Encryption Buyers Guide

暗号化バイヤーズガイド
多くの企業が現在、従業員の生産性を確保しながらデータの安全性も保
持するという課題に直面しています。暗号化は攻撃者から情報を保護す
る最も効果的な方法の 1つですが、このテクノロジーは複雑でエンドユ
ーザーを煩わせることにもなるため、多くの企業が包括的な暗号化の導
入を避けてきました。しかし、この状況は変化してきています。
セキュリティ企業は、スムーズなメカニズムでデータを暗号
化して、エンドユーザーにも透過的なツールを開発しまし
た。Windows / Mac、ノート PC / USB デバイス、ネット
ワーク共有、クラウド上にアップロードされたファイルなど
のようにデータが移動し、どのような状況に置かれた場合で
も、企業情報を簡単に保護できるようになりました。
異なるオプションを比較検討する際の資料として、このバ
イヤーズガイドをご活用ください。このガイドを活用する
ことで、ビジネス業務に影響を与えることなく的確にデー
タを保護できる、お客様の企業に最適な暗号化ソリューシ
ョンを特定できます。
このガイドの使用方法
このガイドでは、エンドポイント向けの暗号化ソリュー
ションに関する検討対象となる機能の詳細を説明しま
す。参照しやすいように、フルディスク暗号化、ファイ
ル・フォルダの暗号化、モバイル向け暗号化などの暗号
化機能ごとに詳細を説明します。また、お客様の要件に
合った最適なソリューションを選定するのに役立つベン
ダーへの確認事項を「ベンダーへの質問」として記載し
ています。
暗号化バイヤーズガイド 2014年 4月
2
暗号化が必要な理由
暗号化によって、データを他人に読み取られなくなります。最新の暗号化技術を適用す
ることで、攻撃者がデータの保管場所にアクセスできたとしても重要な機密データを読
み取られることはありません。
業界や地域で求められるコンプライアンスのために暗号化は不可欠で、データ流出を防
止するための有効な手段となります。
顧客情報を含む USB ドライブを紛失した場合、それだけで罰金が課され、顧客信用の
喪失や企業ブランドの低下につながります。
さらに重要なのは、暗号化はリスク軽減の非常に有効な手段であるという点です。ノート
PC やスマートフォンなどのデバイスが盗難の対象として狙われます。iPad を飛行機の
座席に置き忘れたり、USB ドライブを置いたままタクシーを降りてしまったりするこ
ともあります。見せるすべきではない情報を従業員がファイル共有で閲覧できてしまう
ことがあります。モバイルデバイスの利用が急速に高まっている今日では、会社の承認
の有無にかかわらず、データがギガバイト単位で他社のクラウドストレージに流出する
可能性があります。ところが、IT部門がビジネスの急速な発展に追いつけず、持ち出さ
れるデータに対して十分に対応できていません。
IT 部門には多くの課題が残されています。データがデバイスからデバイスへと自由に移
動可能で、従業員が時間や場所を問わずにアクセスできるようにする必要があります。
同時に何らかの誤りが発生した場合に、暗号化されていないデータが流出してしまいビ
ジネスが打撃を受けるような事態を回避する必要があります。
このため、コンプライアンスへの対応を必要とするすべての企業は、コンプライアンス
のためにもデータを暗号化する必要があります。また、コンプライアンスがそれほど重
視されていないと考えられている業界の企業でも、知的財産の保護や商取引情報の保護
に暗号化は有効です。
暗号化テクノロジーは、一元管理された IT ワークフローに簡単に統合でき、企業ポリ
シーとの同期も容易でなければなりません。そしてさらに重要なのは、正しく暗号化を
導入でき、ファイル、デバイス、ストレージのいずれにアクセスする場合であっても、
エンドユーザーにとってはすべてがシームレスであることです。
暗号化バイヤーズガイド 2014年 4月
3
ソリューションを評価する
一元管理と制御
暗号化ソリューションは異なるさまざまなソースから利用可能です。ソリューションの
管理、制御、効果に関するレポートの機能は、あらゆるプロジェクトにおいて重要で
す。
暗号化ソリューションの導入を検討する際には、データを個別に確認して保護方法を決
定し、保護対策を適用するポリシーや鍵を一元管理できることを確認します。クライア
ントコンピュータは、仮想プライベートネットワーク (VPN) 接続を使用せずに、チェ
ックインして、ステータスをレポートし、外部からポリシーを受け取ることができる必
要があります。
管理者の責任範囲を明確にすることも重要で、これによって管理者のアクションも監視
できます。社内環境において誰がどの情報にアクセスしているかを把握し、従業員の役
割に応じて機密情報へのアクセスを制限する必要があります。
データの情報公開に関連する法令が厳格化されてきているため、的確なポリシーと管理
手順を適用・実行する必要があります。このため、暗号化ソリューションを正常に導入
する上では、一元化された管理アーキテクチャを採用する必要があります。
一元管理と制御
求められる機能
説明
ベンダーへの質問
鍵とポリシーの一元管理
すべてのデバイスと OS に対する暗号鍵
とポリシーを一元管理します。
必要なすべての暗号化鍵とポリシーを一元管理でき
るソリューションがありますか?すべての暗号化デ
バイスをファイルベースまたはフルディスクの両方
で管理できますか?
ロールベースの管理機能
管理者ロールによって管理者の責務に必
要なアクセス許可のみが提供されるよう
にする必要があります。
特定のセキュリティ担当者を作成して制御できる領
域を限定することで、AD 管理者に対する責務を分
けることができますか?
監視可能な管理機能
管理コンソールで実行されるすべてのア
クティビティを記録して、後で監査でき
るようにしておく必要があります。
ソリューションでは、ポリシーの変更、従業員へ鍵
の割り当て、セキュリティ担当者の作成、復元した
パスワードの提供などと実行したのが誰であるかを
記録できますか?
グローバル クライアント / サーバーの
通信
クライアントがどこからででも暗号化ソ
リューションと通信できるようにする必
要があります。
ソリューションでは、従業員が社内ネットワークに
接続することなく、直接または VPN 経由ですべて
の機能を活用できる、安全で信頼できる通信手段を
利用できますか?
レポート機能
使用する OS に関係なく、単一のコンソ
ールから社内の暗号化に関する状況を確
認できるメカニズムを提供します。
システムでは、ソリューションによって保護される
すべてのデバイスの状況をレポートするメカニズム
を提供していますか?
暗号化バイヤーズガイド 2014年 4月
4
フルディスク暗号化 (FDE)
フルディスク暗号化機能によって、紛失や盗難の際にもエンドポイントを保護でき
ます。ディスクやボリューム、OS、プログラムファイル、一時ファイルまでのすべて
を暗号化によって保護できます。以前は、他社製の暗号化テクノロジーではデバイス
への FDE オプションの処理が遅いという問題がありましたが、最新の OS では FDE
機能がネイティブで装備されています。これらの内蔵の FDE テクノロジーは、非常
に多くのハードウェアに対して、優れた安定した FDE 機能を提供します。
機能とパフォーマンスがこのように強化されたにも関わらず、多くのセキュリティベン
ダーは、自社の包括的なエンドポイント暗号化パッケージの重要なオプションをこれら
の内蔵 FED オプションよりも優先させています。しかし、一元管理された暗号化スイ
ート内で内蔵の暗号化機能も活用できれば理想的です。
その場合、レガシー OS、ファイル、フォルダの暗号化などのフルディスク暗号化機能
では十分に対応できない機能をソリューションで補完し、IT 担当者が暗号化鍵を追跡
して、どの従業員がどのデータにアクセスしたかを簡単に確認できるようにする必要が
あります。
フルディスク暗号化 (FDE)
求められる機能
BitLocker への対応
説明
マイクロソフト社の内蔵の FDE
テクノロジー
ベンダーへの質問
Windows のネイティブ暗号化エンジンをサポートしていますか?
• ソリューションにどのような影響がありますか?
•起動時間
•ランタイム時のシステムパフォーマンス
• 新しいハードウェアを最新の状態に保つことで、他社の暗号
化製品がすべての新しいハードウェアで機能するようにする方法は?
FileVault 2 への対応
アップル社製品に内蔵の FDE
テクノロジー
暗号化バイヤーズガイド 2014年 4月
• ソリューションにどのような影響がありますか?
•起動時間
•ランタイム時のシステムパフォーマンス
• 新しいハードウェアを最新の状態に保つことで、他社の暗号
化製品がすべての新しいハードウェアで機能するようにする方法は?
• アップルの EFI (Extensible Firmware Interface) とファ
ームウェアアップデートへの処理方法は?
• 主要な OS アップグレードへの対処法は?
5
レガシー OS でのフルディスク暗号化機能への対応
最新の Windows と Mac には、OS にネイティブのフルディスク暗号化機能が搭載さ
れていますが、それ以外の古い Windows や Mac の OS のバージョンが今でもビジネ
スに使用されています。
マイクロソフトは 2014年に Windows XP へのサポートを終了し、2017年には
Windows Vista へのサポートを終了しますが、多くの企業が Windows のサポートさ
れているバージョンの OS に移行するまでには時間がかかります。また、Windows 7
を使用していても、BitLocker が含まれているのは Windows 7 の Ultimate および
Enterprise のバージョンだけであるという問題もあります。
レガシー OS に関するフル暗号化機能の対応
求められる機能
説明
ベンダーへの質問
すべての Windows 7 バージョンへのフル
ディスク暗号化
BitLocker を含まない Windows 7 バージョ
ンへの高度な FDE 機能
BitLocker を含まない Windows 7 バージョ
ンへの対応策はありますか?
WinXP および Windows Vista へのフルデ
ィスク暗号化
Windows XP および Windows Vista への高
度な FDE 機能
BitLocker を含まない Windows XP または
Vista への対応策はありますか?
ファイルレベルの暗号化
ファイルおよびフォルダの暗号化では、稼働しているシステム上のデータを柔軟に保護
します。
この種の暗号化では、USB ドライブなどのリムーバブルメディア、CD / DVD、ネット
ワークのファイル共有、およびクラウド上に保存された情報に含まれるデータを保護し
ます。
リムーバブルメディアに関しては、適切なソリューションであれば承認されたデバイス
と認証された従業員内で共有データを Windows / Macs 上で簡単に共有でき、リムー
バブルデバイスの紛失 / 盗難の際には未承認のアクセスを阻止します。
これに対して、ファイル共有の暗号化では、情報に対してロールベースのアクセス権を
簡単に設定できます。たとえば、給与情報を含む文書にアクセスする暗号化鍵は人事・
総務のメンバーのみが保管するようにし、IT 担当者が日常の管理業務で誤ってこれら
の機密情報にアクセスできないようにします。
ファイルレベルの暗号化
求められる機能
リムーバブルメディアの暗号化
暗号化バイヤーズガイド 2014年 4月
説明
ベンダーへの質問
USB デバイス、CD、DVD などのデータを
保護します。
ソリューションには、リムーバブルメディア
上の既存のデータに影響を与えることなくデ
ータを暗号化するメカニズムがありますか
(従業員の個人情報を除いて処理するなど) ?
6
ネットワーク上のファイル共有に対する
暗号化
選択した一部のユーザーのみに閲覧が許可さ
れるように機密情報を保護します。
データがシステム特権で誤ってアクセスされた
り、権限のある従業員によって誤ってアクセス
されたりするのをどのように阻止しますか?
クラウドストレージおよびモバイル暗号化
BYOD が普及するにつれて、業務で使用されるモバイルデバイスや個人デバイスが増加
し、多くのエンドユーザーが、業務に関連するファイルやデータをクラウドベースのス
トレージを活用して利用するようになってきています。これによって、社内外でのデー
タの共有がとても簡単になる反面、機密情報が誤って流出するリスクも高まります。
クラウドベースのストレージを暗号化することで、クラウドのプロバイダーより細かく
データへのアクセスを制御できるようになるため、従業員が公共のクラウドストレージ
サービスを活用できるようになります。
企業は機密情報を攻撃者の眼に触れないようにするために、暗号化ソリューションを導
入する必要があります。モバイル暗号化の機能によって、デバイス上に保存されたすべ
てのデータを暗号化するだけでなく、ファイル共有やクラウドストレージに保存された
暗号化済みのデータにリモートから安全にアクセスできるようになります。
クラウドストレージおよびモバイル暗号化
求められる機能
説明
ベンダーへの質問
クラウドストレージに保存するデータの
暗号化
プライベート、ハイブリッド、パブリックの
クラウドに保存されたデータへの保護対策
従業員はどのような方法で自分のデバイスか
らクラウドベースのサービスに保存された暗
号化データにアクセスできますか?
どのようなモバイルデバイスからでも、ク
ラウド上に保存された暗号化データにアク
セスできるようにします。
iOS、Android、Windows、および Mac の
システムからクラウド上に保存された暗号化
データにアクセスするアプリケーション。
複数の従業員がクラウド上で共有するデータ
を保護しながら、個々の従業員が異なる OS
とハードウェアのプラットフォームにもアク
セスして作業できますか?
Enterprise Mobility Management (EMM)
への対応
モバイルデバイス上でのデータ暗号化を含
む、包括的なモバイルセキュリティ、データ
管理、アプリケーション管理、コンテンツ管
理機能。
EMM ソリューションを提供していますか?
暗号化ソリューションと統合できますか?
この保護機能をさらに包括的なセキュリティ
対策に統合できますか?
ソリューションの比較
お客様の企業に特別なニーズ
お客様の業界や地域によって、標準やコンプライアンスに対応するためのニーズは今後
も変化していく可能性があります。暗号化機能は、大半の規制当局による厳格なデータ
保護のガイドラインに対応するための事実上の標準ですが、お客様ごとの暗号化に関す
る特別なニーズは、それぞれのビジネス目的や導入されている既存のテクノロジーの状
況によっても異なってきます。
上記の質問を利用して、お客様の特別なニーズに基づいて必要な暗号化ソリューション
を特定してください。
暗号化バイヤーズガイド 2014年 4月
7
簡単に使用、導入が可能
暗号化の使用と導入は、従来は複雑であったため、今でもその印象を持たれているお客
様が多いのですが、今日の暗号化製品は大きく進化しています。
暗号化ソリューションを評価する際は、エンドユーザーと IT 管理者というビジネスに
おける 2つの主要なグループの双方が、暗号化テクノロジーをいかに簡単に活用できる
ようにするかを考慮します。
エンドユーザーは、暗号化が機能していることを意識することなく、通信、データの共
有、共同作業を実行できる必要があります。IT 管理者は、時間をかけずに暗号化テクノ
ロジーを導入できる必要があります。最終的には、暗号化がどちらにとっても問題なく
正常に機能することが目的となります。
将来的にも使用可能な暗号化ソリューション
以前の暗号化テクノロジーは、境界保護を中心としたセキュリティ対策でした。古い
OS にも対応しつつ、最新の OS にもネイティブの暗号化機能を簡単に統合でき、将来
的にも継続して利用可能なソリューションを選択します。
リムーバブルドライブ、モバイルデバイス、クラウドストレージの暗号化にも対応でき
る必要があり、これによって従業員が共同で生産的に業務を遂行できます。
まとめ
今日の従業員は、自宅 PC、モバイルデバイス、USB メモリ、ネットワーク共有、クラ
ウドストレージなどを使って、今まで以上に多くの地点から社内情報にアクセスしたい
と考えています。コンプライアンスに対応し、従業員の業務に影響を与えることなく、
すべての OS 上の機密データを保護する暗号化ソリューションを選択してください。
Sophos SafeGuard
Enterprise
無償評価版
無償評価版の登録 (30日間)
www.sophos.com/ja-jp/products/free-trials/
ソフォス株式会社営業部
Tel:03-3568-7550
Email: [email protected]
英国、オックスフォード | 米国、ボストン
© Copyright 2014.Sophos Ltd. All rights reserved.
Registered in England and Wales No. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, UK
Sophos は、Sophos Ltd. の登録商標です。その他すべての製品および会社名は、それぞれの所有者に帰属する商標ま
たは登録商標です。
4.14.RG.bgjp.simple