外出時に持ち運ぶことが多いラップトップは盗難・紛失時に情報漏洩の危険性がある。デスクトップのローカルHDDに保管されたデータは物理的にアクセスをしなければ、データを取得することはできない。またクラウド上のデータはユーザーID、パスワードで保護されているためにある程度のセキュリティを担保している。
これに対してラップトップ上のでデータはHDDを保護しないで持ち運びしているために簡単にデータを抜くことができる。WindowsのユーザーIDとパスワードはファイルシステム自体を保護しているわけではないので、HDDをUSBやSATA経由でアクセスしてしまえば簡単にデータを取り出すことができる。
この手法自体はラップトップが壊れた時に最低限のデータのリカバリをするために用いられるが、普段のセキュリティを考えれば望ましい構成とは言えない。
PGP WDEはディスクを暗号化することにより、HDDに直接アクセスしても意味がないデータしか取得できない。暗号化されたHDDを複合化してファイルシステムからデータを取るためには物理的な接続+PGP Desktopアプリケーション+パスフレーズが必要になる。
PGP WDEについての説明はこちらに詳しい。
Getting Started with PGP WDE on Windows
パスフレーズはデフォルトではPGP Desktop用に設定されているが、これだとログインを2回することになるので煩わしい。電源を入れるとまずPGP WDEのログインスクリーンが出る。ここでまずPGPのパスフレーズを入力する。次にWindowsが起動したところでWindows用のパスワードを入力する。Windowsのパスワードはセキュリティポリシーにより強度を増やすことができるので、以前のようにランダムやディクショナリアタックで破ることは難しくなっている。
であるならば、PGPのパスフレーズにWindowsのパスワードを利用すればユーザーの利便性は上がる。この機能はPGP WDE Single Sign Onと呼ばれる。設定については以下のリンクに記載されている。
HOW TO: Use PGP WDE Single Sign-On with PGP Desktop for Windows
さて便利なSSOであるが実際に運用してみると様々なトラブルにぶち当たることになる。記憶している限りでも以下のようなものがある。
- Windowsのパスワードを変更したけど反映されない
- SSOを利用しているにもかかわらずWindowsのパスワードにならない
- Windowsパスワードが失われたために解除できない
- どのユーザーIDにひもづいているかわからない。
Symantecから基本となるトラブルシューティングのプロセスが以下で提供されている。
Troubleshooting: Symantec Drive Encryption Single Sign-On
これ以外に役立った解決方法を記載しておく
- BIOSを最新版にする
- SATAモードを変更してみる
- Windowsインストール後にDisk関連のドライバを更新する
