「ESET Endpoint Encryption」で社外持ち出しの業務PCやUSBメモリーに漏れなく対策する

リモートワークや在宅勤務で高まる「情報漏えいリスク」への対策とは

文●大塚昭彦/TECH.ASCII.jp

提供: キヤノンマーケティングジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

「ESET Endpoint Encryption」の画面(PC内蔵HDD/SSDの暗号化処理中画面)

 「働き方改革」の一環として、リモートワークや在宅勤務などを行うために業務PCの社外持ち出しが行われるケースが増えている。しかし、それに伴って発生するセキュリティリスク、具体的に言えば「個人情報や機密情報の漏えいリスク」は、企業においてまだまだ軽視されているのではないか。情報漏えいの原因となる「業務PCの置き忘れ」「USBメモリーの紛失」といった事故は、実はかなり頻繁に起きているのだ。

 こうしたリスクに備えるひとつの方法が「ドライブやデータの暗号化」である。そしてIT管理者やエンドユーザーの業務における利便性を損なうことなく、徹底した情報保護を実現できるのが、キヤノンマーケティングジャパン(キヤノンMJ)が販売する暗号化ソリューション「ESET Endpoint Encryption」である。

サイバー攻撃よりも頻繁に発生するPCやUSBメモリーの「紛失・置き忘れ」

 「企業における情報漏えい対策」と聞いてまず思い浮かぶのは、外部からのサイバー攻撃(不正アクセス)への対策ではないだろうか。もちろんそれも大切なのだが、実はサイバー攻撃よりも頻繁に発生しているのが、個人情報や機密情報のデータを記録したPCやリムーバブルメディア(USBメモリーなど)の紛失、置き忘れといった過失による情報漏えい事故だ。

 特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)では毎年、国内企業/組織における個人情報漏えい事故の報告書を公表している。443件の事故事案をまとめた2018年版の同報告書を見ると、情報漏えいの発生原因としては、外部からのサイバー攻撃による「不正アクセス」(90件)や電子メール誤送信などの「誤操作」(109件)よりも「紛失・置き忘れ」(116件)が多く、全体のおよそ4分の1(26.2%)を占める最多の事故原因となっている。また前年(2017年)と比べると、事故件数/占める割合とも増加している。

※注:同報告書では「紛失・置き忘れ」を「電車、飲食店など外部の場所に、PC、情報媒体等を紛失または置き忘れてしまった」ケースと定義している。これとは別に、車上荒らしや事務所荒らしなどにあったケースは「盗難」(2018年は17件)としてカウントされている。

情報漏えい事故全体の4分の1を「紛失・置き忘れ」が占める(出典:JNSA「情報セキュリティインシデントに関する調査報告書」2018年版)

 紛失・置き忘れ事故が増える要因のひとつとして、「業務PCの社外持ち出し」を許可する企業が増えていることが考えられる。「働き方改革」の一環としてリモートワークや在宅勤務を推進するうえでは、PCの社外持ち出しも認めざるをえない。だが、そのPCには業務関連のデータが記録されており、個人情報や機密情報も含まれるだろう。そして、紛失や置き忘れといったヒューマンエラーは、絶対に“ゼロ”にはできない。したがって、情報漏えい事故のリスクは自ずから増加することになる。

 紛失や置き忘れが発生した場合、最終的な影響や被害が想定しにくいという問題もある。たとえばUSBメモリーの紛失に気付いた場合、それが単に誤って廃棄されたのか、それとも犯罪者が明確な意図を持って盗んだのか、容易には判断がつかないだろう。こうした場合、企業としては“最悪のシナリオ”、つまり中身(個人情報など)が漏えいし悪用される自体を想定して、顧客や取引先に謝罪や賠償を行わざるをえなくなる。あらかじめ十分な対策が取られていなかったことが発覚すれば、社会的な信用も損なわれるだろう。

 ちなみに現在、政府の個人情報保護委員会では個人情報漏えい事故の「報告義務化」が検討されており、数年のうちには事故の公表や情報が漏えいした本人への報告が義務づけられる見込みだ。これまで以上に厳しく説明責任が問われることになる。

 リモートワークなどを推進しつつ、社外での紛失・置き忘れ(あるいは盗難)事故によるリスクを低減させるためには、発想の転換が必要だ。紛失・置き忘れ事故“ゼロ”を目標にするのではなく、たとえ紛失や置き忘れが発生したとしても、データのセキュリティが確実に担保できる対策をとればよい。もちろん、社員の生産性を損なわない(業務を邪魔しない)対策でなくてはならず、なおかつ対策コストも安いほうが望ましい。

 そのひとつの解となるのが「データの暗号化」だ。個人情報や機密情報を記録したPCやリムーバブルメディアを紛失・置き忘れしたとしても、データが暗号化されていれば、悪意のある第三者がそれを悪用することは困難だ。また、顧客や取引先に対しても「データは暗号化されていて解読できないので安心してほしい」と説明できるので、事故発生後の影響や被害がずっと軽減されることになる。

PC内蔵のHDD/SSDやUSBメモリー、ファイルなど幅広く暗号化できる

 キヤノンMJが販売するESET Endpoint Encryption(以下、EEE)は、こうした企業/組織のニーズに応える暗号化ソリューションである。後述するとおり、大規模な組織にも対応するしっかりした管理機能も備えているので、企業規模を問わず利用されている。

 EEEは、PCなどのエンドポイント端末にインストールするクライアントプログラム本体と、多数の端末にインストールしたEEEを一元管理する管理サーバープログラムで構成される(サーバーはライセンス版製品のみ利用可能。無償で提供)。また、EEEを導入していない相手に暗号化したデータを渡す際の専用復号ツールも付属する。

 EEEは、PCの搭載ドライブを丸ごと暗号化できる「フルディスク暗号化」や、USBメモリーなどを暗号化する「リムーバブルメディア暗号化」、そのほかファイル/フォルダー、電子メール/添付ファイル、テキスト文字列の暗号化など、幅広い暗号化機能を備えている。

ESET Endpoint Encryptionが備える暗号化機能

 フルディスク暗号化は、業務PC上にあるデータを丸ごと暗号化する機能だ。暗号化することで、たとえ悪意のある第三者がドライブを抜き出したとしても、そこにあるファイル(データ)を読み出すことはできなくなる。

 この暗号化処理はドライブ単位(あるいはパーティション単位)で一度だけ行えばよく、その後、PCを使う社員(ユーザー)は一切操作をする必要がない。またこの初回の暗号化処理はバックグラウンドで行われ、処理中にシャットダウンすることもできる(処理は次回ログオン時に再開される)ので、導入時に社員の業務作業を邪魔することもない。

 さらにEEEのフルディスク暗号化は、OSの起動前にユーザー認証を行う「プリブート認証」にも対応している。プリブート認証をパスしないとWindows OS自体が起動しないので、攻撃者はファイルやフォルダーに一切アクセスすることができず、さらに強固なセキュリティ対策となる。

EEEのフルディスク暗号化は「プリブート認証」機能を備える。認証できなければOS自体が起動しないのでより安全だ

 リムーバブルメディアも、メディア丸ごと(フルディスク暗号化)あるいは一部領域のみ(暗号化領域の作成)の暗号化処理ができる。EEEを導入済みのPCにリムーバブルメディアを接続すると、暗号化を行うかどうかのダイアログ画面が表示されるので、そこで「はい」を選ぶだけだ。

 EEEを導入済みの相手に渡すメディアならばフルディスク暗号化が簡単だ。一方で、社外取引先などEEEを導入していない相手にメディアを渡す場合は、暗号化領域をファイルとして作成する。このファイルと復号用ツールを(ESET Endpoint Encryption Go)をリムーバブルメディアに記録して渡せば、パスワードを知る相手だけがデータを復号して読み出すことができる。

EEEを導入済みの相手とは、あらかじめ共有した暗号鍵を使ってより簡単に暗号化データをやり取りできる

 EEEを導入済みのPCでは、右クリックメニューからファイルやフォルダー単位での暗号化もできる。電子メールで安全に添付ファイルを送信したい場合などに、手軽に使えて便利だろう。こちらも、Webサイトで無償配布されている復号用ツール(DESlock+ Reader)を使って復号できるので、EEEを導入していない相手とのやり取りでも安心だ。

多数のクライアントマシンを一括監視/管理できる無償ツールが付属

 EEEの導入規模が6ライセンス(6台)以上の場合は、管理用プログラム「ESET Endpoint Encryption Server(以下、EEE Server)」を利用することで、複数台のEEEクライアントを一括管理することができる。EEE Serverはライセンス製品に標準添付されているので、無償で一括管理が可能だ。

 EEE Serverは、クライアントPCへのEEEのリモート展開のほか、リモート管理、リムーバブルメディアのアクセス制御といった機能を備える。

EEE Serverの管理コンソール画面。Webブラウザからアクセスして社内PCを一括管理できる

 リモート展開では、EEEのクライアントソフトウェアをネットワーク経由でプッシュインストールする機能、ネットワーク経由でPC内蔵HDD/SSDのフルディスク暗号化命令を送信する機能を備える。社内に新しい業務PCが導入された場合でも、リモートからEEEを配信/インストールし、暗号化を実行して、即座にデータ保護を始めることができる。

 また、EEEがインストールされたPCのフルディスク暗号化ステータスをリモートで監視することもできる。万が一、暗号化されていないPCがあれば、上述のとおりリモートから暗号化を有効にすればよい。なお最近では、OPAL準拠ドライブ(自己暗号化機能を内蔵したHDD、SSD)が登場しているが、EEEをインストールすることで、EEE ServerはOPALドライブも管理対象下に置くことができる。

 リムーバブルメディアについては、EEE Server側からリムーバブルメディアの読み出し/書き込みを制御することが可能だ。「暗号化済みのリムーバブルメディアのみ使用を許可する」といった制御も可能で、情報漏えいの危険があるリムーバブルメディアの利用だけを禁止することができる。

使いやすく“抜け、漏れのない対策”ができる暗号化ソリューション

 さて、こうした暗号化ソリューションは、Microsoftの「Windows BitLockerドライブ暗号化」をはじめとして多数存在する。EEEならではの特徴、メリットはどこにあるのだろうか。

 まずユーザー側では、難しい操作なしで複数の暗号化機能を使えることが挙げられる。まったく意識せずPCのデータが保護されるフルディスク暗号化はもちろん、リムーバブルメディア(USBメモリー)の暗号化やファイル/フォルダーの暗号化も、日本語の指示に従って操作するだけなので特別な学習は不要だ。ちなみにメール暗号化では「Microsoft Outlook」用プラグインもある。

 IT管理者やセキュリティ管理者の視点からは、EEE Serverによるクライアントの一括管理機能が便利だろう。暗号化製品の導入や設定を現場任せにしてしまうと、面倒くさがって導入しなかったり、勝手に設定を変えてしまったりするようなユーザーも出てくる。特に規模の大きな企業/組織ほど、“抜け、漏れのない対策”を実現してリスクを低減するために、一括管理の機能が必須である。

 EEE Serverの場合、LAN内の管理サーバーに無償のプログラムをインストールするだけで、管理者がWebブラウザで一括管理できる環境が簡単に整う。管理画面もわかりやすく、暗号化されていない未対策のPCはどれか、暗号化処理がどの程度進んでいるかといったことが一目でわかる。

 また、専用のプロキシサーバー(ESET Endpoint Encryption Proxy)を利用すれば、インターネット経由で複数拠点にあるクライアントPCを一括管理することもできるようになる。

 もうひとつ、キヤノンMJグループによる導入/運用サポートが受けられる点も挙げられる。製品の導入しやすさ、使いやすさもさることながら、国内拠点から日本語でサポートを受けられるのは大きな安心材料となるだろう。ちなみに「ESET Endpoint Protectionシリーズ」などの他のESET製品と一緒に導入すれば、サポートや営業の窓口が一本化されてより効率的だ。

 最後に、導入しやすいコストであることも挙げられる。たとえば企業向けライセンスの場合、希望小売価格は初年度1万500円、次年度以降は年額2900円(500~999ユーザーの場合、税抜)となっている。ユーザー数によるボリュームディスカウントがあるほか、官公庁向け、教育機関向けにはさらに割安なライセンス価格で提供されている。

* * *

 前述したとおり、個人情報/プライバシーデータの取り扱いに対する規制や要求は今後さらに厳しくなることが予想される。その一方で、リモートワークや在宅勤務へのニーズがさらに高まることも間違いないだろう。それらを両立させるためにも、業務PCへの暗号化ソリューションの導入を考えるべき時期に来ており、ESET Endpoint Encryptionはその有望な選択肢になることは間違いない。

(提供:キヤノンマーケティングジャパン)