まだまだ続く個人情報漏えい事故。
その度に、『…… なお、盗難されたPCにはパスワードが設定されています。……』といった断り書きがあることが多々あります。
以前のBlogにも書きましたが、何に、どのようにパスワードを設定しているのでしょう。
特にファイル暗号ソフトなど、クライアントPC保護対策ソフトウェアをインストールしていない場合には、この"パスワード"とは
- BIOSの起動時に設定するパスワード
- ハードディスクに設定するパスワード
- OSのユーザのパスワード
のいずれかであると考えることができるでしょう。しかし、重要な情報、個人情報が保存されているハードディスクをPCから取り外し、他のPCに接続することで簡単にこれらのパスワードは無意味なものになってしまいます。したがって、このようなパスワードが設定されているから安心と考えるのは非常に問題です。
では、実際にはどのような方法でノートPCのデータを保護すれはいいのでしょうか。
僕が『ユーザビリティ&セキュリティ&コストパフォーマンス』のバランスからいいのではないかと考える対策は、Windows XP ProfessionalのEFS(Encrypting File System)を使用して重要なデータはハードディスク内では暗号化しておくということです。
ただし、このときにEFSで使用する暗号鍵をTPM(Trusted Platform Module)と呼ばれるチップ内に保管します。暗号アルゴリズムとしては、Windows XP Professional SP1以降であれば、AES 256bitでファイルが暗号化されますので、問題ないでしょう。(Windows 2000の頃にはDESでしたので、オススメできませんでしたが。)また、TPMというチップ内に暗号鍵を保管することによって、そのチップが搭載されているPCでしか重要なデータを復元することはできなくなります。ここで、「それではそのチップも取り外せばいいじゃん」って思われるかもしれません。しかし、このTPMは耐タンパー性チップであるため取り外した瞬間に中のデータが消去される仕掛けになっています。
このTPMはTCG(Trusted Computing Group)というIntel、IBM、HP、Microsoftなどがメインとなり、さらに数々のコンピュータベンダーが参加して「安全なコンピュータ・ハードウェアとソフトウェア」を実現するためのフレームワークを設計している組織が考案したものです。
TCGのことは非常に難しいですが、さらに知りたいという方は下のWebサイトを参考にされるといいと思います。
- [Intel] TCG (Trusted Computing Group) を通じて PC のセキュリティ向上を目指すインテル
- [IBM] IBM PCセキュリティー・ソリューション - TCGとは - Japan
- [IBM] IBM パソコン セキュリティー セキュリティー・チップ(TPM) - Japan
また、最近では各社からTPMを搭載したPCが発売されていますので、チェックしてみるといいでしょう。
ファイル暗号を使用しない場合でも、そもそもノートPCのようなクライアントPCにはデータを保管させないというThin Clientの考え方も非常に有効です。そのためのソリューションも最近ではいくつかのメーカから発表されています。
- [HITACHI] モバイルPCの盗難や紛失などに対し抜本的な情報漏洩防止を実現する「セキュアクライアントソリューション」の販売を開始
- [日本HP] 情報漏えい対策、情報管理機能を強化したネットワーク端末HPシンクライアントを発表
- [FUJITSU Japan]セキュリティを強化した「シンクライアント・ソリューション」提供開始
この場合に、気になる点は、やはりネットワーク接続環境がないとまったくそのノートPCは使えないという点です。例えば、無線LANやPHSが届かない場所で、仕事しなければならない状況ではどうすればいいのか。そういったリスクへの対処をどのように提案できるか、想定しているかを知りたいですね。つまり、セキュリティを優先させた挙句、業務の生産性が落ちるようでは、真の普及は難しいと考えるからです。