ハードウェア暗号化ポータブルSSDの選び方。持ち出すデータを紛失時も守る
対象の目安: 機密データを持ち出す業務の人 / 実務

現場で撮影した画像、顧客に渡す設計データ、検証用に固めた仮想マシンのイメージ。数十ギガから数百ギガのデータを社外へ運ぶ業務では、USBメモリでは容量が足りず、ポータブルSSDが現実的な選択肢になります。しかし小さくて軽い外付けSSDは、鞄から滑り落ちたり置き忘れたりしやすく、紛失や盗難が起きたときに中身がそのまま読めてしまえば、そこで情報漏えいが確定します。持ち出すデータの機密性を、手元を離れた瞬間に守れるかどうかが問われます。
その答えの一つがハードウェア暗号化ポータブルSSDです。ドライブに内蔵した専用チップがAESで自動的に暗号化と復号を行い、正しいPINや指紋で認証しないかぎり、保存されたデータは意味を持たないビット列にしか見えません。落としても拾った第三者はデータを取り出せません。ただし守れる範囲は保存時のデータに限られ、開いて使っている最中やマルウェア感染、バックアップの取り忘れまでは守れません。この記事は、機密データを持ち出す業務の担当者に向けて、暗号化SSDが守れる範囲と守れない範囲を正直に示したうえで、選ぶときに見る軸を実在製品とあわせて整理します。
なお本記事にはアフィリエイトリンクを含みます。紹介する製品の効果や適合性を保証するものではなく、最終的な購入判断はご自身の利用環境に照らしてお願いします。詳細は広告・アフィリエイトについてをご覧ください。
ソフトウェア暗号化とハードウェア暗号化の違い
データを暗号化する方法は大きく二つに分かれます。一つはソフトウェア暗号化で、WindowsのBitLocker、macOSのFileVault、あるいはVeraCryptのようなツールが、PC側のCPUで暗号化と復号を処理します。手持ちの普通のSSDに後付けでき、追加費用を抑えられる利点があります。もう一つがハードウェア暗号化で、ドライブに内蔵した専用チップがAESの処理を担い、鍵もチップの内側で管理します。
ハードウェア暗号化の特徴は、暗号処理がPC側のソフトに依存しない点です。特に本体にテンキーを備えたPINパッド型は、PCにソフトやドライバを入れなくても本体だけで解錠でき、認証が済んだあとは通常の外付けSSDとして見えます。WindowsでもmacOSでもLinuxでも同じように使えるため、共有端末や複数のOSをまたぐ持ち出しに向きます。Apricornは自社のAegis Padlock SSDについて、暗号処理を100パーセントハードウェアで行い、PINの入力や制御をすべて本体キーパッドで完結させ、重要なセキュリティパラメータをホストPCと一切共有しないと説明しています。キーロガーが入った端末に挿しても、PIN自体はPC側を通らないという考え方です。
一方でソフトウェア暗号化にも役割はあります。コストを抑えたい、いま持っているSSDをそのまま使いたいという場合は有力です。両者の入門的な整理は関連記事にまとめています。
あわせて読みたい
暗号化USBメモリ・セキュアストレージの選び方。データ持ち出しを安全にする
選ぶときに見る軸
製品を比べるときに確認したい軸を表にまとめます。用途が業務データの持ち出しなのか、規程で第三者認証が求められるのかで、重視する項目が変わります。
| 軸 | 見るときの要点 |
|---|---|
| 暗号化方式 | ドライブ内蔵チップによるハードウェアAES-256か。XTSモードかどうかも仕様で確認する |
| 認証方式 | PINパッド(本体キー)、指紋認証、専用ソフトのどれか。OSにソフトを入れずに解錠したいならPINパッド型 |
| FIPS認証 | FIPS 140-2や140-3など第三者検証の有無とレベル。政府や医療や金融の規程対応で問われることがある |
| ブルートフォース対策 | PINを規定回数間違えたときに一時ロックする、あるいは鍵やデータを自動消去するか |
| OS非依存 | ドライバやソフトなしで、Windows/macOS/Linuxをまたいで使えるか |
| 容量と転送速度 | 用途に足りる容量か。USB 3.2 Gen2など接続規格と実効速度。手持ちの端子に合うか |
| 耐久性 | 耐衝撃、防塵防水(IP等級)、筐体の頑丈さ。持ち出しでの落下や粉塵に耐えるか |
FIPS認証の意味は補足が要ります。FIPS 140-2や現行のFIPS 140-3は、米国NISTとカナダCCCSが共同運営する暗号モジュール検証プログラムCMVPで検証された、モジュール全体の堅牢性を示す規格です。Level 3になると物理的な耐タンパー性まで含みます。製品が「FIPS 140-3 Level 3」と表示していても、検証中(pending)の場合があるため、規程対応が必要なら型番と認証番号までCMVPの公式リストで照合するのが確実です。
ブルートフォース対策も業務用途では見落とせません。iStorageはdiskAshur M2について、ユーザーPINを連続10回間違えるとユーザーPINが削除され、さらに管理者PINを連続10回間違えるとデータとPINと暗号鍵がすべて失われると説明しています。総当りでの解錠を試みても、一定回数で鍵ごと消える設計です。裏を返せば、正規の利用者もPINを忘れれば回復手段なしでは中身を取り出せないため、運用でのPIN管理が前提になります。
守れる範囲と守れない範囲
暗号化SSDに期待できることと、期待してはいけないことを正直に切り分けます。暗号化が守るのは、主に保存されたデータ(データアットレスト)の機密性です。ドライブが手元を離れたとき、拾った第三者に読ませないための仕組みで、IPAの対策のしおりでも、機器の紛失や盗難への備えとして保存データの暗号化が挙げられています。
注意
暗号化SSDは「持てば完全に安全」になる道具ではありません。守れるのは紛失や盗難のように、電源を切ったSSDが手元を離れたときの保存データです。解錠してPCにつなぎ、正しいPINや指紋で開いて使っている最中は、データは平文として読める状態にあり、そのPCがマルウェアに感染していれば復号中のデータは読まれ得ます。感染したPCに挿せば、暗号化SSDが感染の運び役になることもあります。また暗号化は漏えい対策であって、データ消失への備えではありません。SSDが壊れる、なくすことを見越して、重要データは別途バックアップしてください。土台のマルウェア対策とバックアップは、暗号化とは別に用意する前提で考えてください。
バックアップとの役割分担については、別記事で3-2-1ルールを軸に整理しています。
あわせて読みたい
バックアップの3-2-1ルールが守る障害とその仕組み
実在する製品の候補
ここからは実在を確認できた製品を挙げます。認証方式が異なる3タイプを並べますので、用途に合うものを選んでください。以下は一般的な役割の説明にとどめ、細かい仕様や価格や在庫は断定しません。仕様や入手性は変動するため、購入前に各販売ページで最新の情報をご確認ください。効果や適合性を保証するものではありません。
Samsung Portable SSD T7 Touch
広告本体上面の指紋センサーで解錠する消費者向けのポータブルSSDで、指紋認証とパスワード保護にAES 256ビットのハードウェア暗号化を組み合わせています。Samsungの発表によれば読み書きは高速で、Windows/Mac/Androidに対応します。手軽さを重視する個人利用の候補になりますが、セキュリティ設定にはSamsungの専用ソフトが必要で、PINパッド型ほどOS非依存ではない点は理解して選んでください。仕様や入手性は変動するため、対応OSや容量は購入前に販売ページで確認してください。効果や適合性を保証するものではありません。
※価格・在庫は変動します。最新の情報は各販売サイトでご確認ください。
iStorage diskAshur M2
広告本体のPINパッドで解錠するOS非依存のハードウェア暗号化SSDです。FIPS PUB 197で検証されたAES-XTS 256ビット暗号化と、Common Criteria EAL5+のセキュアマイクロプロセッサを採用し、PINの連続誤入力で鍵やデータを消去する総当り対策を備えます。IP68の防塵防水と耐衝撃筐体を持ち、規程対応や第三者との受け渡しがある業務の候補になります。FIPS 140-3 Level 3は検証中とされる表記もあるため、規程対応が必要なら認証状況を購入前に確認してください。仕様や入手性は変動するため、容量や対応端子も販売ページで確認してください。
※価格・在庫は変動します。最新の情報は各販売サイトでご確認ください。
Apricorn Aegis Padlock SSD
広告ソフト不要で100パーセントハードウェアの256ビットAES-XTS暗号化を、本体のオンボードキーパッドで解錠するポータブルSSDです。PIN入力をホストPCと共有しない設計で、FIPS 140-2 Level 2の検証を取得したモデルがあります。Windows/Linux/Mac/Android/Chromeをまたいで使えるクロスプラットフォーム設計で、頑丈なアルミ筐体を採用します。PINパッド型でOS非依存に使いたい業務の候補になります。仕様や入手性は変動するため、容量やFIPS検証済みの型番かどうかは購入前に販売ページで確認してください。効果や適合性を保証するものではありません。
※価格・在庫は変動します。最新の情報は各販売サイトでご確認ください。
買う前のチェックリスト
購入前に、守れる範囲の理解と手持ち環境との相性をそろえておくと、過信や買い直しを避けられます。
暗号化ポータブルSSD購入前のチェックリスト
- 守れるのは紛失や盗難時の保存データであり、使用中やマルウェアやバックアップの代替にはならないと理解したか
- ドライブ内蔵チップによるハードウェアAES-256(できればXTS)かを仕様で確認したか
- 認証方式が用途に合うか(OS非依存で使うならPINパッド型、手軽さ重視なら指紋認証型)を選んだか
- 規程対応が必要なら、FIPS 140-2/140-3の検証状況を型番と認証番号まで照合したか
- PINやパスワードを連続で誤ったときの自動ロックや自動消去の挙動を確認したか
- 手持ち端末の端子(USB-A/USB-C)と接続規格に合い、必要な容量と速度を満たすか確認したか
- PINやパスワードを忘れたときの回復手段を用意し、重要データは別途バックアップする計画にしたか
まとめ
ハードウェア暗号化ポータブルSSDは、ドライブ内蔵チップがAESで自動的に暗号化と復号を行い、紛失や盗難でデバイスが手元を離れたときに保存データを読ませないための道具です。PINパッド型はOSやドライバに依存せず、共有端末や複数OSをまたぐ持ち出しに向きます。指紋認証型は手軽さで個人利用に向きますが、設定に専用ソフトが要ることが多く、OS非依存の度合いはPINパッド型に劣ります。選ぶときは、ハードウェアAES-256か、FIPS検証の有無とレベル、総当り時の自動ロックや消去、OS非依存で使えるか、容量と転送速度、耐久性を軸に見ると迷いません。守れるのは保存時のデータの機密性に限られ、使用中の状態やマルウェア、データ消失への備えは別の対策が要ります。暗号化と、マルウェア対策と、バックアップを分けて用意することで、持ち出し全体の守りが組み上がります。暗号化そのものの仕組みは関連記事で基礎から整理しています。
あわせて読みたい
暗号化の基礎。共通鍵・公開鍵・ハッシュ・TLSはどう情報を守るのか
出典・参考
- iStorage diskAshur M2 (PIN authenticated hardware encrypted SSD) 公式製品ページ
- Samsung Releases Portable SSD T7 Touch (Samsung Newsroom 公式)
- Apricorn Aegis Padlock SSD 公式製品ページ
- NIST: Cryptographic Module Validation Program (CMVP)
- NIST FIPS 140-3 (Security Requirements for Cryptographic Modules)
- 対策のしおり | 情報セキュリティ | IPA
関連する記事
暗号化USBメモリ・セキュアストレージの選び方。データ持ち出しを安全にする
USBメモリ紛失による情報漏えいを防ぐための暗号化ストレージ入門。ハードウェア暗号化USB(Kingston IronKey等)とソフトウェア暗号化(BitLocker To Go/VeraCrypt)の違い、AES-256・FIPS認証・PINパッド・自動ロックの見方を解説します。
暗号化の基礎。共通鍵・公開鍵・ハッシュ・TLSはどう情報を守るのか
共通鍵暗号と公開鍵暗号の違いと使い分け、ハイブリッド方式、ハッシュ関数とパスワード保存、デジタル署名と証明書、TLSがHTTPSで守るものを、NISTやIPAの一次情報をもとに原理から噛み砕いて解説します。
記録メディアのデータ抹消と廃棄に使うツールの選び方
パソコンやサーバーを手放す前の、記録メディアのデータ抹消と廃棄に使う道具の選び方をまとめます。削除やクイックフォーマットでデータが残る仕組みを確認し、NIST SP 800-88のClearとPurgeとDestroyの考え方に沿って、消去ソフトや物理破壊ツールを用途で選ぶ軸を整理します。上書きが効きにくいSSDの媒体差にも触れます。


