PCからの情報流出をどう防ぐ?

Security

Lost Ernst & Young laptop exposes IBM staff | The Register

アーンスト アンド ヤングでまたPCからの情報流出があったらしい。記事によるといわゆる車上荒らしでラップトップPCが盗まれたようだ。でPCの中に数千人にのぼるIBMerの個人情報が含まれていたとのこと。

もちろんこの手の事件は海外だけでなく、国内でも毎日のように起こっている。IT保険ドットコムの個人情報漏洩事件一覧を見ても、PCの盗難だの紛失だのといった事件が後を絶たない。

会社からPCを持ち出さないようにしたり、キャビネットに鍵をかけて保管したり、持ち歩くときは肌身離さずなんてやってみたりしても、こうした事件を100%防ぐことは不可能だ。だから盗難や紛失が起こっても情報が流出する可能性を低くするような対応をあらかじめしておく必要がある。

ではどういう対策が有効なのだろうか?今のところ最も効果が高いと思われるのは、ハードディスク内の全てのデータを丸ごと暗号化しておくことだろう。データを復号するために必要なパスワード(またはこれに相当する鍵となる情報)を適切に管理しておけば、これでかなり情報流出のリスクを低減できる。具体的な製品でいうと例えば Pointsecや Safebootなどが該当する。

しかし難点はコストだ。導入から運用までを考えるとかなりのコストを覚悟しなければならない。PC向けのOSとして最も広く使われているWindowsが標準でこうした暗号化に対応していればいいのだが、残念ながら最新のWindowsXP SP2でもハードディスク全体を暗号化することはできない。(次期OSであるVistaではシステムボリューム全体の暗号化に対応するそうだ。)

ではなるべくコストをかけずにできる対策はあるのか。手間はかかるがもちろんできることはいろいろある。しかしハードディスク全体を暗号化する場合にはあまり考えなくてもよかったことをいろいろと注意しなければならなくなる。
参考までに私が自宅のPCで実施している方法を紹介する。(ちなみに会社のPCでは上にあげたような暗号化製品を利用している。)

  • PC内の重要なファイルは1つのフォルダに集約し、そのフォルダをEFSで暗号化する
  • デスクトップ、マイドキュメント、メールソフト(Thunderbird)のフォルダなどもEFSで暗号化する
  • IEの履歴、一時ファイル、Cookie、オートコンプリートなどは全て削除し、IEはできるだけ使わない
  • Firefoxをデフォルトブラウザにして、プロファイルのフォルダ(C:\Documents and Settings\ユーザ名\Application Data\Mozilla)をEFSで暗号化する
  • syskeyをモード2にして、スタートアップパスワードを有効にする(syskey.exe)
  • ハードディスクパスワードを設定する(BIOSの設定画面で行う)
  • 上記のEFS暗号化を実施し、ディスク内の不要なデータを全て削除してから、cipher.exeを使って未使用の領域を全て上書きする(cipher.exe /W:ドライブ名:)
  • 以後、ファイルを削除する際には Eraserなどの削除ツールを利用してデータの上書きを行う

これだけやるとずいぶんリスクが低減されるだろう。さらに証明書スナップインを使ってEFSの復号に必要なユーザの秘密キーをエクスポートし、USBメモリなど外部媒体に保管してからディスク内のキーを削除するとさらに安全性は高まる。(面倒なので私もここまではやっていない。)

ちなみにEFSで暗号化を行う場合には、syskeyモードを2にしてパスワードを設定したほうがいい。それは何故か。EFSは結局のところユーザのパスワードによって保護されているのだが、ローカルユーザのパスワードはSAMファイルに保存されていて、これが比較的簡単に解析可能だからだ。Rainbow Tableを利用するツールでパスワードを解析すると脆弱なパスワード(14文字以内のLanManハッシュの場合)はすぐに判明してしまう。

syskeyによるパスワードを有効にしておくと、このSAMファイルが保護されるため、Windowsユーザのパスワード解析を行うことができなくなる。実はこの場合でもパスワードの初期化は可能なので、ログインすることはできてしまうのだが、パスワードを初期化してしまうとEFSで暗号化したファイルは見ることができなくなるため、重要なデータの安全性は保たれる。

とはいえ、ここまでの対策を全てのPCユーザが今すぐ実施することは到底不可能だろう。それでも現状では自分の情報は自分で守らなければならない。Microsoftのサイトにも有用な情報はたくさんあるので、ユーザにはぜひこういった対策を実施してほしいと思う。

Technorati: , , ,