推奨されるドライブ暗号化ソリューション

tag-icon tag-icon truecrypt bitlocker disk-encryption mobile-devices
推奨されるドライブ暗号化ソリューション

近々、モバイル スタッフ用に Windows 7 搭載のラップトップを数台購入する予定です。業務の性質上、ドライブの暗号化が必要になります。Windows BitLocker が当然の選択のようですが、これを実現するには Windows 7 Enterprise または Ultimate エディションのいずれかを購入する必要があるようです。最善の策について、どなたかアドバイスをいただけませんか。

a) BitLocker を使用し、覚悟を決めて Enterprise/Ultimate にアップグレードする

b) より安価なサードパーティのドライブ暗号化製品を購入する(ご提案いただければ幸いです)

c) TrueCryptなどの無料のドライブ暗号化製品を使用する

理想的には、ドライブ暗号化ソフトウェアを使用している人々の「実際の」経験や、注意すべき落とし穴にも興味があります。

よろしくお願いします。

アップデート

以下の理由により、TrueCrypt を選択することにしました。

a) 製品の実績は良好である

b) 大量のラップトップを管理しているわけではないので、Active Directoryや管理コンソールなどとの統合は必要ではありません。巨大な利点

c) eksはEvil Maid(EM)攻撃について良い指摘をしたが、我々のデータはそれそれを主要な要因として考慮することが望ましい

d) コスト(無料)は大きなプラスだが、主な動機ではない

次に直面する問題は、イメージング (Acronis/Ghost/..) 暗号化されたドライブは、セクターごとのイメージングを実行しない限り機能しないということです。つまり、80Gb の暗号化されたパーティションは 80Gb のイメージ ファイルを作成します :(

答え1

トゥルークリプト:http://www.truecrypt.org/

モバイルの内部ドライブを完全に暗号化し、システム パーティション全体をオンザフライで暗号化してブート ローダー パスワードを設定することもできます。これにより、ラップトップのセキュリティが強化されます。

そしてオープンソースなので無料です。

http://4sysops.com/archives/system-drive-encryption-truecrypt-5-vs-bitlocker/

Bitlocker も良いですが、予算の都合上、truecrypt を使用することをお勧めします。

答え2

TrueCrypt で Evil Maid (EM) 攻撃ツールが利用できるようになりましたが、予算があれば BitLocker を選びます。EM のような攻撃はより複雑であり、Oskar Duveborn が述べたように AD などとの統合性が高いためです。

両方の製品に関する Joanna Rutkowska の記事を読むことをお勧めします。

http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html

http://theinvisiblethings.blogspot.com/2009/01/why-do-i-miss-microsoft-bitlocker.html

しかし、同僚が常にラップトップを安全ケースなどで大切に扱うことが確実な場合は、TrueCrypt を選択できます。

補足事項

  • フルディスク暗号化では、[OS] 内部のデータ (たとえば、コンピュータの実行中にウイルスによって破損した場合など) は保護されないことに注意してください。

  • 技術的な解決策は単なるの一部セキュリティチェーン(http://xkcd.com/538/詳細については)。

編集 (2010-01-20)

BitLocker および EM 攻撃に関する追加の詳細:

  • BitLocker は、TPM 対応のコンピューターで使用する場合にのみ、TrueCrypt よりも耐久性が高くなります。

  • BitLocker+TPMを無効にする方法があります(記事) ですが、私の知る限り、公開ツールはありません。そのため、BitLocker は日和見的な EM 攻撃に対してより耐性がありますが (USB キーに trucrypt の EM ツールをコピーするよりも、BitLocker の偽装ユーザー インタラクション画面を再開発する方が時間がかかります)、100% 完全ではありません (100% 完全なソリューションはありません)。

答え3

TrueCrypt は小規模オフィスやホームオフィスのシナリオに適していますが、大規模なビジネスでは有料ソリューションを選択する理由が数多くあります。

  1. 管理コンソール
  2. Active Directory との統合により、エンド ユーザーは 1 回だけログオンすれば済みます。
  3. リモート パスワード リセット。エンド ユーザーはパスワードのリセットのために電話をかける必要がありますか?
  4. リモートキルスイッチ。これも提供されているものもあります。

私は現在、いくつかのサードパーティソリューションを検討中です。マカフィー トータルデータ保護(旧称SafeBoot)およびシマンテックエンドポイント暗号化

BitLocker を検討しなかった理由の 1 つは、すでに Vista Business を使用しているマシンがいくつかあり、それらをアップグレードしたり再プロビジョニングしたりしたくなかったからです。

PGP ソリューションも検討しましたが、ソフトウェアを管理するには専用サーバーまたは認定された仮想サーバー ソリューションが必要であり、私のシナリオでは複雑すぎました。

答え4

さまざまなレベルの暗号化について、Web サイトの手順に従う限り、TrueCrypt に問題はまったくありません。

BitLocker に関しては、Oskar がすでに述べているように、管理が容易になりますが、コストの問題で BitLocker を使用できない場合は、常に TrueCrypt を使用できます。非常に便利です。

関連情報