EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

ローカルからクラウドまで、全てのデータを暗号化せよ――ウィンマジックの暗号化に死角はない

  2015/07/13 11:00

 個人情報保護法の施行以来、社員が出先で用いるパソコンではデータを暗号化するように運用する企業もある。しかしクラウドストレージは死角になりやすい。ユーザが持つパソコン、USBメモリ、サーバの共有フォルダ、クラウドストレージに至るまで、すべてのデータをシームレスに暗号化するためのソリューションとは――クラウド上の安全を確保する「SecureDoc Cloud」を発表した暗号化ソフトウェアのトップ企業、ウィンマジック グローバルセールス・エンジニアリング担当 バイス・プレジデントのロス・アンダーソン氏と、ウィンマジック・ジャパン プリセールスエンジニアの田沼洋之氏に話を聞いた。

拡大するクラウドストレージの業務利用、IT管理者の課題とは

 クラウドストレージにデータを保存することが日常的に普及してきている。コンシューマ向けサービスでもパソコンやスマートフォンなど、どのデバイスからでも手軽にアクセスできて多機能なものが多い。そして大抵は無料だ。USBメモリやSDカードのように購入する必要がなく、紛失のおそれもないのだから魅力的である。  

 しかし個人利用に限るならさておき、業務利用ではどうか。外回りの多い営業が利便性を追求するあまり、企業情報や顧客情報を個人向けクラウドストレージに預けていいものだろうか。IT管理者としては頭が痛い問題だ。

写真:ウィンマジック グローバルセールス・エンジニアリング担当 バイス・プレジデント ロス・アンダーソン氏

写真:ウィンマジック グローバルセールス・エンジニアリング担当
バイス・プレジデント ロス・アンダーソン氏

 クラウドストレージを使用する上でセキュリティの課題となるのは何か。ウィンマジック グローバルセールス・エンジニアリング担当 バイス・プレジデント ロス・アンダーソン氏は「企業が最も懸念しているのはクラウドに預けたデータが漏えいすることです。しかし現実にはIT管理者はユーザがクラウドストレージにどのようなデータを保存しているかまではコントロールしきれていません」と指摘する。  

 IT管理者はユーザのクラウドストレージの利用を懸念しつつも手の施しようがなく、黙認するか、仮の対策でなんとかしのごうとしているのが実情だ。例えばクラウドストレージの利用ポリシーを策定したり、ファイアウォールで制限するなど……これでは不十分であり、いつ情報漏えいが起きてもおかしくはない。危険な状態だ。

情報漏えいのリスクを回避する唯一の対策は、“全てのデータを暗号化すること”

 一方でユーザは利便性を失いたくない。ユーザはリスクを正しく認識していないと独断で個人アカウントを開設してしまったり、ユーザ同士でアカウントやパスワードを共有するなど、好ましくない回避策を見つけてしまう。多くの場合は悪意はなく、知識不足が不適切な運用を招いてしまう。  

 ユーザの利便性を損なうことなく、漏えいで生じるリスクを防ぐにはどうすればいいのか。アンダーソン氏は「リスクを回避する唯一の対策が暗号化です。それも全てのデータを暗号化すること」と断言する。  

 データが暗号化されていたら、万が一漏えいしてもデータは利用できない。情報漏えいのリスクを防止するには、なによりもまずデータを暗号化して保護することが重要だ。問題は技術的にどう実現するかだ。

一元的な鍵管理やプリブート認証が強み――SecureDocの特徴

  「全てのデータを暗号化する」を実現するのがウィンマジックの暗号化ソフトウェア「SecureDoc」だ。鍵やユーザIDなどを一元管理するサーバ・クライアント形式で、クライアント側はマルチプラットフォームに対応しWindows、MacOSの暗号化と、iOS、Androidの端末も管理できる。データ暗号化のための高度な機能を実装しつつ、ユーザや管理者の生産性を下げることのない高い操作性も併せ持つ製品だ。  

 ここでSecureDocの特徴を理解しておこう。ポイントとなるのが鍵管理だ。複数の暗号鍵を容易に利用できる機能を持つ。ウィンマジック・ジャパン プリセールスエンジニア 田沼洋之氏はたとえを出して次のように説明する。

写真:ウィンマジック・ジャパン プリセールスエンジニア 田沼洋之氏

写真:ウィンマジック・ジャパン プリセールスエンジニア 田沼 洋之氏

 「みなさんキーホルダーをお持ちですよね。家の鍵や車の鍵など、鍵を束ねたものです。それがSecureDocの『キーファイル』のイメージです」  

 SecureDocではユーザがキーファイルを使ってログイン(認証)に成功すれば、自分に必要な鍵が全てそろったキーホルダーを手にした状態となる。ローカルHDDからクラウドまでどこに暗号化データがあろうと、どの鍵が使われていようと、鍵の使い分けはSecureDoc側が行う。ユーザからすれば、ログイン認証を通過すれば以降はシームレスにデータにアクセスできるということだ。鍵を持っていないユーザ向けにはパスワード認証による復号化の設定もできる。  

 IT管理者からすれば、復号化に必要な鍵を一元管理できるという大きなメリットがある。例えばユーザの部署異動。ある社員が開発部から営業部に異動した場合、管理側でユーザが持つ鍵の中から開発部の鍵を外して営業部の鍵を割り当てるなど設定すればいい。勤務地の変更や昇格による権限変更でも同じ。「IT管理者はユーザが持つパソコンを交換したりする必要はありません。IT管理者は鍵管理や承認などの必要な管理作業を管理画面から一元的に行えます。操作も簡単です」と田沼氏は説明する。  

 またSecureDocで強みとなるのがキーファイルを使うプリブート認証だ。プリブート認証はOSへのログインよりも先に行われるため、認証をパスしなければ実質的にはパソコンが使えなくなる。確実にデータ保護を実現するための仕組みとなる。加えてSecureDocによってディスクをセクタレベルで暗号化していれば、万が一、盗難に遭いハードディスクだけ抜き取られてもデータにはアクセスできない。  

 関連して、SecureDocではSecureDocのサーバとネットワーク接続した状態でないと認証をパスできないようにもできる(プリブートネットワーク認証)。典型的なのは社内の共有パソコン。ある日本の病院では電子カルテを参照するためのパソコンにこれを設定し、病院内のネットワークに接続していなければパソコンが使えないようにした。

クラウドへのデータ保存もエンドポイントで暗号化――SecureDoc Cloudの包括的なデータ保護機能

 現時点でのSecureDocのバージョンは6.5。10月リリース予定の次期バージョン7.1ではクラウドストレージのデータ暗号化にも対応した「SecureDoc Cloud」がコンポーネントとして新たに追加される。現行バージョンを利用しているユーザにはベータ版がすでに提供されている。ベータ版と正式版で違うのはMac OS Xのサポートだという。  

 アンダーソン氏は「SecureDocにより、パソコン、USBメモリ、サーバのデータだけではなく、クラウドストレージでも、全てのデータを暗号化できます。部署や役割ごとに鍵を使い分ける柔軟性を持ちつつも、ユーザはシームレスに必要なデータにアクセスできます。どのデバイスからもです」と説明する。  

 新バージョンからはSecureDoc Cloudでクラウドストレージのデータも暗号化が可能となる。SecureDoc Cloudに話が移るとアンダーソン氏は「クラウドなんてないのですよ」と笑う。  

 「クラウドといっても、結局はどこかにある、誰かのコンピュータです。隣人宅のコンピュータに大事なデータを保存するとき、そのままデータを保存しますか? 暗号化しなくてもいいでしょうか?」(アンダーソン氏)  

 クラウドの場合、利便性やコスト削減に目が向くが、安全性を確保することは忘れてしまいがちだ。もちろん、クラウドサービス・プロバイダーによってはデータの送受信にSSL通信を使うなど、安全対策を施しているところもある。しかしデータそのものを保護しなくてはセキュリティ対策、特に情報漏えい対策としては十分と言えない。  

 「重要なのは鍵を自社でコントロールできるようにすることです」とアンダーソン氏は強調する。データを暗号化した鍵を持つ者だけが復号できるのだから、自社が持つ鍵でデータを暗号化することができればデータを自社の管理下におけることになる。クラウドストレージを使う場合はここが特に重要となる。 アンダーソン氏は「例えばNSA(米国国家安全保障局)が開示請求の令状を出せば、クラウドサービス・プロバイダーはデータを開示する可能性もあります」と語る。  

 SecureDoc Cloudはコンシューマ向けクラウドストレージへのデータ保存でも、普段のローカルや社内サーバのデータと同じように暗号化できる。隙なくすべてのデータを暗号化で保護できて、かつ鍵管理を一元化できるという強みを持つ。

図:SecureDoc Cloud向けにポリシーを一元的に管理 出所:ウィンマジック・ジャパン

 実際にSecureDoc Cloudが対応を予定(正式版は10月リリース予定)しているクラウドストレージサービスにはDropbox、Box、OneDrive、Google Drive、SugarSyncがある。将来的にはAmazon Web ServiceやMicrosoft Azureのデータにも対応する。  

 それだけではない。SecureDoc Cloudでは暗号化をエンドポイントで行うところも大きな優位点だ。つまり、データはクラウドに送信される前、ユーザのパソコン内で暗号化される。もし通信データが第三者にキャプチャされたとしても、すでに暗号化で保護されていることになる。  

 SecureDoc Cloudならクラウドに保存するデータもパソコンやサーバのデータと同じように暗号化することができる。

図:SecureDoc Cloud/クラウドにおけるデータの安全なフロー  出所:ウィンマジック・ジャパン

クラウドストレージ利用でもセキュリティに死角なし――ウィンマジック、シェア独走の理由

 ウィンマジックの高度なセキュリティ機能と操作性は日本市場でも高く評価されている。ITRによるエンドポイントセキュリティ市場調査からシェアを見ると、ウィンマジックは2012年からトップを維持している。シェアは年々拡大し、2014年には半数を超えた。  

 顧客がウィンマジックを選ぶのはなぜか。アンダーソン氏は「SecureDocなら柔軟かつ一元的に暗号鍵を管理するなど高度なセキュリティ機能を実装しつつ、ユーザの生産性を落としていません。管理者の負担が高くないのも特徴です。お客様が弊社製品を選ぶのはTCOやROIの高さゆえです」と話す。  

 加えてシェア増加の背景にはSecureDocへの乗り換えがあるという。田沼氏は「他社製品から乗り換えの決め手となる一つは、お客様の環境・ニーズにあった認証方法や多くのプラットフォームに対応していることです」と話す。認証に成功しなければデータには一切アクセスできないというデータ保護と、成功すれば後はシームレスにどこにある暗号化データでもアクセスできるという利便性をSecureDocは見事に両立させている。  

 SecureDoc Cloudはクラウドストレージへの暗号化も可能とすることで、企業のクラウドストレージ利用時のセキュリティリスクを大きく軽減することができる。情報漏えいの懸念が高まっている今、SecureDoc Cloudで防ぐことができるリスクは計り知れない。

著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。 Webサイト:http://emiekayama.net

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております。

All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5