WindowsにOS標準の暗号化ソフトとしてBitLocker暗号があり、BitLockerによる暗号化が行われているPCも数多くあるかと思います。
OS標準の暗号化機能であるが故に、暗号化を行うだけであれば手軽に行えるメリットがありますが、エンタプライズ環境でクライアントPCが暗号化されていることを管理・確認を行うにはOS標準のBitLockerだけでは力不足であることは否めません。
OS標準のBitLockerだけを利用すると以下の点がセキュリティの懸念事項となります。
SecureDocには、BitLockerで暗号化を運用する上での課題を解決するため SecureDoc Essentialsがあります。
[+]をクリックすると、SecureDoのソリューションをご確認いただけます。
『課題1』 ローカル管理者権限を有するユーザーが暗号化を解除(復号化)できてしまう。
コントロールパネルにあるBitLockerの管理アプリケーションの起動を無効化し、クライアントユーザーによるmanage-bdeコマンドの実行を禁止したり、BitLockerの解除を検知すると再暗号化するように設定できます。 BitLockerの復号を行うことができるユーザーはIT管理者(SecureDoc管理者)だけに制限できます。
『課題2』 クライアントが暗号化状態を維持しているかをIT管理者が確認することができない。
管理サーバーのコンソール画面・Webレポート機能でクライアントの暗号化状態を一覧で確認できます。
『課題3』 回復キーの管理がUSBメディアなどになり、BitLocker回復キーの管理が煩雑になる。
SecureDoc Essentialsをインストールする際、管理サーバーにBitLockerの回復キーが送信され管理サーバーのデータベース内に保存されます。
『課題4』 一度使用したBitLocker回復キーが再度利用できる。
管理サーバーでBitLockerの回復キーを参照(表示)した場合、クライアントのBitLocker回復キーは自動的にキーローテーションが行われ更新されます。
『課題5』 TPMによってプリブートが自動認証されるためPC自体が盗難された場合、電源を入れるとWindowsのログイン画面になる(Windowsが稼働しているので、Windowsのパスワード攻撃ツールが利用できる。)
SecureDocのプリブートは独自の認証プログラムを使用しており、Windowsで実行するパスワード攻撃ツールは利用できません。SecureDocのプリブートはPC起動時に常に認証が必要となりセキュリティレベルが向上します。
『課題6』 BitLockerプリブートを使用していてもTPMによってログイン試行回数を管理しており、2時間ごとにパスワード試行回数が回復するため、ブルースフォースアタックに対して万全ではない。
SecureDocのプリブート認証は、ログイン試行回数をカウントしており、設定した回数以上のパスワード間違いでアカウントロックします。
>プリブートのアカウントロックについては、
こちら
『課題7』ハードウェアの構成に変更があった場合、PC起動時にBitLocker回復キーの入力が必要となる場合がある。
SecureDocのプリブートを利用すると、ハードウェアの変更によりBitLocker回復キーの入力が必要となることはありません。
『課題8』 複数のユーザーに対応していないので、BitLockerプリブートを使用していてもパスワードを共有しなければならない。
SecureDocのプリブートは複数のユーザーに対応しており、 共有PC環境でもそれぞれのIDとパスワードを利用できます。
『課題9』 BitLockerの暗号強度が128bit。複数のドライブを暗号化するのが手間。
AES-CBC 256bitや、XTS-AES 256bitなどBitLocker暗号方式を選ぶことができます。
また接続している複数のストレージを一度に暗号化するオプションも設定できます。
『課題10』 BitLocker暗号の一時中断が行え、Windows feature Updateなどの間のデータが暗号化されていない。
タンパープロテクション設定で、BitLocker暗号の一時停止を禁止することができます。
さらに、
SecureDoc EssentialsはBitLockerにはない以下の機能を利用できます。
すでにBitLocker暗号を導入しているPCにSecureDoc EssentialsをインストールしBitLocker管理を導入できます。
プリブートネットワーク認証を利用できます。(Enterprise版では無線LANでのネットワーク認証が可能です)
Windowsへのログイン(SSO)が設定できます。(プリブートネットワーク認証とは排他利用)