PCに保存しているデータを保護するため、PCのストレージ(ハードディスク・SSD)を暗号化することは、特別なことではありません。
Windows OSの標準機能である暗号化ツール(BitLocker)を使用することにより、簡単にストレージを暗号化できます。

暗号化されたストレージにアクセスするために必要となるのが、Windows OSが起動する前に認証を行うプリブート認証です。
プリブート認証は正当なユーザーが暗号鍵を取得し、ストレージにアクセスするための認証プログラムとなっており、WinMagicはプリブート認証が重要な認証プロセスであると考えています。

BitLockerを利用する場合、TPMにより自動的にプリブート認証を通過するように設定されており、PC盗難に対して暗号化していることは無力です。
BitLockerのTPMによる自動認証では、ストレージのみ盗難に遭い他のPCに接続された場合でしか、ストレージからのデータ読み出しを守れないからです。
またBitLockerでPINによるプリブートを強制するには、Windowsのグループポリシーで「スタートアップ時に追加の認証を要求する」の設定を追加する必要があります。

SecureDocによる暗号化を導入すると、強力かつ様々な機能を有したSecureDocのプリブート認証を利用できます。

 

SeucreDocプリブートの強み

1.SecureDocプリブート認証の特長とログイン試行回数

プリブート認証はOSが起動する前のプログラムなので、Windowsアプリなどを利用しての総当たり攻撃(ブルートフォースアタック)などは不可能です。
SecureDoc管理者が設定した回数を超えると、そのアカウントは完全にロックされます。

 

 

ロックされたアカウントは、その後正しいパスワードを入力したとしてもプリブート認証を通過できません。
アカウントの回復を行うには、チャレンジレスポンスの機能を使用して、SecureDocの管理者から回復のキー(チャレンジ値に対するレスポンス値)を取得する必要があります。

チャレンジレスポンスは、16進数14文字のチャレンジ値から16進数22文字のレスポンス値が生成されます。 チャレンジ&レスポンスを実行するのに管理サーバーとのネットワーク接続は必要ありません。

 

BitLockerプリブートの場合、ログイン試行回数(PINの試行回数)はTPMで管理されています。
TPM2.0のデフォルトの設定値は、連続32回の認証失敗でロックされます。 ロック後、2時間経過ごとに試行回数(間違い回数)のカウンターが1減るので、PCの電源を入れたまま64時間放置するとカウンターが0に戻ります。 時間はかかりますが何度でもログインの試行を行えてしまいます。

また外付けHDDの接続などのハードウェアの構成に変化が生じた場合、BitLockerプリブートでは回復キーの入力を求められることがあります。
SecureDocプリブート認証では、ハードウェアの構成変更があっても影響を受けません。

2.管理サーバーとの通信確認
SecureDocの暗号を導入すると、Windowsにエージェントが常駐し管理サーバーと定期的に通信を行います。

管理サーバーとの通信は、セキュリティポリシーのアップデートのほかにクライアントの暗号状態確認も行っています。

管理サーバーと一定の期間通信がない場合、プリブート認証でアカウントをロックすることができるので、一定期間使用していないデバイスからのログインを未然に防ぐことが可能です。

3.複数アカウント利用が可能

SecureDocのプリブート認証では、複数のアカウントを利用することができます。 1台の端末を複数のユーザーで利用している共有PCの場合、ログインIDとパスワードを個別に利用することができます。 BitLockerの場合、デバイスに紐付いたPINとなるため、共有PCではログインIDとパスワードを複数の人と共有することとなりセキュリティが低下します。

SecureDocのユーザーパスワードは、Windowsのパスワードと同期することもできるので、Windowsのパスワードを記憶するだけの運用や、プリブート認証で異なるパスワードを利用することもできます。

また、細かなパスワードルール(大文字・小文字・数字・記号を含む数などやパスワードの有効期限)を設定でき、企業ポリシーに則したパスワードに制限することができます。

4.セキュアなストレージ消去

プリブート画面で設定した3つのキーの同時押下で、暗号鍵の消去(Crypto-Erase)を行うことができます。
暗号鍵を消去することで、ストレージ内のデータを読み出せなくなります。
破棄するストレージで0データの上書きを行う代替手段として、Crypto-Eraseの機能を使用すると、PCやストレージ破棄の負担を軽減できます。
また、Crypto-Eraseの機能は、管理サーバーからクライアントに対してリモートで行うことも可能ですので、盗難に遭ったPCに対してリモートのCrypto-Eraseコマンドを実行することで、万が一プリブート認証を通過した場合でも、管理サーバーと通信が行われた時点でそのPCは起動不可能になります。

5.その他、セキュリティや利便性を高める機能

5-1. SecureDocプリブートを使用すると、ログインに失敗した回数は記録され、Windowsのログイン時にプリブート認証を失敗した回数がバルーン表示され失敗したログイン回数を知ることができます。

また管理サーバーにもログインが失敗されたログが記録されます。

プリブート認証をより強固に行いたい場合、ユーザーの認証をTPM認証と組み合わせることや、USBトークンとの併用でプリブート認証を通過するよう設定できます。

5-2. 管理サーバーとのネットワーク接続環境がある場合、ネットワーク経由で自動的にプリブート認証を行うこともできます。

管理サーバーとの通信が行えない場合(外出時)は、プリブート認証画面になるので、自動的にプリブート認証されずログインIDとパスワードを入力する必要があります。

5-3. OSのメジャーアップデートなどにより、再起動が必要になる場合、そのたびにプリブート認証を通過するのは手間になる場合があります。 SecureDocでは、認証の回数を設定しプリブート認証を自動的に通過させる設定ができるので、IT管理者の負担を減らすことができます。

 

 

5-4. SecureDocプリブートにはデバイスオーナーという考えがあり、デバイスオーナーに指定されているユーザーは、プリブート認証画面でログインIDの入力を省略(パスワードのみの入力)できます。

5-5. SecureDocプリブートは、PCのハードウェアの仕様に対応するため、PBU/PBLUといったブートモードや様々なパラメータを設定でき、数多くのPCで起動できるようになっています。