Data Encryption Toolkit for Mobile PCs

概要 - 戦略的なアプローチでモバイル PC のデータを安全に保つ

みなさんは、このドキュメントをラップトップ コンピュータのスクリーンで表示しているか、おそらく次の目的地へ向かうフライトを待っている最中なのではないでしょうか? あるいは、週末の自宅で「タスクリスト」を消化しているところでしょうか? ところで、みなさんのラップトップのすべての情報が本当に安全であるかどうか考えたことはありますか? 例えば盗難に合ったり、みなさんの社員がラップトップを紛失したりしたらどうしますか? みなさんの最新のデザインやマーケティング計画は保護されているでしょうか? みなさんのお客様の個人情報は安全ですか? もしくは、みなさんの組織が数千ものお客様の記録を紛失したと、次のニュースの見出しになることはないでしょうか?

Ponemon Institute による U.S. Survey: Confidential Data at Risk (英語情報) の最近の調査では、「484 人の回答者のうち 81% が、彼らの企業で過去 12 ヶ月間に機密または極秘のビジネス情報が含まれているラップトップ コンピュータの紛失を 1 回またはそれ以上経験している」というものでした。

心配ですか? ラップトップ コンピュータの紛失は、重大な問題ですから心配して当然のことです。 ますます増え続ける容量によって、ラップトップ コンピュータは莫大な量のビジネスおよび個人情報を保存できるようになりました。 ラップトップ コンピュータは、ユビキタスで非常に効果的なモバイル ツールですが、その中の機密データを失うことは、組織の利益、顧客との友好および政府によって施行された法令に関して、法的地位に多大な影響を与えることになります。 下手をすると、仕事を失うことにもなりかねないのです。

しかし、考えるより簡単にこれらの困難な問題の解決に役立つための一歩を踏み出すことができます。 すでにみなさんは、お持ちかもしれませんが、マイクロソフトには役立つテクノロジがあります。 事実、みなさんの組織で Windows Vista™ または Microsoft® Windows® XP Professional を使用している場合、必要なツールの多くを所持していることになります。 みなさんの組織の IT 部門は、すでに所有している暗号化技術が組織で役立っているように、無料でダウンロード可能な Microsoft Data Encryption Toolkit for Mobile PCs などを使用して、この問題の管理に役立てることができます。

Microsoft Data Encryption Toolkit for Mobile PCs は、不注意または単なる不運によって発生する大きな事故や多くの時間、資金および評判の損失につながるリスクを減らし、組織を守るのに役立てることができます。 このツールキットは、2007 年の第 2 四半期に無料のダウンロードとしてリリースされ、Windows 2000、Windows XP Professional および Windows Vista で利用可能なファイル システム暗号化 (EFS) および Windows Vista の重要な新しいデータ保護の機能である BitLocker™ ドライブ暗号化を使用しています。 また、このツールキットには、EFS アシスタントという中央で EFS の暗号化を管理するのに役立つツールが含まれています。

トピック

	ビジネスのリスク
	規制によるリスク
	Data Encryption Toolkit を用いてリスクの緩和に役立てる
	次のステップ

ビジネスのリスク

ビジネスおよびテクニカル マネージャは、データが公になった場合のシナリオ、規制の状況およびリスクの緩和策について理解する必要があります。 Microsoft Data Encryption Toolkit for Mobile PCs は、主にモバイル PC 上のデータ保護に関する問題に対応しています。 しかし、デスクトップ コンピュータにも同様のコンセプト、懸念およびソリューションがあり、盗難および制限されないアクセス許可のシナリオのリスクにさらされています。

この問題および考えられる悪影響を示している次の架空の企業のデータ漏えいのケースについて考えてみてください。

カナダにある中規模のテクノロジ企業の Contoso は Web サイトでお客様が注文したウィジェットを生産しています。 Contoso のデータベースの個人情報には、お客様名、クレジット カード番号、住所および電話番号が含まれています。 お客様は、カナダ、米国、英国およびフランスなどからです。

Contoso では、ニコラスという勤勉な若手アナリストが家に良く仕事を持ち帰っていました。 ある日、帰宅する際にニコラスは、報告書を作成するためにお客様情報が含まれたスプレッドシートをラップ トップ コンピュータにコピーしました。 その夜、彼が買い物をしている間に、彼のラップトップ コンピュータが車から盗まれたのです。 ニコラスは直ちに彼のマネージャと警察に紛失について連絡しました。

ニコラスと彼のマネージャは、この件について外部弁護士だけでなく、会社の法務部とも話し合いました。 ニコラスと彼のマネージャは、すべてのお客様に個人情報漏えいの可能性を通知する必要があるということをこれらの話し合いで学びました。 彼らは、すぐにお客様に説明するために手紙を作成し、お客様からの質問に対応するホットラインを設けました。 さらに、ID 盗難を防ぐため、データベースにあるお客様すべてに １ 年間のクレジット監視サービスを提供しました。

残念ながら、これらの取り組みによりこの問題が終結することはありませんでした。 失われたデータがたとえ不法な目的で悪用された形跡がなくても、Contoso がお客様のプライバシーの権利を著しく侵害したとして、米国、フランスおよび英国のお客様を代表して集団訴訟が行われました。 この件はすぐに主なメディアに取り上げられ、ウォール ストリート ジャーナルの二面を飾ることになってしまったのです。 ラップトップ コンピュータの紛失から数週間で、ウィジェットの売上に影響し、この会社の株はその株式価値を 8% も失いました。 さらに、この件の費用は 60 万ドルにも上ったのでした。」

この件にまつわる費用について、次の表にまとめました。

残念なことに、ラップトップ コンピュータは容易に盗難の標的となります。 個人および顧客の機密情報を含んだラップトップ コンピュータの偶発的な紛失または盗難が発生した企業について、日常的にメディアでニュースに取り上げられるようになりました。 前述の話はフィクションですが、実際の多くの組織でこのような漏えいが起こった場合、多大な費用がかかるという認識が広まってきましたが、時には、費用はこの場合よりも一桁多い場合もあるのです。

プライバシーの侵害について実際の費用の概算を出すためには、さまざまな計算ツールを利用できますが、国際的な情報セキュリティを先導しているプロバイダである Information Shield の Privacy Breach Impact Calculator (英語情報) が利用できます。

被害対策

データの漏えい問題が発生した組織は、すぐに運営資金の必要性に迫られます。 それには、社内調査、顧客向けホットライン、トレーニングおよびコール センターの人員向け補足資料、顧客へダイレクト メールによる通知、クレジット カードの監視サービス、心配しているお客様への対応のための広告およびマーケティング費用などが含まれます。 さらに、再びこのような事故が決して起こらないようにするために、戦略的な IT のイニシアチブが取られることになります。 これらのすべてを行うには、管理者は実際の業務とは異なる組織の監視や、注意を払ったりすることに多大な時間を割くことになります。

ブランド ダメージおよび信頼の損失

信用を失う、プライバシーが失われることによる顧客の怒り、またビジネス パートナーとの関係の損失による影響を測るのは難しいものがあります。 それぞれの事故の特定の状況、ブランドへの忠実度および被害対策に対する努力は、そのような漏えい問題でブランドがどの程度影響を受けるのかに影響します。 時には、失われた信頼および顧客の信用を完全に回復するために数年かかる場合もあります。

ページのトップへ

規制によるリスク

ビジネスのリスクに加えて、世界中の多くの政府機関では、個人情報のデータ保護の不履行に対し、民事あるいは刑事的に大きな罰則を設けることにより、市民の個人情報への懸念に応えています。

北米における規制に関する考察

米国では、偶然または不正なデータ漏えいの事故が起きた場合、30 以上の州で組織 (営利団体またはその他) の顧客への通知が法律で義務付けられています。 これらの法律の規定は、個人データの暗号化が徹底されていないことがきっかけでした。 つまり、個人データの暗号化はデータ漏えいのリスクを緩和すると、明確に定められているのです。 これらの法律の規定に加えて、連邦議会の規定でも同様の制限や罰則を設けており、その中には Health Insurance Portability and Accountability Act (HIPAA) 「医療保険の携行性と責任に関する法律」、Gramm-Leach-Bliley Act (GLBA) 「グラム・リーチ・ブライリー法 (米金融制度改革法)」 および Sarbanes-Oxley Act (SOX) 「サーベンス・オクスリー法 (企業改革法)」 などが含まれています。

カナダでは、Personal Information Protection and Electronic Documents Act (PIPEDA) 「個人情報保護および電子文書法」 および Personal Health Information Protection Act (PHIPA) により、個人データの保護に関する要件を厳守し、構築することが義務付けられています。

ヨーロッパおよびアジアにおける規制に関する考察

EU では、EU データ保護条例 (European Data Protection Directive) が EU 加盟諸国により実施されていますが、組織でどのように消費者のデータを保持または維持するかについて非常に厳しく定められています。 これらの制限は欧州以外の企業だけではなく、欧州諸国の顧客を持つ企業にまで適用されます。 この条例は、どの個人データを保持するか、またその使用方法に対して厳しいガイドラインを定めており、世界中でどのように条例を適用するべきかについて、国際的な議論および混乱を招いています。 これらの問題が片付くには時間がかかりそうです。

ほかには、英国のデータ保護法 (DPA) のように、組織に適用可能な消費者を守る重要な規制があります。 カナダと英国の規制はデータ保存に対するアプローチでは一致していませんが、上で挙げたカナダの規制では、DPA は厳格な保護を命じ、個人データを保護するための要件を確立しています。

多くのアジア諸国も公的な規制を構築しており、アジア・太平洋電気通信共同体 (APECTEL) のような組織を通じて、一貫したアプローチの導入を検討しています。 シンガポール、チリ、オーストラリア、中国およびインドネシアが協力してこれらの問題への合同アプローチを確立するための努力を行っています。これは、言論、政治の自由、経済の自由化および個人のプライバシーに関する各国の姿勢を尊重して行われています。 これらのアプローチについては、オーストラリアの研究、分析および戦略を行っているコンサルタント企業の Caslon Analytics による Caslon Analytics privacy guide (英語情報) にわかりやすくまとめられています。

これらのいずれかの国の顧客を持つ組織は、組織自体がどこの国にあろうとも、お客様の個人データを適切に保護していないということで、民事あるいは刑事的な罪に問われることになります。 もし、みなさんの組織が個人データ (その定義は幅広いものがあります) を維持しているならば、みなさんのデータ保護のポリシーが国際的な司法の下で、どのような制限を持つのかを完全に理解することが重要です。 偶然、このような規制を侵害したとしても、組織は実質的に民事的な罰金、ビジネスからの撤退、刑事責任および莫大な弁護士および裁判の費用にさらされる可能性があります。 そのために、多くの CEO および理事会のメンバーは、データ保護を強化し確実なコンプライアンスを実施するのに役立つソリューションを模索しているのです。

ページのトップへ

Data Encryption Toolkit を用いてリスクの緩和に役立てる

Microsoft Data Encryption Toolkit for Mobile PCs は、データの暗号化のための 2 種類の効果を持つ、安価なソリューションです。 このツールキットは、モバイル コンピュータのデータのセキュリティ問題を解決する必要のある、すべてのセキュリティの専門家にとって価値があります。 ツールキットが提供しているガイダンスを効果的に実施することは、組織が特定の規制要件を満たすのに役立ちます。 さらに、これらのテクノロジは Windows XP Professional および Windows Vista のオペレーティング システムでライセンスされているので、特に魅力的なソリューションを提供することになります。

このツールキットは、暗号化ファイルシステム (EFS) および BitLocker ドライブ暗号化をベースにしており、共に強固な暗号化のメカニズムを提供しますが、その目的は少々異なります。 このツールキットは、これらのセキュリティのテクノロジがどう働いているのかについて、詳細な情報を提供します。 また、どちらのテクノロジを使用するのが適切なシナリオであるかの説明、展開における最善策の提供、キーおよびデータの復元のようなオペレーションの問題に関する配慮などが含まれています。 このツールキットには 2007 年の前半にリリースされた EFS アシスタントが含まれており、保護されたコンピュータ上で EFS の展開および設定を自動化するのに役立ちます。

ツールキットには次の機能が含まれています:

BitLocker ドライブ暗号化

BitLocker ドライブ暗号化は、Windows Vista の新しい機能で、ハード ディスクのボリューム全体のすべてのデータを暗号化するシームレスな方法を提供します。 BitLocker が設定されると、バックグラウンドで透過的に動作し、PC またはアプリケーションの一般的使用に影響を与えません。 BitLocker は、ボリュームすべてを暗号化するので、Windows が起動する前では難しい Windows のセキュリティの保護の裏をかこうとする多くの攻撃を避けることができます。

また BitLocker は、Trusted Platform Module (TPM) と呼ばれるセキュリティのハードウェアのモジュールを使用することで、暗号化されたデータに強化されたセキュリティを提供します。 TPM はルートの暗号化キーのオフラインでの保管およびディスクの暗号化を解除するために必要なオプションの暗証番号 (PIN) を提供します。 現在、TPM は Compaq、Dell、Lenovo および東芝など、ほぼすべてのベンダー企業のラップトップ コンピュータに搭載されています。

暗号化ファイル システム (EFS)

EFS は、ユーザーが選択したフォルダおよび個々のファイル用に、シームレスなデータの暗号化を提供します。 暗号化が有効にされても、ユーザーが気づくことはありません。 EFS はコンピュータへの権限のないアクセス許可を入手しようとして、特定の既知の攻撃を行う侵入者から防御するのに役立ちます。

Microsoft 暗号化ファイル システム アシスタント

Microsoft 暗号化ファイル システム アシスタント (EFS アシスタント) のツールは、どのファイルを暗号化するべきかを検出すために、自動の確率論的な方法を提供し、EFS を補完しています。 EFS のように、基本的にユーザーには見えません。 暗号化の候補となりそうな新しいデータ ファイルについて、ハード ディスクを定期的にスキャンする設定が可能です。 この機能性は新しいユーザーのデータ ファイルが作成されるリスクを緩和しますが、暗号化されないままになるため、危険にさらされる可能性があります。

ページのトップへ

次のステップ

マイクロソフトは、みなさんが Microsoft Data Encryption Toolkit for Mobile PCs のセキュリティ分析を読み、モバイル PC の機密データの保護のための選択肢を検討されることを推奨します。 このドキュメントは、BitLocker および EFS がラップトップ コンピュータの特別なリスクをどのように解決するか、また、そのリスクを理解するのに役立つものです。 また、BitLocker および EFS を適用するプロセスに関するガイドとなる、「計画および実装のガイド」もご利用になれます。 最後に、モバイル PC 上のデータを保護するために EFS を使用したい場合、みなさんの環境で EFS を中央管理する方法として EFS アシスタントを検討してください。

ページのトップへ