認証への意識の低さが「データ暗号化」を台無しにする理由

　ウィンマジックは、トロントに本社を置くカナダのセキュリティ企業だ。認証や暗号化の領域で、ヒューレットパッカード、レノボ、IBMといったパートナー企業とともに、多くの企業にソリューションを提供する。日本では、2015年から本格展開し、「データを守ること」に注力している。

　ヒックマン氏によれば、今日のデータの暗号化では、OSに付属する暗号化エンジンの利用だけでなく、専用ハードウェアによる暗号化や独自エンジンを用いた暗号化など多様な手法が選択できる。しかし、重要なのはどの方法を選んだとしても、その管理作業をおろそかにしてはならないということだ。つまり、復号のための「鍵」を管理する必要がある。

　「特にWindowsは世界で最も狙われるOSといえます。暗号化にBitLockerを使ったとしても、認証部分が弱いままでは不安が残ります。今後、EUにおける一般データ保護規則（GDPR）が施行されれば、何らかの方法でデータの確実性が保証できない限り、多くの企業でビジネスが成り立たなくなるでしょう。このようなグローバルな法規制からも認証と鍵を企業全体で管理することが非常に重要になっているのです」（同氏）

ノートPCやスマートフォンで機密データを持ち運ぶ時代に必要なもの

　ウィンマジックの「SecureDoc」シリーズでは、フルディスク暗号化（FDE）機能とともに鍵管理機能や認証機能も提供する。認証部分では多要素認証に対応し、スマートカードやトークン、生体認証デバイスを利用できる。OneDriveやDropbox、Boxなどのクラウドストレージでも暗号化の制御が行え、ポリシーエンジンを通じて適用できる。

　「正しい人間に正しい鍵を与え、アクセス権を渡すことが重要です。BitLockerやFileVaultにウィンマジックのソリューションを組み合わせることで、多要素認証が実現でき格段にセキュリティが向上します」（ヒックマン氏）

　なぜ、認証部分を強化すべきなのか。ヒックマン氏は、米国のある銀行の事例を紹介する同行ではFileVaultによる暗号化を行っていたもののプリブート部分での認証機構を使っていなかった。「悪意ある者が認証部分を攻撃したら、約2時間で暗号を解除した状態のデータにアクセスできるようになったでしょう。この部分を多要素認証で強化しておくことで、ハッキングに必要な時間は100年以上に伸びます」（同氏）

　認証部分にセキュリティを追加することで鍵管理という要素が加わるが、ウィンマジックのソリューションは一般ユーザーの利便性を損なわないような設計を心掛けたという。「一度ログインすると、インテリジェントな鍵管理を通じてネットにログオンし、『鍵束』を受け取ることになります。これにより、ユーザーがアクセスできるファイルの暗号化が解除されるのですが、個別のアクセスにおいて鍵を意識する必要はありません」。

　ウィンマジックでは今後、ファイルの鍵管理を行うポリシーエンジンにおいて、自動的に暗号化機構の種類を判断した上でコントロールするセルフラーニングポリシー機能の他、パスワードマネージャー機能、インテルの多要素認証機構への対応などを予定する。「特にクラウドに関しては、ロードマップを前倒しで対応しています。DB暗号化機能やAWSへのさらなる対応も計画中です」（同氏）。

　暗号化ソリューションに加えて認証部分を強化するセキュリティ製品が必要となる背景には、スマートデバイスやノートPCといったモバイル端末が一般的になり、企業内に存在するデバイスが多種多様になっていることが挙げられる。特にノートPCのような持ち運べるデバイスに機密性の高いデータが保存されている今、暗号化は当然のものとして、その「認証部分」への攻撃に耐えられるような準備が必要である。