最終更新日:2020-07-09
Windows OSのハードディスクの暗号化手段としてBitLockerは広く利用されていますが、暗号化状況の確認や、暗号化を解除する回復キーの管理などが手間となり、BitLocker管理が情報システム部門の大きな負担になっている企業も少なくありません。このような負担を軽減し、管理の効率化に有効なBitLocker管理ツールについてご紹介します。
まず、「BitLocker」とは、Windows OSに標準で搭載されているハードディスク暗号化ツールです。Windows OSを導入しているパソコンであれば無償で使えることや、運用方法や設定手順もシンプルで、気軽に導入できることから、多くの企業で利用されています。
社用端末を紛失した、盗難された、あるいは不正侵入されたという場合でも、情報漏洩による損害を被ることがないよう、ハードディスクの暗号化は広く活用されています。特に、セキュリティ・ポリシーを定める多くの企業では、PCのハードディスク暗号化は必須になっています。
次に、BitLocker管理ツールとは、デバイスの暗号化を確実かつ効率的に管理できるようした管理ツールのことです。例えば、「PerfectWatch for BitLocker」は、BitLockerで暗号化されたすべてのデバイスの状態を一元的に確認でき、要請があった場合にはコンプライアンスへの遵守をすばやく実証することが可能です。
BitLockerの活用は導入コストがほとんどかからず、暗号化機能を簡単に利用できる反面、以下のような問題点があります。社内のPCが数十台程度であれば、さほど大きな負担にはなりませんが、管理するPCの台数が多くなるほど、導入する手間と時間が必要となってしまいます。
【BitLockerの主な問題点】
そこでBitLocker管理ツールを使うと、次のようなメリットがあります。
BitLockerはクライアントOSの機能であるため、複数台のパソコンを一元管理する機能がありません。そのため、セキュリティをより厳重にするために、デバイス立ち上げ時にPINの入力を求めようとすると、端末ごとに手動で設定する必要があり、手間も時間もかかり大変です。
BitLocker管理ツールを導入することで、このような手間を軽減することが可能です。例えば、「MCore」では、回復キーを自動で収集し、各PCの暗号化状態と回復キーを一元管理できるため、万一のパスワード忘れや回復キーの紛失時にも安心です。さらに回復キーを再生成する機能や暗号化を無効にさせない機能も搭載しており、BitLockerの管理と運用のサポート機能が充実しています。
また、Microsoftから提供されている、BitLockerを一元管理できる専用ツール「Microsoft BitLocker Administration and Monitoring(MBAM)」を使用して「グループポリシー」として一括で設定を適用することで、回復キーなどを効率的に管理することも可能です。ただ、MBAMはWindows 10 Enterpriseが必要になり、操作方法の難易度の高さやライセンス費用が高額になるといった課題もあります。
BitLocker管理ツールによっては、グループポリシー管理コンソールや専用の管理ツールから、パソコンのドライブの暗号化状況を一元的に把握することが可能です。デバイスの状態把握により、暗号化を定めているのに、実施していないデバイスがあるといったことや、一部のドライブを暗号化し忘れる、といったミスを確実に防ぐことができます。また、管理者の操作ログの記録がされるため、コンプライアンスを遵守していることの証明が必要になった場合にも迅速に対応することが可能となります。
BitLockerのドライブ暗号化は、Windowsの管理者権限アカウントがあれば簡単に無効化できてしまいます。各種IT資産管理ツールでは、利用者が勝手に暗号化を解除できないようなシステムが採用されています。前述のMCoreでは、PC利用者に管理者権限を付与している場合でも暗号化を無効にされることを防止する機能を備えています。
また、サービスによっては、接続のないデバイスへの対策としてタイムアウトロック機能があり、管理者が定義した期間内にサーバーと通信していないデバイスを、盗難や紛失とみなして、ロックすることができます。この機能に加えて、管理者がリモートで設定を変更したり、暗号化状態を把握したりできるリモートデバイス管理もあるため、利用されていない端末を検出して、遠隔操作でロックすることも可能です。
使わないで放置していたPCを見つけた人に突然悪用される、というようなことも未然に防ぐことができ安心です。
BitLocker管理ツールを導入することで、BitLocker導入後の運用管理の負担を大幅に軽減することができます。ここでは、上記導入メリットの補足説明としてBitLocker管理ツールの主な機能やできることをご紹介します。
多くの管理ツールにおいて、回復キー及び暗号化状態をサーバーで集中管理することが可能です。BitLockerで暗号化したドライブの回復キーを個々のWindowsクライアントから自動で収集して一元管理できるため、煩雑な鍵の管理の効率化が図れます。
また、サービスによっては、回復キーが更新されていないかどうか定期的に確認することも可能です。サーバー側で回復キーを一元的に管理できるので、解除パスワードや解除用USBメモリーを紛失した場合や、急にPCが故障した場合にもスムーズに利用者へ案内することができます。
個々のWindowsクライアントの暗号化状態を一覧表示することが可能です。管理者は、全てのデバイスが暗号化されているかを一元的に把握することができ、適切な暗号化運用のチェックが容易となります。
BitLockerの暗号化が勝手に無効化されるのを防ぐことができます。例えば、サービスによっては、復号されたことを検知して、自動で暗号化を再開することや、コマンドラインでの復号を禁止することが可能です。その他、不正解除の抑制機能としてBitLocker管理メニューの起動を抑制することや管理権限を持つユーザのみ解除可能に設定することができます。
大別すると、PerfectWatch for BitLockerのようにBitLocker管理に特化したタイプとMCoreのようにIT資産管理ツールの1機能として展開しているタイプがあります。Windowsに限らずMac OSなど幅広いプラットフォームに対応したハードディスク上の包括的なデータ保護も望む場合には、IT資産管理の管理対象範囲の広いサービスが必要になります。市場規模としてはこちらのタイプが圧倒的に大きく、目的に見合ったサービスを選ぶためにはポイントがあるので、詳しくはこちらのサイトもご参照ください。
BitLocker管理の簡素化やセキュリティ機能の強化が目的であれば、導入コストを抑えてシンプルな管理ができるBitLocker専用の管理ツールを選択すると良いでしょう。
IT資産管理ツールも、BitLocker管理ツールも、それぞれオンプレミス型とクラウド型の提供形態があります。オンプレミス型であれば、自社内の閉じたネットワークで運用できるため、機密情報管理などにおいて高いセキュリティを保つことができます。また、自社の業務スタイルに合わせて柔軟にカスタマイズできることもメリットです。一方、クラウド型の場合には、ハードウェアを用意する必要はなく、初期投資を抑えてスピーディーに運用を開始できることが魅力です。設計や構築などもベンダーに一任できるため、導入までの負担が少ないことも大きなメリットと言えるでしょう。
BitLockerの機能を補完し、効率的に活用するための主なBitLocker管理ツールをご紹介します。
(出所:PerfectWatch for BitLocker公式Webサイト)
BitLocker運用管理を効率化するBitLocker専用の運用ツール。リモートワークや働き方改革などで、多数のPCでBitLockerを使用する場合において有効。実際にWindows OSを導入している企業や検討中の企業が抱える、BitLockerの運用上で発生する問題点を元に開発され、「回復キー、暗号化状態のGUIによる集中管理」、「Active Directoryに属さない端末の管理」、「障害回復時のワンタイムパスワード運用」、「ユーザによる暗号化解除の抑制」といった現場に即した機能が充実しているのが特徴。
(出所:MCore公式Webサイト)
大規模から中規模、小規模まで利用できる高機能なIT資産管理・セキュリティ管理システム。重要データの持ち出しを防ぐ、デバイス管理機能の一環としてBitLocker管理のオプション機能を備えている。BitLockerの暗号化状態をドライブ単位で自動収集し、サーバーで管理できる。また、管理が煩雑になりがちな回復キーを自動で収集してサーバーで集中管理することも可能。回復キーの使い回しを回避するために、対象のPCを指定して回復キーを再生成し、付け替える機能や、PC利用者に管理者権限を付与している場合でも暗号化を無効にされることを防止する機能を備えており、在宅勤務などテレワーク環境におけるモバイルPCの情報漏洩リスクの低減を実現できる。
(出所:ISM CloudOne公式Webサイト)
クラウド型のIT資産管理ツール。スピーディーな導入や、直感的に操作できるダッシュボードで複雑な操作が不要なこと、Windows Updateの状況管理が一覧画面から簡単にできることなど、利便性が高く、62,000社以上の導入実績を誇る。Windows 10管理・運用支援も充実しており、更新モデル、アップデート適用延長日数、高速スタートアップ、BitLocker管理・制御等の設定が可能。各クライアントのハードディスク暗号化状況、BitLocker保護情報をダッシュボード上で可視化できる。ISM CloudOneディスク暗号化オプションとBitLockerのどちらも一覧で確認でき、持ち出しPCの暗号化の確認・コントロールも可能。
(出所:SmartDE/SmartDE Cloud公式Webサイト)
HDDのすべての領域を暗号化する、PCメーカー Dynabook社が開発したクライアントPC暗号化ツール。Windows起動前の認証確認や、ファイル・フォルダー単位の暗号化、データ書き込みのポリシー制御など、セキュリティ機能も充実。運用形態に応じて、オンライン運用、オフライン運用、クラウド運用が選択できるので、導入および管理が容易。Windows10の機能更新プログラムが、HDDを復号することなく、Windows Updateから適用できる。SmartDEをBitLockerクライアントモードでインストールすることにより、BitLockerクライアントをSmartDEサーバーで管理することができる「BitLockerクライアント管理機能」を備えており、BitLockerクライアントにファイル暗号化機能、USB接続デバイス制御機能を付加することもできる。
Windows OSに標準搭載されている「BitLocker」は、導入しやすいシステムですが、自社のセキュリティ・ポリシーに沿って活用するには何かと手間がかかるため、管理や運用体制に負担が生じることも少なくありません。BitLockerの効果を手間なく効率的に発揮するにあたって、BitLocker管理ツールは大変有効です。クライアント管理を簡潔化し、より安全で確実な情報漏えい対策のために欠かせないものと言えます。
このページの内容をシェアする
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
サービスの導入検討状況を教えてください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
