PCのBIOSパスワードは効果なし。

まだまだ続く個人情報漏えい事故。

その度に、『…… なお、盗難されたPCにはパスワードが設定されています。……』といった断り書きがあることが多々あります。
以前のBlogにも書きましたが、何に、どのようにパスワードを設定しているのでしょう。

特にファイル暗号ソフトなど、クライアントPC保護対策ソフトウェアをインストールしていない場合には、この"パスワード"とは

  • BIOSの起動時に設定するパスワード
  • ハードディスクに設定するパスワード
  • OSのユーザのパスワード

のいずれかであると考えることができるでしょう。しかし、重要な情報、個人情報が保存されているハードディスクをPCから取り外し、他のPCに接続することで簡単にこれらのパスワードは無意味なものになってしまいます。したがって、このようなパスワードが設定されているから安心と考えるのは非常に問題です。

では、実際にはどのような方法でノートPCのデータを保護すれはいいのでしょうか。

僕が『ユーザビリティ&セキュリティ&コストパフォーマンス』のバランスからいいのではないかと考える対策は、Windows XP ProfessionalのEFS(Encrypting File System)を使用して重要なデータはハードディスク内では暗号化しておくということです。
ただし、このときにEFSで使用する暗号鍵をTPM(Trusted Platform Module)と呼ばれるチップ内に保管します。暗号アルゴリズムとしては、Windows XP Professional SP1以降であれば、AES 256bitでファイルが暗号化されますので、問題ないでしょう。(Windows 2000の頃にはDESでしたので、オススメできませんでしたが。)また、TPMというチップ内に暗号鍵を保管することによって、そのチップが搭載されているPCでしか重要なデータを復元することはできなくなります。ここで、「それではそのチップも取り外せばいいじゃん」って思われるかもしれません。しかし、このTPMは耐タンパー性チップであるため取り外した瞬間に中のデータが消去される仕掛けになっています。

このTPMTCG(Trusted Computing Group)というIntelIBM、HP、Microsoftなどがメインとなり、さらに数々のコンピュータベンダーが参加して「安全なコンピュータ・ハードウェアとソフトウェア」を実現するためのフレームワークを設計している組織が考案したものです。
TCGのことは非常に難しいですが、さらに知りたいという方は下のWebサイトを参考にされるといいと思います。

また、最近では各社からTPMを搭載したPCが発売されていますので、チェックしてみるといいでしょう。

ファイル暗号を使用しない場合でも、そもそもノートPCのようなクライアントPCにはデータを保管させないというThin Clientの考え方も非常に有効です。そのためのソリューションも最近ではいくつかのメーカから発表されています。

この場合に、気になる点は、やはりネットワーク接続環境がないとまったくそのノートPCは使えないという点です。例えば、無線LANPHSが届かない場所で、仕事しなければならない状況ではどうすればいいのか。そういったリスクへの対処をどのように提案できるか、想定しているかを知りたいですね。つまり、セキュリティを優先させた挙句、業務の生産性が落ちるようでは、真の普及は難しいと考えるからです。