BitLockerによるドライブ暗号化は
高いデータ保護の実現と同時に
導入とサポートコストの低減を達成
企業が求める情報セキュリティの中で情報漏えい防止は最重要事項。
あらゆる業務の現場で徹底するためにソニーはWindows標準搭載のBitLockerによるドライブ暗号化に取り組んだ。
企業にとってセキュリティは、自らの事業運営に必要なアセットを守るためであり、また企業としての社会に対する責任を果たすためでもある。したがって今日では情報システムの構築と運営に際して、確固たるセキュリティポリシーが求められている。そして企業が守るべきデータは、情報システムの末端に当たる従業員向けの業務用PCにも格納されているため、いかにして業務用PCのセキュリティを高めるかは、企業の情報システム担当者だけでなく経営者にとっても大きな課題だ。そのセキュリティの観点から、ソニーが業務用PCに選択したのは、BitLockerによるドライブ暗号化と、スペックを両立したVAIO 「Zシリーズ」と「Sシリーズ」だった。
| 業 種 | 導入機種 | 使用用途 |
|---|---|---|
| 電気機器 | VAIO「Zシリーズ」 VAIO「Sシリーズ」 |
業務全般 |
BitLockerを採用した3つのポイントドライブ全体を強固に暗号化する
BitLockerとTPMの組み合わせ
高いセキュリティを実現しつつ
高スペックによって業務効率や
従業員の生産性向上を実現
Windows標準アプリであることに
より導入やサポートコストを削減
導入経緯
細矢 ソニーグループでは、必要なセキュリティ対策を予め導入した標準のPCを使用しています。社員に対して標準PCを提供する目的のひとつには、セキュリティレベルの底上げがあります。以前は、それぞれの社員や部署ごとにバラバラのPCを利用していたため、セキュリティのレベルもバラバラでした。
ですが、セキュリティを考慮した同一のPCを全社で利用することで、グループ全体のセキュリティを一定のレベルに上げることができます。標準PCを決める際に、セキュリティに関する要件を決めるのですが、その中で盗難や紛失による情報漏えいも考慮しハードディスクの暗号化を定めました。
坂本 実際の標準PCの選定に当たっては、スペックやコスト、セキュリティなどさまざまな要件を考慮して決定します。その要件のなかでもセキュリティに関する要求は、努力目標ではなく必ず満たさなければいけないものです。
暗号化という要件をどのように満たすか検討したなかで、BitLockerとTPMというセキュリティチップの組み合わせを選択し、それに対応したモデルを選んだ結果が、VAIO 「Zシリーズ」とVAIO 「Sシリーズ」だったんです。
情報セキュリティ部門
VAIO 「Zシリーズ」
VAIO 「Sシリーズ」
細矢 ノートPCのセキュリティ対策では、情報漏えいを防ぐことも重要です。機密データは、そもそも社外に持ち出す可能性のあるノートPCには保存しないか、ノートPCの持ち出し自体を禁止することが望ましいのですが、実際の仕事の効率などを考えると一律には禁止できません。
そこで、会社として対策を考えていくなかで、すべてのノートPCでドライブ暗号化を義務づけることにしました。暗号化することによって、パスワードなしではデータを読み出すことが完全に不可能になるため、ノートPCの紛失や盗難だけでなく、修理で外部に持ち出した際や、廃棄時のデータ消去忘れといったケースでの情報漏えいも防ぐことができます。
坂本 ノートPCのドライブ暗号化という要件を実現するため、いろんな暗号化ツールを検討していく中で、最終的にWindows 7に搭載されているBitLockerを選択しました。
BitLockerは、Windows 7のUltimateとEnterpriseエディションに標準で搭載されているため、ソフトウェアやハードウェアとの相性を、事前にベンダー側で検証していることが多いので、サードパーティー製のツールに比べて検証の工数が削減できます。
もちろん、Windowsに始めから搭載されているので、インストールの手間が必要最小限で、初期設定でトラブル発生の可能性が小さいといった点も重視しました。
導入効果
坂本 実は、以前の標準PCでは別のサードパーティー製暗号化ツールを採用したんです。ところが、ウイルス対策ソフトと、リモートアクセスツールと組み合わせて使うと、相性問題が起きていました。
また、特定のハードウェアで動作しないといった問題がありました。全社だと数万台に一斉に導入することになるので、例えば1%でトラブルが起きたとしても、数百台規模になってしまい、サポートではかなり苦労していました。
ハードウェアとの相性問題については、暗号化ツールの開発元に修正してもらうことで対処しましたが、他のソフトウェアとの相性問題は、どちらのソフトを修正するかという調整に手間が掛かり、解決までに長い時間がかかってしまいました。
このため、暗号化ツール、ウイルス対策ソフト、リモートアクセスツールの、いずれかを違うものに変更したというニーズがありました。中でも暗号化ツールは、ハードウェアに近いところで動作するため、どうしてもトラブルが起きやすく、より安定したものを求めてWindows 7標準のBitLockerを採用することにしました。
実はWindows Vistaの頃にもBitLockerを一度検討していたんですが、その時は私たち要求を満たしていなかったため採用しなかったんです。Windows 7になるのにあわせて、BitLockerも機能や性能が向上したので、今回からの採用となりました。
グローバルインフラシェアードサービス部門 
ハードディスクを暗号化
暗号化されたドライブ
細矢 暗号強度もセキュリティ要件を満たしているため、導入して以来これまでPCの紛失や盗難による情報漏えいインシデントは発生していません。ノートPCを社外に持ち出すと、どんなに気をつけていても盗難や紛失といった事故が、少数ですが起きてしまいます。ですが、ドライブ全体を暗号化しておくことによって、紛失や盗難が発生しても情報漏えいを防ぐことができるのです。
坂本 データの漏えいは、持ち出したPCの紛失や盗難というケースが多いので、会社さんによってはすべてのPCをデスクトップにして、持ち出せなくしてしまったところもあると聞いています。
細矢 先ほども申し上げたように、PCが社外に持ち出されるのは業務利用だけでなく、修理対応や廃棄時などのケースもあります。そういった盲点になりがちなところもドライブの暗号化ならば対応できます。
展 望
坂本 現在、標準PCを導入しているのは日本と米国だけですが、それをワールドワイドに広げられればと考えています。セキュリティレベルの底上げは全社で取り組むべき問題ですし、ワールドワイドで業務用PCを統一することで調達コストを下げることもできます。
また、日本のオフィスであっても、日本語以外が母国語の社員が増えているため、マルチランゲージ対応は大きな課題になっています。今回、マルチランゲージに対応したWindows 7 Enterpriseエディションを採用したのは、そのための第一歩でもあります。
