。
<「File Sanitizer」と「Disk Sanitizer/Secure Erase」を動画でチェック!>