ここではパソコン内に記録されたデータが第三者に盗まれることを防ぐために行える対策について紹介します。
BIOS(バイオス)とは、ハードウェア自信が持つハードウェアの制御を行うためのプログラムです。このプログラムは、通常、マザーボード上のフラッシュメモリに記録されており、設定を変更した場合もフラッシュメモリに記録されます。
PC/AT 互換の場合、デスクトップ、ノートPC のマザーボードには、CPU をはじめ、ハードディスクやメモリ、マウス、キーボード、 USB など様々なデバイスが存在し、基本的な振る舞いを BIOS で決定しています。
また、オンボードにある特定のデバイスを無効にする事も出来ます。この場合、OS はデバイスを認識する事は出来なくなります。
拡張カードの中には、BIOS を持つものもあります。マザーボード上の BIOS は通称 システムBIOS と呼ばれています。
BIOS には、AWord BIOS、AMI BIOS、Phoenix BIOS などの種類があり、インターフェイスに違いはありますが、PC を構成するハードウェアの多くは共通しているため、設定項目・内容は概ね共通しています。
オンボード上に乗せるビデオカードやインターフェイスなどチップセットの違いによって同じBIOS でも設定項目は異なります。(機種により異なる)
電源を入れた直後に、"Delete キー" や "ファンクションキー" を押し続けます。BIOS の種類やメーカーによって SYSTEM BIOS を呼び出すキーは異なりますが、パソコンの電源を入れた直後に BIOS を呼び出すためのキーが表示されているので分かります。
前述した通り、BIOS はオンボード上の様々なデバイスの基本的な動作を決定していますが、何れの システムBIOS でもセキュリティ上、問題になる設定項目があります。
どのような PC の システムBIOS であっても 、"起動ドライブの優先順位" を変更する項目があります。起動の仕組みから説明すると話が長くなりますので端的にいうと、ここで起動するデバイスの優先順位を決めています。
上は AMI BIOS 、下は AWORD BIOS ですが、何れも優先させるデバイスの変更が行えます。ハード名が直接表示されるマザーボードや、デバイス名でしか表示されないマザーボードがありますが、行っている事は同じです。
例えば、1st Boot Device を Floppy 、2st Boot Device を CD-ROM にした場合、先ず、Floppy にブートセクタをスキャンしブートローダがなければ CD-ROM をスキャンします。ハードディスクに システム (Windows) が存在しても、CD-ROM 内にブート可能なシステムがあるとそちらを優先して起動します。
Windows (システム) 側で行うファイルの所有権やパスワードなどの設定は、あくまでそのシステム内でのセキュリティ対策であるため、他のシステムで起動された場合は全く意味を持ちません。物理的にハードディスクを取り出しているの同じです。
つまり、CD-ROM でシステムが起動された場合、極めて短時間でパソコン内のデータを USB メモリ等を利用して盗む事が出来てしまう事を意味します。
例えば、いくらシステム管理者側で USB メモリの使用を制限しても、他のシステムから起動されると USB メモリは使えてしまいます。
他のシステムからブートされないようにするには、システムが入ったハードディスク以外のブートは全て禁止します。BIOS が英語の場合は、 Disable を選びます。
左は、AWORD BIOS の例です。このマザーボードでは 1~4 まで起動順位を指定できますが、1st Boot Device 以外は全て Disable にします。これで、Floppy や CD-ROM から他のシステムで起動できなくなります。
実務において他のドライブからシステム起動が必要になる事は殆どありません。例えば、システムをインストールし直す、ハードディスク消去ツールを使用してシステムディスクを完全消去する必要がある、深刻なシステム障害で他のシステムからバックアップを試みる、といった時は必要になります。
いずれも滅多に行う作業ではなくシステム管理者が行う仕事なので、普段は他のシステムからブートできないようにして、組織内部でのデータ盗難に備える必要があります。
忘れてはいけないのが、システムBIOS にパスワードを設定する作業です。上記、起動デバイスの変更は第三者が行えないようにしなければ意味がありません。
殆どの システム BIOS では パスワードによる保護が行えます。
上が AWORD BIOS 、下が AMI BIOS ですが、BIOS のセキュリティ関連の項目に BIOS パスワードを設定するメニューがあります。
BIOS のパスワードを忘れると一般の方は厄介な事になりますので、忘れないようにして下さい。 また、会社から支給されるパソコンであれば、必ずシステム管理者に相談するようにして下さい。
ノートパソコンやメーカー製デスクトップパソコンでは、BIOS パスワードのリセット方法が示されていない事の方が多いようです。そのため、組織内でこれらの対策を行う場合はシステム管理者だけが知るパスワードで統一し、管理者側で設定した方が安心です。
これらの設定情報はマザーボード上のフラッシュROMに記録されます。特に、ノートパソコンの場合、セキュリティの観点からBIOSの設定を初期化する方法は公開されていません。一般の方は BIOS に関するトラブルは基本的にメーカー送りで有料の修理扱いと考えて良いかと思います。
BIOS パスワードは、書き換え可能なフラッシュROMに記録される事が多く、パスワードを忘れてしまった場合、ジャンパーピンなどでショートさせてBIOS を初期化する事で消すことが出来ます。
中には、パスワードをリセット対象としないように EEPROM に書き込む製品も存在するようです。このケースではメーカー送りになります。
しかし、このようなBIOSリセット作業は解体が必要で短時間で行える作業ではないため、組織内における情報漏洩対策として高い効果があります。むしろ、データ盗難対策として行うべき対策です。
あくまで、BIOS で行う対策であるため、ハードディスクが物理的に取り外された場合は意味がありません。つまり、盗難時の情報漏洩対策にはならない事に注意する必要があります。
ハードディスク パスワードとは、ハードディスク自信が、アクセスする際にパスワードを要求する仕組みです。 ビジネス向けの ノートPC の多くは、HDパスワードに対応したハードディスクを搭載しており、上記 システムBIOS から HD パスワードの設定が行えるようになっています。
HDパスワードに対応しているノートパソコン、及び、セキュリティを重視したノートパソコンの選び方は、下記ページの右メニューで紹介しています。
参照 => 盗難時の情報漏洩対策に重点をおいたノートパソコンの選び方
ハードディスクが認証を求めるため、ハードディスクを他のシステムに接続してもパスワードを要求します。そのため、盗難にあった場合の情報漏洩対策として効果があります。
ハードディスク パスワードは、上記、システムBIOS のパスワードに比べ簡単にリセットする事はできません。(メーカー側で非公開) そのため、パスワードを忘れたら二度と中の情報へアクセスする事は出来なくなります。
また、同型のハードディスクの基盤のみを交換する事で使えてしまう可能性も考えられ、パスワードによっては総当り攻撃によって突破される可能性もあります。ですが盗難時における情報漏洩対策としては一定の効果はあります。
メーカーサポートでパスワードの解除を行う可能性もあります。ハードディスクの所有者を判断できない、又はする仕組みを提供しているという話は聞きませんし、メーカーのサポート次第という部分もあるかと思います。
ハードディスク パスワードは、簡単に行える盗難・紛失時の情報漏洩対策であり、セキュリティに対する意識の高まりから 外付け ハードディスクにもこのような仕組みを取り入れる製品も出てきています。
左の写真は 省スペース・モバイル向けの USB ポータブルHD ですが、ハードディスク パスワードにより、ドライブをロックする機能を持っています。
メーカーサイト => 耐荷重性アルミケース採用 USBバスパワー対応 HandyDrive
■ Yahoo! Shopping の最安値|楽天市場の最安値 |Amazon 価格
重要なデータは内部に記録せず、外付けドライブで管理し持ち運ぶと安全性も増します。