独自のプリブートネットワーク認証と暗号化管理技術が特徴のセキュリティ製品「SecureDoc」を展開するWinMagic。国内でも、警察10万クライアントで利用されるなど、高度な機密を守るための製品として採用が広がっている。米国防総省(DoD)や国家安全保障局(NSA)、日本の中央省庁もユーザーだ。

本誌は、利用者から高い支持を得ている同製品の特徴について、Japan IT Weekで来日していた加WinMagic COOのマーク・ヒックマン(Mark Hickman)氏に話を聞いたので、その模様をお伝えしよう。

SecureDocの暗号化技術は、ヒューレット・パッカードのPCにインストールされている「HP Client Security」にも採用されている

Macからスマートフォンまで クライアントの認証や暗号化を統合管理

加WinMagic COO マーク・ヒックマン(Mark Hickman)氏

ヒックマン氏は、SecureDocの採用実績について「ソフトウエア単体で世界87ヵ国の出荷実績があり、全世界で千数百万のライセンスが存在している。この結果は、昨年度から倍増したことになる」と説明。またPCメーカー各社との連携を強化していることにも触れ、「レノボ、HP、NECなどと提携して、PCへのバンドルという形でもSecureDocを提供してきた。特に昨年度より提携しているHPの企業向けPCのバンドルでは、それらのライセンス数が3000万に達する。日本国内ではNECに採用され、同グループ会社を含む社員のPCにインストールし展開している」と話した。

プリブートネットワーク認証というのは、PCがブートする前に無線や有線ネットワークを介してユーザー認証を行う仕組みだ。例えば、通常の Active Directory認証では、通信の暗号化ソフトが立ち上がる(OS起動)前にID/パスワードの情報を送信するため、それらは必然的に平文で送られ、傍受の危険性が高まることになるが、プリブートネットワーク認証では、OSの起動前に暗号化したID/パスワードをSecureDocサーバへ送信して認証するため通信傍受が難しい。

「他社との差別化ポイントは、このプリブートネットワーク認証とドライブ暗号化のほか、LinuxやMac、Androidなどさまざまなプラット フォームやデバイスに対応していること、それらが持つドライブ暗号化機能やHDD/SSDメーカーによるハードウェア暗号化機能と連携しポリシーによる一元管理ができることだ。ドライブ暗号化や、USBデバイス/ファイルへのアクセス制限は他社製品でも実現できるが、SecureDocはそれにとどまらず、クライアントのセキュリティについて高い付加価値を提供することができる」(ヒックマン氏)

プリブートネットワーク認証の概要

HPの端末におけるプリブートネットワーク認証の画面

プリブートネットワーク認証はActive Directoryと連携して管理することも可能で、ユーザーのパスワード忘れなどの際にもADのパスワードリセットで対応することができる。PKIやICカー ド、USBトークン、指紋認証を使った二要素認証にも対応する。認証情報の暗号化にTPMも利用可能だ。

また、ドライブ暗号化に関しては、OS標準機能などのサードパーティによるものを一元的に管理する機能も備えている。例えば、Windows OSの場合はBitLocker、Macの場合はFileVault2が提供されており、最近のiOSやAndroidでも同等の機能が備わっている。さらには、東芝やシーゲートなどHDDメーカーが提供する暗号化機能などもあるが、これらさまざまなデバイス、プラットフォームをポリシーに沿って一元管理することができる。

管理の例としては、認証の失敗回数を検知し、規定回数を失敗するとアカウントをロックしたり、一定期間サーバにアクセスしていないアカウントをロックしたりといったことが可能。HDD、USBメモリ、CD/DVD、SDカードの暗号化や、非暗号化ドライブへのアクセス禁止、CD/DVDや私物USBメモリへのアクセス制御も行える。

「混在環境のデバイスのセキュリティレベルを1つのコンソールから統合管理できると、運用コストの削減につながる。当社の調査によると、IT管理者がユーザーのパスワード忘れに対応する時間を75%削減可能。また、PCのセットアップの時間も75%削減できる。クライアント8000台の環境で、年間24万ドルのコスト削減を実現したケースもある」(同氏)

ヒックマン氏は、暗号化のベストな選択肢として、3段階のモデルを提示する。第1段階は、BitLockerなどのディスク暗号化機能を使った保護。これは、最低限のコンプライアンスを守るための措置だ。第2段階は、BitLockerに加え、SecureDocによる管理を行うもの。「保護を拡張し、価値を最大化できる」という。そして最終段階は、ハードウェア暗号化(SED: 自己暗号化ドライブ)とSecureDocの組み合わせだ。「ハードウェアによる暗号化機能を備えたドライブに対応し、それらを統合的に管理できる点が SecureDocの強みだ」とする。

SecureDoc自身による暗号化ドライブだけでなく、BitLockerによる暗号化ドライブやFireVault2による暗号化ドライブも管理することができる

今秋にはクラウドストレージも暗号化管理対象に

今後の展開として興味深いのはクラウドストレージへの対応だ。

ウインマジック・ジャパン カントリーマネージャー 石山勉氏

企業の従業員がパブリックなクラウドストレージを業務に利用するケースは増えている。企業向けのクラウドストレージサービスでは暗号化機能を備えるものもあるが、いわゆるパブリックなサービスではサポートがそれほど進んでいない状況だ。暗号化されないファイルがそのまま置かれているため、アカウント情報が漏れた場合は、保存したファイルがすべて閲覧されてしまう。

そうした状況に対応するため、SecureDocではクラウド上のフォルダの暗号化機能を提供するという。具体的には、第一段階として、フォルダの同期や暗号化をユーザーが管理できる機能を実装。第二段階では、ファイルの暗号化をフルサポートし、管理者がそれらを管理できるようにする計画だ。

ヒックマン氏は最後に「エンタープライズクラスのセキュリティをクラウドストレージの分野で実現していきたい。さまざまなプラットフォームやサービ スを同じカギで統合的に管理できることがわれわれの強みだ。プラットフォームの拡充、ユーザーエクスペリエンスの改善はこれからも続けていくつもりだ」と強調した。