暗号化ハードディスクのあるべき姿とは:データを守るためにできること(最終回)(2/3 ページ)
情報漏えい対策としてデータ暗号化を考える連載、最終回はデータ暗号化をハードウェアで行う「暗号化ハードディスク」を解説します(編集部)
暗号化ハードディスクの機能と特徴
上記以外にも、暗号化ハードディスクには特筆すべき機能がいくつかあります。代表的なものを見ていきましょう。
例えばシーゲイトの暗号化ドライブは、「フルディスク暗号化」(FDE:Full Disk Encryption)機能を搭載しています。正当なユーザーが使用する場合、ディスクへのすべての書き込みが暗号化され、ディスクからのすべての読み出しが復号されるということです。OS、スワップ領域、テンポラリシステム領域、アプリケーション、アプリケーションデータ、ユーザーデータを含むあらゆるデータは自動的かつ完全に暗号化されます。ユーザー自身の認証と認証情報のバックアップを除けば、FDEの機能を利用して保存データを保護するための追加の手間は必要ありません。
FDEの実装には、広く受け入れられたAdvanced Encryption Standard(AES)と128ビットのキー長を採用しているため、暗号化の強度は卓越しており、米国政府の機密情報用としても通用します。また、すべての暗号化はドライブ内で行われ、システムのCPUのパフォーマンス上に影響はありません。
保存されているデータを安全、完全に削除できるということ
暗号化ハードディスクのもう1つの重要な機能は「安全なデータ削除」(セキュア・イレース)です。
政府機関、民間企業では、ハードディスクの廃棄、用途変更、修理、保存に際して機密データが復元されないように毎年高額の経費を出費しています。暗号化ハードディスクの暗号化キー、より厳密にいえば「暗号化された暗号化キー」を単純に変更することで、安全かつ瞬時にすべての保存データの読み出しと利用ができなくなります。
セキュア・イレースは数秒で実行でき、ハードディスクを物理的に破壊したりランダムデータを複数回上書きしたりといった標準的なデータ消去にかかる時間を節約し、人為的なミスを回避できます。
ドライブとデバイスの組み合わせを固定する
特定のハードディスクを特定のシステムまたはホストに対してロックすることができる、「ドライブペアリング」という別の機能もあります。この機能はビジネスのさまざまなセキュリティ問題を解決できます。例えば、USB接続の外付けハードディスクからの機密データの盗難については多くの企業組織が懸念しており、このようなハードディスクの使用を承認されたシステムだけに制限したいという要望が高まっています。
ドライブペアリングを使用すると、承認されていないUSB接続の外付けハードディスクなど特定のドライブを、指定したホストに接続できないように「ロックアウト」できます。逆に、ドライブペアリングを使用して、特定のハードディスクを特定のコンピュータ群でしか使用できないように「ロックイン」することもできます。ドライブペアリングにはそのほかにも、不正コピーや、著作権そのほかで保護されたデータの不正配布を防ぐなど、多くの用途があります。
例えばシーゲイトが提供するDriveTrustでは、「セキュア・ストレージ・パーティション」といった、承認されたソフトウェアアプリケーションからしか利用できない、特に安全なディスクストレージ領域を実現する機能もあります。セキュア・ストレージ・パーティションは、OSとそのほかすべてのアプリケーションから完全に隠されていてアクセスできません。承認されたアプリケーションは、このセキュア・ストレージ・パーティションを使用して、暗号化キー、ユーザーパスワード、口座番号、財務情報、そのほかの機密データを安全に保存できます。個々のアプリケーションに独自のセキュア・ストレージ・パーティションがあり、承認された別のアプリケーションでさえアクセスすることはできません。
ドライブには「暗号化サービス・プロバイダ」(CSP)も組み込まれており、Windowsアプリケーションに対して、乱数ジェネレータ、暗号化キー生成、ハッシュ、そのほかのデジタル署名機能、さらに承認されたアプリケーション用の暗号化と復号など、高度な暗号化サービスを提供します。独立系ソフトウェアベンダはDriveTrust CSP機能を使用して、キーの一元管理や、アプリケーションレベルのデータ暗号化、安全な電子メール、およびユーザー、Webサイト、トランザクション、あるいは文書の強力な認証など、高度なセキュリティ機能を実装できます。
DriveTrustには「ソフトウェア開発キット」(SDK)が用意され、暗号化ドライブのために拡張されたコマンドセットを発行することができ、企業全体のセキュリティ機能を一元管理するための機能を提供します。どのような組織でも、ログオンIDやパスワードを忘れた場合の対処と、その関連タスクの管理は重要です。パスワードの長さとセキュリティ属性の管理、キー生成、エスクロー、リカバリ、各システムに対するアクセス権限所有者の管理はすべて重要な管理機能です。例えば、ユーザーが何らかの理由で不在のときに、上司または同僚がそのPCにアクセスする必要が生じる場合があります。このような状況では、キーまたはパスワードのリカバリが不可欠です。こういった多様な理由から、暗号化ハードディスクには、企業の管理システムを含め、外部との安全なインターフェイスが必要です。
幸いこれについては、DriveTrust SDKとCSPに加えて、シーゲイトはトラステッドコンピューティンググループ(TCG)のストレージワークグループの設立と標準の策定に貢献してきました。この団体は情報資産保護のための標準の策定に重点を置いており、業界内の幅広い企業が参加しています。その成果として、ATAおよびSCSIインターフェイスプロトコルに対して、暗号化ドライブのための拡張コマンドセットなどが策定されています。
Copyright © ITmedia, Inc. All Rights Reserved.