WindowsにOS標準の暗号化ソフトとしてBitLocker暗号があり、BitLockerによる暗号化が行われているPCも数多くあるかと思います。
OS標準の暗号化機能であるが故に、暗号化を行うだけであれば手軽に行えるメリットがありますが、エンタプライズ環境でクライアントPCが暗号化されていることを管理・確認を行うにはOS標準のBitLockerだけでは力不足であることは否めません。
OS標準のBitLockerだけを利用すると以下の点がセキュリティの懸念事項となります。
SecureDocには、BitLockerで暗号化を運用する上での課題を解決するため SecureDoc Essentialsがあります。
[+]をクリックすると、SecureDoのソリューションをご確認いただけます。
『課題1』 ローカル管理者権限を有するユーザーが暗号化を解除(復号化)できてしまう。
コントロールパネルにあるBitLockerの管理アプリケーションの起動を無効化し、クライアントユーザーによるmanage-bdeコマンドの実行を禁止したり、BitLockerの解除を検知すると再暗号化するように設定できます。 BitLockerの復号を行うことができるユーザーはIT管理者(SecureDoc管理者)だけに制限できます。
『課題3』 回復キーの管理がUSBメディアなどになり、BitLocker回復キーの管理が煩雑になる。
SecureDoc Essentialsをインストールする際、管理サーバーにBitLockerの回復キーが送信され管理サーバーのデータベース内に保存されます。
『課題4』 一度使用したBitLocker回復キーが再度利用できる。
管理サーバーでBitLockerの回復キーを参照(表示)した場合、クライアントのBitLocker回復キーは自動的にキーローテーションが行われ更新されます。
『課題9』 BitLockerの暗号強度が128bit。複数のドライブを暗号化するのが手間。
AES-CBC 256bitや、XTS-AES 256bitなどBitLocker暗号方式を選ぶことができます。
また接続している複数のストレージを一度に暗号化するオプションも設定できます。
『課題10』 BitLocker暗号の一時中断が行え、Windows feature Updateなどの間のデータが暗号化されていない。
タンパープロテクション設定で、BitLocker暗号の一時停止を禁止することができます。
さらに、
