ソフォスのセキュリティブログによると、ノートPCのセキュリティ対策で最も重要なことは"パスワード設定"ではないようだ。今日のIT環境においてノートPCは"ユビキタス"な存在そのものと言っていい。社員の多くが、オフィスや出先、自宅でノートPCを使って仕事をしているはずだ。
ノートPCは便利で、スタッフの生産性にも大きなメリットをもたらすものだが、その一方で管理責任も大きい。可搬性はすなわち紛失や窃盗リスクに繋がるからだ。
従業員のノートPCに保存された重要なデータを考えてみれば、そのリスクの大きさはお分かりだろう。データの紛失とそれに伴う罰金や訴訟、知的所有権の損失、ブランドイメージとさまざまだ。
「パスワードで保護されている」とあなたは思うかもしれないが、実際のところ、データが暗号化されていないノートPCをパスワードで保護することは、対策としてほとんど意味をなさない。
パスワードは数分もしないうちに破られる安易な組み合わせが多く、ほかにも「ノートPCのハードディスクを取り出して他のコンピュータに入れる」「PCをCD-ROMやUSBキーからブート」するといった、ちょっとした作業であなたのデータへ簡単にアクセスできてしまうからだ。
一方で、紛失したノートPCのデータが暗号化されていればどうだろうか? 他者が暗号化されているデータを読むことは不可能だ。ノートPCを盗んだ人物ができることといえば、パーツを分解するくらいのものだろう。
このように「暗号化」は明確な対策となりうるのに、なぜ企業はノートPCなどのデバイスの暗号化を行わないのだろうか? これはちょっとした謎と言えるが、企業は自分たちは適切なセキュリティ対策を行っていると思い込んでいるからではないか。
あるいは、暗号化は難易度が高く、実装も高価と思っているのかもしれない。結論として、データの保護を絶対のものにしたいのなら、暗号化が最初の対策であるべきだろう。