EFS 暗号化によるファイル・フォルダの暗号化は、複合化に必要な鍵(証明書)の管理、保存される場所が重要なポイントになります。
前ページで説明した EFS 暗号化を利用したデータの持ち運びに関しては、複合化に必要な鍵(証明書) をいっしょに持ち運ばない限り、USB メモリを紛失して他人に渡っても複合化は出来ないため、情報漏洩を防止する事が出来ます。
モバイル可能なノートパソコンは、デスクトップパソコンに比べ盗難に遭う可能性が高くなります。パソコン内に記録されるデータを EFS 暗号化する事は、ネットワーク経由で流出する情報漏洩対策としては一定の効果はあります。
マイドキュメントごと EFS 暗号化するなど
しかし、ノートパソコンそのものが盗難に遭った場合、複合化に必要な鍵はシステムで管理されているため盗難時の情報漏洩対策にはなりません。つまり、複合化に必要な鍵は分けて管理して意味があります。
Windows ログオン時にユーザー認証を求めるようにするのは、最も基本的で行うべきセキュリティ対策ですが、これらのパスワードはシステムがインストールされているハードディスク内に暗号化されて記録されています。
そのため、CD-ROM から別のシステムがブートされた場合や、ハードディスクが取り出され別のシステムにマウントされた場合、記録された暗号化されたパスワードを取り出すことが出来ます。
認証情報が記録された SAM データベースは暗号化されて記録されていますが、復元するためのパスワードも一緒に保存されています。そのため、Administrator パスワードを復元し、Administrator 権限でログインされてしまいます。
Windows 2000 では Administrator が EFS 回復エージェントとなっているため、EFS により暗号化されたファイルも複合化できてしまうため、盗難時の暗号化対策に効果はない事になります。
Syskey は、Windows NT から実装されたアカウント パスワード情報が格納された SAM データベースを暗号化し保護するプログラムです。Windows NT テクノロジー OS (Windows 2000 / XP / VISTA) に実装されています。
前述した通り、Windows に格納されている認証パスワードは、SAM データベースに記録されており、これらは暗号化されて保存されています。
この SAM データベースに暗号化され記録されているパスワードの複合化は、デフォルトではシステム内に記録されたスタートアップキー を利用して行われるようになっています。 そのため、Windows を起動すると左のようなシステムログインのための UI が表示されるようになります。 |
つまり、Syskey により、システム内(ハードディスク)に記録されたスタートアップキーが自動的に呼び出され、起動したユーザーに認証を要求します。
この暗号化された SAM データベース には、EFS の複合化に必要な秘密鍵も含まれており、暗号化された SAM データベースを第三者に解読させないようにする必要があります。つまり、SAM データベースを複合するための鍵をローカルディスクに記録しておかない事が重要になります。
Syskey には 3つのモードが用意されています。 Syskey のオプションを変更する事で EFS 暗号化による情報漏洩対策を強化する事が出来ます。
NT 系 OS のデフォルトになります。システム起動時にローカルディスクに記録されたスタートアップ キーを自動的に読み込み、SAMデータベースを復元します。つまり、システム起動前にユーザーは何もする必要がありません。
この方法では、ノートパソコンなどシステム毎、盗難に遭った場合は、前述したようにEFSによる暗号化保護は、意味を成しません。
SAM データベースの暗号化を復元するための パスワードを事前に決めておき SAM データベースを復元します。ローカルディスクに記録しておく必要がないため、パスワードがわからない限り、SAM データベースを復元する事ができなくなります。
そのため、ハードディスク内に記録された EFS 暗号化ファイルの複合化を防止する事が出来るようになります。設定可能なパスワードは 12 ~ 128 文字です。
セキュリティ強度はパスワードの強度に左右される事に注意する必要があります。Windows ログインの前に複雑なパスワードをシステムを起動する度に要求することになるため、利便性が低下します。
フロッピーディスクへ SAM データベースの暗号化を復元するためのスタートアップキーを保存し、システム起動の度にスタートアップ キー が記録された フロッピーディスク を要求するようにする方法です。
フロッピーディスクを安全に管理する事でノートパソコン盗難による情報漏洩対策となりますが、ドライブにディスクが差しっ放しでは意味がありません。また、Windows ドメインに参加していない環境では、フロッピーディスク破損による情報消失のリスクが伴います。(復元不可 フロッピーディスクのバックアップは重要)
つまり、Syskey を モード2 / モード3 で利用する場合は、パソコン内部に SAM データベースを復元するための鍵が存在しないため、異なるシステムで起動されたり、ハードディスクを取り外して別にシステムからアクセスされても、EFS 暗号化ファイルの機密性は保たれる事になります。
上記、Syskey オプション の変更はいたって簡単です。以下を参照して下さい。
参照 => SysKey ユーティリティを使用して Windows セキュリティ アカウント マネージャ データベースをセキュリティで保護する方法
関連 => ラップトップが盗難にあった場合:器機の盗難による脅威を緩和する
上記、Syskey のスタートアップパスワードや フロッピーディスク によるスタートアップ キーは、利便性はよくありません。いずれも、スタートアップ キーの管理は重要であり紛失するとシステムは起動できなくなります。
セキュリティチップ TPM (Trusted Platform Module) は、第三者が勝手に取り出す事の出来ない、安全な情報を格納するための記憶領域や、セキュリティ機能を提供するマイクロチップです。
マザーボード上に直付けされたチップであり、最近のビジネス向けのノートPC に搭載されています。セキュリティチップを搭載した ノートPC は下記ページ、右メニューを参照して下さい。
参照 => 盗難時の情報漏洩対策に重点をおいたノートパソコンの選び方
TPM に EFS 暗号化ファイルの複合化に必要な鍵を保存しておくことで利便性を低下させず、物理的に盗難に合った場合にも対応できる機密性の高い情報保護が行えるようになります。
このチップは、セキュリティ チップ TPM (Trusted Platform Module) と呼ばれ、仕様策定を進める業界団体 TCG (Trusted Computing Group) に基づいた仕様になっていますが、オープンであるためメーカー独自の仕様が組み込まれる場合もあります。
TCG には、Intel 、AMD 、HP、Microsoft、IBM など業界トップが参加しています。
参照 => キーマンズネット 企業向けノートPC セキュリティチップについて
TPM の仕様には、バージョンがあり TCG の基、策定が進んでいます。バージョンについては、以下を参照して下さい。
参照 => Trusted Computing Group: TPM
Windows VISTA では、EFS 複合化に必要な鍵を スマート カード(IC カード)に記録できるようになりました。ユーザーは、スマートカードを差し込まなければファイルを開く事が出来ず、また、盗難に合った場合も強固な情報漏洩対策が行えるようになっています。