[製品サーベイ]

2010年12月13日(月)鳥越 武史（IT Leaders編集部）

リスト

　「当社のコンサルタントは、顧客企業に出向く機会が多い。外出先でもノートPCを常に使える環境を用意しなければ仕事にならない」──。世界で約1000人規模のコンサルタントを擁する米ガートナーでCIO（最高情報責任者）を務めるダーコ・ヘリック氏は、こう話す。

　とはいえ、ノートPCの盗難や紛失に伴う情報漏洩リスクに対処しなければならないのは国内外を問わず、いずれの企業も同じだ。ここで、かたくなに持ち出しを禁じるのではなく、セキュリティ上のリスク低減と、モバイルならではの機動性を両立する策を検討するのが、これからの企業のあり方として重要になる。

　解決を図る有力な手段の1つとして、にわかに注目を集めているのが、PC内のハードディスクを丸ごと暗号化する「HDD暗号化ソフト」だ。前出のガートナーも、全コンサルタントに支給するノートPCすべてに、HDDの暗号化を施しているという。

[HDD暗号化ソフトのメリット]
「自動的に」HDD全体を保護

　HDD暗号化ソフトは、データだけを対象とするのではなく、OSなどのシステム領域も含めてHDDを丸ごと暗号化するのが特徴だ。普及し始めたソリッドステートドライブ（SSD）でももちろん利用できる。クライアントPCに導入する常駐アプリケーションが常に「自動的に」暗号化処理するため、ユーザーが特別な操作をする必要がない。

　市場には、ディスクに保存するデータ（あるいはフォルダ）を対象とする「ファイル暗号化ソフト」もある。このタイプの製品の多くは、ユーザーが意識的にファイルを指定して暗号化する必要があるため、セキュリティレベルが個々のユーザーに依存することになる。

　この点でHDD暗号化ソフトは、インストールさえすれば、一律にHDDの暗号化を図るので、エンドユーザーに負担をかけずに企業のセキュリティポリシーを徹底しやすいというメリットがある。

[ソフトの基本的な仕組み]
常駐アプリと起動前認証で構成

　クライアントPCに、起動時のユーザー認証を担う専用プログラムと、OS起動後に暗号化／復号処理を担う常駐プログラムを導入する。

　多くの製品は管理サーバーを立てずにスタンドアロンで導入できるが、複数台の端末の暗号化状況を一元管理するといった用途のために管理サーバーを用意している製品もある。この場合、PC内の常駐プログラムが管理サーバーと通信し、暗号化ソフトの導入状況や、暗号化の実施状況を可視化できる。

　最初のインストール時にはHDD全体の暗号化が必要となり、この処理には数時間かかる場合もある。プロセサに負荷がかかっている状態にはあるが、常駐プログラムがバックエンドで処理するため、並行してPCで他の作業をすることができる。

　導入後はHDDの先頭にあるマスターブートレコード（MBR）が書き換わっており、電源を投入するとOSのブートプログラムではなくHDD暗号化ソフトの認証用プログラムが起動する。パスワード入力などで認証をパスすると、OS起動に必要なデータが復号され、ブートプログラムが呼び出された後にOSが起動する（図1）。

図1：HDD暗号化ソフトを導入したPCの起動の仕組み。起動時にまず、HDD暗号化ソフトの認証用プログラムが起動する。認証をパスするとOSの起動に必要なHDDのセクタ—が復号され、OSのブートプログラムが呼び出される

　多くの製品は、冒頭の認証をパスすれば、OSに自動でログオンすることが可能だ。認証はIDとパスワードを利用するのが一般的だが、ICカードやUSB型のトークンを利用した認証にも対応する製品がある。

　OSが起動した後は、常駐プログラムがファイルI/Oを監視する。具体的には、ファイルシステムとデバイスドライバの中間に位置し、ディスクI/Oに関する命令を取得する「フィルタドライバ」で監視。こうした環境下においてHDDへのデータの書き込み時には暗号化、読み込み時には復号化といった処理を自動で実行する（図2）。

図2　HDD暗号化ソフトを導入したときのアプリケーションからHDDへのデータの読み書きの仕組み。ファイルI/Oを受け取るフィルタドライバを介して、書き込み時に暗号化処理、読み込み時に復号化処理を自動実行するので、利用者が処理に気付くことはない

●Next：パフォーマンスへの影響は？