業務PCの保護管理をあらためて見ていきましょう。DLPの発展の歴史は基本的にデバイス管理、ネットワーク応用、ファイル保護...等コアな議題にフォーカスしていました。完璧に見えるDLPの保護構造にとって、HDDのプロテクトプロセスは欠けてはならないものです。Global Data Leakage Report, H1 2016報告書を見ると、故意か不注意かの区別はありませんが、「設備の紛失/盗難」(Equipment loss/theft)は漏えい紛失事案の1.92%を占めています。比率としては少なく見えますが、HDDに保存されている情報は意外に多く、被害(漏えい規模)は極めて大きくなりがちです。それゆえに、データ保護ソリューションにはHDDプロテクトは必要不可欠なピースになるのです。
みんなが言わない隠されたセキュリティリスク
前述のケースでは実際に起きるインシデントの説明が難しいですが、ここでは3つの例を使って、セキュリティ部門にとってデバイスHDD管理における「皆が言わない秘密」を挙げたいと思います。
ケース1:サーバルームのHDD
サーバルームのHDDに保存されるデータは通常は個人のストレージに保存されるデータより遥かに重要度が高いです。サーバには開発データ、ファイルサーバ、メールサーバDB、DBそのものである場合が多く、サーバHDDの故障ランプでも点灯しようものなら、サービスが停止されて企業の運営にも影響するほどの重大インシデントと見なされます。この場合、セキュリティ部門は基本的にサーバの保証メーカーにHDDの「取り替え」を依頼します。通常サーバはホットスペア (Hot Spare)なので、故障HDDを新しいHDDに取り替えて、データの復旧を実施します。
しかし故障ランプが点灯したHDDは本当に故障しているのか?故障HDDのデータは復旧され取り出される可能性はないか?もしこれらのデータが社外の人間に取得された場合、企業の機密情報漏えいを意味するのではないのか?
このありふれた状況はそのまま重大なセキュリティリスクになります。
ケース2:勤務年数の長い社員の業務PC
勤務年数の長い社員の業務PCには必ずある程度「価値のあるデータ」が含まれます。もしこの社員が競合会社や商業スパイに買収され、こっそりサーバデータを個人の業務PCにコピーした場合、例えデータが大量かつDLP保護されていても、簡単にデータを取り出す方法があります。業務PCのHDDを抜き出し、外部のPCに接続さえすれば、簡単にデータ取り出すことができます。
企業データ漏洩事例にはよく見られるケースですが、PCがシャットダウンさえすれば、DLPの監視に必ず隙が生じます。セキュリティ担当者としても、実機HDDを盗むデータ不正取得を防ぐ有効な方法はありません。これもまた皆が言わないセキュリティリスクの1つです。
ケース3:PCの盗難
管理者が海外出張して、海外顧客と今年度の製品開発協力について商談をします。持ち込んだノートPCに「暗号化」、「未暗号化」の機密業務データが保存されているが、街角のカフェなどでPCが盗難された場合、警察に通報するか、国内のセキュリティ部門に協力を依頼するしかありません。
この場合、PCが戻る可能性は極めて低く、セキュリティ部門もPCがオンライン接続して、DLPリモート制御できることを祈るしかありません。このような状況におけるデータ漏えい事件はまず解決できません。同じようにセキュリティ部門が距離によって防ぎようのないセキュリティリスクです。
BitLocker HDD暗号化保護はこれらのセキュリティリスクに対応できます
前述のようなセキュリティリスクに対する安全なソリューションがあるのか?ファインアートのTotalSecurityFort(TSF)には今までのMBR HDD暗号化の仕組みの他に、BitLocker HDD暗号化保護機能が追加されました。本機能は前述のようにセキュリティ部門を悩ますセキュリティリスクに対して、有効に対応できます。
BitLocker HDDの暗号化保護により、企業のセキュリティ部門はTSF経由でBitLockerのキーを一元管理でき、さらに個人によるキーの変更を禁止できます。例え管理者のノートPCが盗難されても、最初のHDDプロテクト起動キーを解除しないとデータを取得できません。また、サーバ側でBitLockerプロテクトを掛ければ、HDD故障ランプが点灯しても故障HDDによるデータ漏洩リスクも気にする必要はありません。このBitLockerの追加セキュリティ保護はDLP制御を強化して、「事故」によるデータ漏洩の可能性は「皆が言わない秘密」ではなくなります。
BitLockerは (1) キーの一元管理 (2)個人によるのキー変更を禁止 (3) HDD盗難によるデータ漏洩を防ぐ (4)サーバHDD取り替えによるデータ漏えいを防止 などができ、HDD暗号化保護ソリューションとして取りうる有効な対策だと思われます。