汎用USBメモリが“暗号化機能付き”に大変身-ALSIのSecureDeviceを試す

暗号化機能付きUSBメモリよりココがスゴイ

InterSafe SecureDevice

 手軽にデータを持ち運べるUSBメモリ。公私ともにその利用は日常化しているが、便利な反面、情報漏えいの危険性が声高に叫ばれる昨今だ。対策として、暗号化機能付きUSBメモリを購入したいところだが、なにしろ高い。そんな課題を一挙に解決するかもしれない製品が、先ごろ、アルプスシステムインテグレーション株式会社(以下、ALSI)より発売された。汎用USBメモリを簡単に暗号化USBメモリに変換できる「InterSafe SecureDevice(以下、SecureDevice)」である。今回、製品に触れる機会を得たので、使用感などを紹介したい。

USBメモリを取り巻く危険性

 機密情報をコピーしたUSBメモリの紛失・盗難、自宅への不正な持ち帰り、Winny経由の情報流出――と、USBメモリを取り巻く環境は危険に満ちている。最近ではUSBメモリを媒介するウイルスも多数報告されており、「自宅で感染、会社にまん延」といった事態も起こり得る。情報漏えいの経路は、メール、Web、PC本体、紙媒体などさまざまだが、「USBメモリからの漏えいが圧倒的に多いのが現状なのだ」(ALSI)。

 このような状況を受け、最近、暗号化機能付きUSBメモリがクローズアップされている、しかし、これはデータを暗号化して、パスワードで復号するもの。紛失・盗難対策が主で、パスワードを知っている人が悪意でデータを流出させることはできるし、ウイルス侵入を防止できるものでもない。加えて冒頭で述べた通り、汎用USBメモリと比べると、どうしても高いのだ。

 そこで、どこにでもある汎用USBメモリを、簡単に暗号化USBメモリに変換できたらどうか――そう提案するのが、SecureDeviceである。加えて、市販の暗号化機能付きUSBメモリ単体では不可能な、きめ細かなアクセス制御を実現するのが特徴だ。

低価格できめ細かく制御する「SecureDevice」

 SecureDeviceは、汎用USBメモリを特殊フォーマットし、データ暗号化機能を付与する。フォーマットされた暗号化USBメモリには、「制御プログラム格納エリア」と、暗号化された「データ格納エリア」の2つの領域が作成される。

 この制御プログラムで、暗号化USBメモリ内のファイルの移動・コピー・印刷などを制御するのだが、特徴は、日常業務で使用するPCを「ホストPC」、自宅などで使用するPCを「ゲストPC」と、USBメモリ自体に認識させる点だ。これにより、ゲストPCに挿入したときのみ制御を行い、ホストPCでは通常通りの使用を実現。生産性を落とさずに運用できるようになっている。

 制御の内容は、用意された3つの動作モード――「パスワードモード」「情報漏えい対策モード」「ウイルス対策モード」によって異なる。複数の動作モードを用意することできめ細かなアクセス制御を実現し、かつ企業のセキュリティポリシーに柔軟に対応可能にしている。

 また、コスト面のメリットも大きい。暗号化機能付きUSBメモリは、どれだけ汎用USBメモリが余っていようと新規購入の必要が生じるが、ソフトウェアで暗号化機能を付与するSecureDeviceなら、安価な汎用USBメモリをそのまま流用できるからだ。

 価格は、基本パック(管理ソフト+5ライセンス)で3万9900円(初年度保守費用は別途必要)。ALSIの試算によれば、「一般的な暗号化機能付きUSBメモリ(4GB)×5本」で17万500円(1本あたりの単価3万4100円)、「SecureDevice+1800円の汎用USBメモリ(4GB)×5本」で4万7000円(同9400)と、SecureDeviceの方が驚くほど低コストなのが分かる。

3つの動作モードが用意されている汎用USBメモリを利用してコストを削減暗号化機能付きUSBメモリとの価格比較

暗号化USBメモリを作ろう

 では、使い勝手はどうか。百聞は一見にしかずだ。実際に動かした様子を見てみよう。

 まずはインストール作業。「データベースコンポーネントの導入」「SecureDevice用テーブルの作成」「管理コンソールのインストール」「ODBCのインストール」の4点を行う。途中、パスワード設定やテーブル作成、データソースの指定など細かい設定が必要となるが、大抵はウィザード形式なので、マニュアルに忠実に進めていこう。留意点としては、ユーザー名・パスワードなどを何種類か作成することになるので忘れないように。

 インストールが完了すると、デスクトップ画面に「SecureDevice Console」のショートカットが作成される。以降、USBメモリの管理はすべてこの管理コンソールで行うことになる。実運用では、管理者のPCに同プログラムを導入し、暗号化したUSBメモリを各従業員に配布する形になるだろう。

 管理コンソールを開いてまず行うべきは「ライセンスキー」の登録だ。「環境設定」タブ内で登録できるので、ライセンス証書にある16ケタの英数字を入力しよう。引き続き、同じ画面にある「マスターキー」の登録が必要となる。これはデバイスロック解除やログ取得などに必要となるもので、32ケタの英数字を任意に決める。

マニュアルでデフォルトのユーザー名・パスワードを確認して、管理コンソールにログインUSBメモリ未登録の真っさらなトップ画面が表示される最初に「環境設定」タブ内でライセンスキーを登録
ライセンス証書に記載された16ケタの英数字を入力しよう続いて、暗号化マスターキーを登録。こちらは32ケタの英数字を任意に決めて入力することになる

 これで準備万端。早速、暗号化USBメモリを作成しよう。管理コンソールが導入されたPCに汎用USBメモリを挿入した状態で管理コンソールを立ち上げ、「デバイス」画面の登録ボタンから作成を開始できる。

 設定するのは基本的に「動作モード」と「デバイス名」のみだ。特殊フォーマットを実行すれば、ものの数秒でAES 256による暗号化が完了する。レビューをする上で再フォーマットを繰り返す必要があったので、この軽快さには助けられた。これなら、企業内で相当数のUSBメモリを扱う場合も負担は小さいはずだ。

 なお、特殊フォーマットを行うため、汎用USBメモリ内のデータはすべて消去されるので要注意。

「デバイス」画面の登録ボタンを押す「デバイス登録画面」がポップアップするので、「デバイス名」と「動作モード」を決める「詳細設定」を押せば、ホストPC/ゲストPCごとにデバイスの有効期限も設定可能
各動作モードの詳細を確認することも可能「デバイス登録画面」の「登録」ボタンを押せば作成開始。「データが削除されます。よろしいですか?」の問いに「OK」を選ぼうフォーマットはものの数秒で終わる。「デバイス」画面に登録デバイス情報が表示される

最初に挿したPCが「ホストPC」に

 作成した暗号化USBメモリを実際に使ってみる。まず最初に行うのは、ホストPCの登録だ。SecureDeviceでは、暗号化USBメモリを最初に挿したPCをホストPCと認識する。普段、業務で使うPCに真っ先に挿入しよう。

 途中、認証パスワードの設定が求められるので、従業員ごとに任意の英数字を設定しよう。この認証パスワードは、ホストPC/ゲストPCどちらでもあっても、暗号化USBメモリを挿入したときに毎回入力することになる。「データの暗号化」に加えて、常に「パスワード認証」を行うことで二重の紛失・盗難対策とするわけだ。

暗号化USBメモリを挿入すると、自動再生画面が立ち上がるので「SecureDeviceの起動」を選択「このPCをホストPCとして登録しますか?」というダイアログに「OK」と答える認証パスワードの設定画面が開くので、各従業員ごとに任意に英数字を入力する
ホストPCとして動作開始「コンピュータ」上には「制御プログラム格納エリア」(SecureDevice)と「データ格納エリア」(リムーバブルディスク)が表示される以降、ホストPCに挿し直したときでも毎回パスワード認証が必要

「ゲストPC」を制御する各動作モード

 ホストPC以外は、すべてゲストPCと認識される。SecureDeviceでは、このゲストPC上で「暗号化USBメモリ→PC」もしくは「暗号化USBメモリ←→PC」のファイルコピー・移動を制御する。いずれの動作モードでも最初にパスワード認証を行うのは一緒。そのあと、ファイルの操作をどう制御するかがそれぞれ異なる。

 パスワードモードは、最初のパスワード認証のみで、認証さえ通れば、ファイル操作は制御しない。汎用USBメモリとほぼ同じように使える、3つの動作モードで最もポリシーの緩いものとなる。

 情報漏えい対策モードは、「暗号化USBメモリ→PC」のファイルコピー・移動を禁止する。データを自宅に持ち帰ってもPCにファイルを移せないので、悪意による情報漏えいが防げるわけだ。

 ウイルス対策モードは、「暗号化USBメモリ←→PC」のファイルコピー・移動を禁止する。最もポリシーの厳しいモードだ。暗号化USBメモリへのファイルコピーも禁止することで、自宅やネットカフェのPCがUSBメモリを媒介するウイルスに感染していても、飛び火することがない。

PC・暗号化USBメモリ間でファイルをコピーアクセス制御された場合

 このほか、情報漏えいモード/ウイルス対策モードでは、「クリップボード制御」や「印刷制御」、暗号化USBメモリ内のファイルをFTPなどで外部に転送できないよう「ネットワーク制御」も行う。

 レビューをする際も、ネットワーク制御が動作したのだが、その制御のことを失念していたため、一瞬、ネットワークインターフェイスの故障を疑ってしまった。情報漏えいモードとウイルス対策モードでは、暗号化USBメモリをPCに挿している間、有線LAN/無線LANともにネットワークは利用できなくなるので注意が必要だ。

 これ以外にパスワードロック機能も備える。いずれの動作モードもパスワード認証を間違えられるのは2回まで。3回間違えると、管理者のロック解除が必要となる。

 基本的にロック解除は、ロックされた暗号化USBメモリを管理者に渡し、管理コンソールの「強制パスワード変更」機能を使って行うことになる。しかし、ユーザーが遠隔地にいてデバイスを管理者に手渡せないとそれもできない。そこで、「ロックナンバー」と「解除ナンバー」を伝え合ってロック解除する方法も用意されている。シンプルだが、よく考えられた機能といえる。

設定された回数以上、認証パスワードを間違えると【左】、パスワードロックがかかる【右】。解除したいが管理者と遠く離れている場合は、「ロック解除操作」をクリック「ロックナンバー」が表示されるので、管理者に伝える
管理者はロックナンバーを使って「ロック解除ナンバー」を発行。これをユーザーに伝え返すユーザーは「ロック解除操作」画面で、ロック解除ナンバーを入力新しいパスワードを設定できるようになる

ユーザー独自の動作モードも作成可能

 デフォルトで用意されている動作モードはこの3つだが、ユーザーが独自の動作モード(テンプレート)を作成することも可能だ。まったく新規に作成するか、既存の動作モードをベースに内容を変更する形となる。

 レビューでも実は、情報漏えい対策モードを基に「情報漏えい対策モード02」、ウイルス対策モードを基に「ウイルス対策モード02」を作成した。なぜならデフォルトの設定では、ネットワーク制御とクリップボード制御が有効になっているからだ。レビュー画像のスクリーンショット撮影などのために、これらを無効化する必要があった。

 実運用でも、動作モードのデフォルト設定が企業ポリシーに適合しない場合には、新たなテンプレートを作成することになるだろう。根幹となるアクセス制御のほか、パスワードロックまでの失敗回数やパスワードの最低ケタ数などが調整可能なので、状況に応じて柔軟に検討してほしい。

「テンプレート」画面で新規作成をクリックまったく新規に作成するか、既存の動作モードをベースにするか選択既存の動作モードをベースにする際は、「変更」ボタンが表示される
パスワード設定の変更。パスワードロックまでの失敗回数やパスワードのけた数のほか、パスワード認証を行うか否かまで設定可能アクセス制御設定の変更。PC→暗号化USBメモリ、暗号化USBメモリ→PCへの制御をそれぞれ変更できるクリップボード制御、印刷制御、ネットワーク制御も変更可能

大規模な運用を実現する「職務分掌」機能

 大規模な環境で実際の運用を考えたとき、1人の管理者がすべてを管理するのは現実的ではない。そこでSecureDeviceには、職務分掌を実現する機能も搭載されている。部門単位などでグループを設定し、グループごとに管理者を割り当てられるのだ。管理者には「デバイス」「テンプレート」「ログ」「管理ツール」「管理者設定」「環境設定」という機能メニューごとに「非表示」「閲覧」「実行」の権限を設定できる。

「デバイス」画面のROOTで右クリックすると「グループの登録」が可能グループ名を決定登録したグループがツリー表示される
「管理者設定」画面でセキュリティ管理者の「追加」ボタンを押す「セキュリティ管理者登録」画面がポップアップするので、属性情報を入力
セキュリティ管理者が登録されたら、次に管理グループの「追加」ボタンを押すあらかじめ登録したグループから任意に選択権限を設定したら適用ボタンを押す。これで選択したグループのみを管理するセキュリティ管理者の完成だ

大容量デバイスへの変更も簡単なライセンス体系

 ライセンスの考え方は、暗号化するUSBメモリ数がベース。3万9900円の基本パックに5ライセンスが付属し、足りない場合は1~99個で7560円/ライセンス、100~499個で7140円/同、500~999個で6825円/同にて追加できる。

 暗号化USBメモリを作成するごとにライセンスを1つ消費するが、「管理ツール」画面で「通常デバイスへのフォーマット」を行うと、その分のライセンスは再カウントされる。故障してPCで読み取れなくなった場合、そのライセンスは失効となってしまうが、読み取れさえすれば、より容量の大きなUSBメモリへ変更することも可能だ。これも、市販の暗号化機能付きUSBメモリにはないメリットといえる。

SecureDeviceを試してみて

ファイル形式を問わないSecureDevice

 今回、SecureDeviceを一通り使ってみて感じたのは、「軽くて分かりやすい」ということだ。汎用USBメモリを暗号化USBメモリに変換し、さらに企業内での管理も実現する。そう聞くと複雑なイメージが頭をもたげるが、管理コンソールの分かりやすいデザインがそれを払しょくする。どこをどうすればいいのか迷うことは一度もなく、まさにSimple is Bestという印象だった。

 暗号化も実に速く、通常デバイスへのフォーマットはさらに速い。今回使用したのは1GBのUSBメモリだったが、32GBでも3秒程度で暗号化できるという。この軽快さ、簡便さ、管理性は、小規模環境から大規模環境までユーザーを選ばない製品といえる。

 また、他社の暗号化機能付きUSBメモリには、対応ファイル形式がMicrosoft OfficeとPDFなどに制限されるものもある。一方のSecureDeviceは、ファイル形式を問わず、画像・音楽・動画も含めてすべてのデータを暗号化して保存できるという。ALSIでは「この点も重要な差別化要素だ」と強調する。

 逆に気になったのは――製品性質上、仕方のないことで、ALSI製品だからということでもないのだが――USBメモリ自体の手軽さはやや損なわれるという点。暗号化USBメモリを認識させるには、常にAutorunを経由しなければならない。筆者のPCのせいかもしれないがこのとき、たまにAutorunが走らず、沈黙に包まれることがあった。その場合、接続しなおす必要があるのだが、暗号化USBメモリを取り外す際には、タスクバーに表示される「SecureDevice」アイコンにて「取り外し」を行ってから、「ハードウェアの安全な取り外し」を行う必要がある。何度も接続・取り外しを繰り返している中で、まったくゲンナリしなかった、といえばウソになる。

 そのほか、情報漏えい対策/ウイルス対策モードにて、ローカルフォルダでファイルの新規作成ができなくなるという現象が起きた。暗号化USBメモリをPCに接続した段階では問題ないのだが、一度、「暗号化USBメモリ→PC」のアクセス制御が行われると、それ以降、ローカルでの新規作成なども制御されてしまうのだ。Windows 7/Vistaに限る制限事項だという。

 これも暗号化USBメモリを接続し直せば解決するし、そもそも実運用では、制御されていることが分かりつつ、あえて「暗号化USBメモリ→PC」のファイル操作を行うこともないと思うので、大したことではないのだが、間違ってアクセス制御されてしまった時に、まったくウンザリしない、といえばウソになる。

 とはいえ、USBメモリのセキュリティ問題をシンプルな使い勝手で解決し、「データ暗号化」と「アクセス制御」の両方を行ってくれる点は大変評価できる。ALSIでは、一般企業のほか、現場の事務所でUSBメモリの紛失が多いという建設業などを想定している。それ以外にも、USBメモリによる情報漏えいが致命的となる企業などにオススメの一品だ。





(川島 弘之)

2009/12/25/ 09:00