WinMagic SecureDocの場合、答えは、「No」です。
セキュリティ対策を施すことは企業にとって当然のことながら、守りを強化すればするほど利便性を犠牲にしてしまう傾向があります。
ノートPCの盗難や置き忘れによる情報漏洩を防ぐ為に、フルディスク暗号を導入すると、復号化のために、プリブート認証と呼ばれるOS起動前の認証が必要になります。
ユーザーの利便性を下げるのを嫌い、起動時の認証に「TPMのみ」を使った暗号化を導入しているケースが多いようですが、電源投入後、Windowsがそのまま起動してしまうのでは、盗難や置き忘れ対策になりません。
対策としては、ユーザーの操作性や利便性を下げずにプリブート認証を使用する方法が必要となります。
プリブート認証でのID入力について
SecureDocのプリブート認証で、使用できるIDは、WindowsのユーザーアカウントやPC名の他、自由にIDを作成することができます。
ユーザーの利便性を考慮して、プリブート認証用にWindowsユーザーアカウント名を使ったIDを作成しても、普段、Windowsサインオンに、パスワードのみを入力していると、エンドユーザーはユーザーアカウント名すら認識していない可能性があります。
SecureDocのプリブート認証では、デフォルトユーザーは、ID入力無しで、パスワードのみでログインすることができます。(ID入力を必須とする設定も可能)
プリブート認証でのパスワード入力について
Windowsサインオンに使用するパスワードと異なると、エンドユーザーは2つのパスワードが必要になります。
SecureDocでは、Windowsと異なるパスワードを設定することも、Windowsと同じパスワードを使用することも可能です。
Windowsのパスワードを使用する場合はパスワード同期の機能を使うと、Windowsのパスワードを変更すると、プリブート認証で使用するパスワードも自動で即時に変更されます。
Active Directoryのポリシーで、例えば90日間毎にWindowsのパスワードを変更しなければならない場合でも、パスワード同期によって、自動でプリブート認証に使用するパスワードは変更されます。
パスワードポリシーについて
企業のパスワードポリシーを、Active Directoryによって設定されている場合、Windowsとのパスワード同期機能を使うことによって、パスワードポリシーを保てます。
認証回数(プリブート認証とWindowsサインオン)について
通常、フルディスク暗号化を導入すると、プリブート認証及びWindowsサインオンで、2回認証が必要になります。
SecureDocでは、シングルサインオンの設定により、プリブート認証をパスすると、自動でWindowsにサインオンすることができます。
このように、SecureDocのプリブート認証は、ユーザーの操作性や利便性を下げません。
既に、BitLockerを使っている場合は、BitLockerの暗号化状態を維持したまま、SecureDocのプリブート認証プログラムをインストールすることもできます。
SecureDocのプリブート認証によるセキュリティ対策
- 許容回数を超えてID及びパスワードを間違えると、そのIDをロックアウトできます。
- 複数のIDを登録できるので、共有PCなどにも対応できます。
- パスワード失念時の対応(チャレンジレスポンス機能)
- ワークグループ環境の場合、SecureDocによるパスワードポリシーを使うことで、企業のパスワードポリシーを適用できます。
など。
