.
情報の流出経路と対策>盗難・紛失・持出>EFS ~ ファイルの暗号化EFSセキュリティ強化 (TPM)
ネットショップ運用・構築ガイド:目次

ショップ 構築ガイド

情報の流出経路

情報漏洩対策

レンタル ガイド

サーバ構築ガイド

おすすめの書籍

Microsoft WindowsXPオフィシャルマニュアル〈上〉 Microsoft WindowsXPオフィシャルマニュアル〈下〉 Windows XP再インストール完全解決テクニック―Windows98/Me/2000対応 Windows Server 2003 実践ガイド Windows Server 2003 R2 パーフェクトマスター Microsoft Windows Server 2003完全マスター―MCP試験番号70-290/70-291対応

より安全に EFS を活用する(TPM) ~ ノートPC の場合

EFS 暗号化によるファイル・フォルダの暗号化は、複合化に必要な鍵(証明書)の管理、保存される場所が重要なポイントになります。

盗難・紛失時における情報漏洩の可能性について

前ページで説明した EFS 暗号化を利用したデータの持ち運びに関しては、複合化に必要な鍵(証明書) をいっしょに持ち運ばない限り、USB メモリを紛失して他人に渡っても複合化は出来ないため、情報漏洩を防止する事が出来ます。

複合化に必要な鍵を一緒に持ち運ぶケース

モバイル可能なノートパソコンは、デスクトップパソコンに比べ盗難に遭う可能性が高くなります。パソコン内に記録されるデータを EFS 暗号化する事は、ネットワーク経由で流出する情報漏洩対策としては一定の効果はあります。

マイドキュメントごと EFS 暗号化するなど

しかし、ノートパソコンそのものが盗難に遭った場合、複合化に必要な鍵はシステムで管理されているため盗難時の情報漏洩対策にはなりません。つまり、複合化に必要な鍵は分けて管理して意味があります。

ノートパソコン盗難時に EFS 暗号化を有効な対策にするには

Windows ログオン時にユーザー認証を求めるようにするのは、最も基本的で行うべきセキュリティ対策ですが、これらのパスワードはシステムがインストールされているハードディスク内に暗号化されて記録されています。

そのため、CD-ROM から別のシステムがブートされた場合や、ハードディスクが取り出され別のシステムにマウントされた場合、記録された暗号化されたパスワードを取り出すことが出来ます。

認証情報が記録された SAM データベースは暗号化されて記録されていますが、復元するためのパスワードも一緒に保存されています。そのため、Administrator パスワードを復元し、Administrator 権限でログインされてしまいます。

Windows 2000 では Administrator が EFS 回復エージェントとなっているため、EFS により暗号化されたファイルも複合化できてしまうため、盗難時の暗号化対策に効果はない事になります。

Syskey とは

Syskey は、Windows NT から実装されたアカウント パスワード情報が格納された SAM データベースを暗号化し保護するプログラムです。Windows NT テクノロジー OS (Windows 2000 / XP / VISTA) に実装されています。

Syskey の動作

前述した通り、Windows に格納されている認証パスワードは、SAM データベースに記録されており、これらは暗号化されて保存されています。

USBメモリのプロパティ

この SAM データベースに暗号化され記録されているパスワードの複合化は、デフォルトではシステム内に記録されたスタートアップキー を利用して行われるようになっています。

そのため、Windows を起動すると左のようなシステムログインのための UI が表示されるようになります。

つまり、Syskey により、システム内(ハードディスク)に記録されたスタートアップキーが自動的に呼び出され、起動したユーザーに認証を要求します。

この暗号化された SAM データベース には、EFS の複合化に必要な秘密鍵も含まれており、暗号化された SAM データベースを第三者に解読させないようにする必要があります。つまり、SAM データベースを複合するための鍵をローカルディスクに記録しておかない事が重要になります。

Syskey のオプション

Syskey には 3つのモードが用意されています。 Syskey のオプションを変更する事で EFS 暗号化による情報漏洩対策を強化する事が出来ます。

モード1: システムによる自動パスワード

NT 系 OS のデフォルトになります。システム起動時にローカルディスクに記録されたスタートアップ キーを自動的に読み込み、SAMデータベースを復元します。つまり、システム起動前にユーザーは何もする必要がありません。

この方法では、ノートパソコンなどシステム毎、盗難に遭った場合は、前述したようにEFSによる暗号化保護は、意味を成しません。

モード2: パスワードによるスタートアップ

SAM データベースの暗号化を復元するための パスワードを事前に決めておき SAM データベースを復元します。ローカルディスクに記録しておく必要がないため、パスワードがわからない限り、SAM データベースを復元する事ができなくなります。

そのため、ハードディスク内に記録された EFS 暗号化ファイルの複合化を防止する事が出来るようになります。設定可能なパスワードは 12 ~ 128 文字です。

セキュリティ強度はパスワードの強度に左右される事に注意する必要があります。Windows ログインの前に複雑なパスワードをシステムを起動する度に要求することになるため、利便性が低下します。

モード3: フロッピーディスクに保存

フロッピーディスクへ SAM データベースの暗号化を復元するためのスタートアップキーを保存し、システム起動の度にスタートアップ キー が記録された フロッピーディスク を要求するようにする方法です。

フロッピーディスクを安全に管理する事でノートパソコン盗難による情報漏洩対策となりますが、ドライブにディスクが差しっ放しでは意味がありません。また、Windows ドメインに参加していない環境では、フロッピーディスク破損による情報消失のリスクが伴います。(復元不可 フロッピーディスクのバックアップは重要)

つまり、Syskey を モード2 / モード3 で利用する場合は、パソコン内部に SAM データベースを復元するための鍵が存在しないため、異なるシステムで起動されたり、ハードディスクを取り外して別にシステムからアクセスされても、EFS 暗号化ファイルの機密性は保たれる事になります。

Syskey オプションを変更するには

上記、Syskey オプション の変更はいたって簡単です。以下を参照して下さい。

参照 => SysKey ユーティリティを使用して Windows セキュリティ アカウント マネージャ データベースをセキュリティで保護する方法

その他 参考資料

関連 => ラップトップが盗難にあった場合:器機の盗難による脅威を緩和する

セキュリティチップ TPM を搭載したノートパソコン(PC).

上記、Syskey のスタートアップパスワードや フロッピーディスク によるスタートアップ キーは、利便性はよくありません。いずれも、スタートアップ キーの管理は重要であり紛失するとシステムは起動できなくなります。

セキュリティチップ TPM とは

セキュリティチップ TPM (Trusted Platform Module) は、第三者が勝手に取り出す事の出来ない、安全な情報を格納するための記憶領域や、セキュリティ機能を提供するマイクロチップです。

  • プラットフォーム(OS)の検証
    • TCG に準拠したプラットフォームであるかの確認する仕組み
  • 改竄の検証
    • ハードウェア、ソフトウェアが改竄されていないか確認する仕組み
  • 暗号化機能
    • RSA 暗号化処理、乱数発生機能、ハッシュ関数生成など暗号化処理に必要な仕組み
  • 暗号鍵の保護機能
    • 暗号解読に必要な鍵を安全に保護する機能。TPMチップに記録された鍵情報の取り出しを不可能にする仕組み

マザーボード上に直付けされたチップであり、最近のビジネス向けのノートPC に搭載されています。セキュリティチップを搭載した ノートPC は下記ページ、右メニューを参照して下さい。

参照 => 盗難時の情報漏洩対策に重点をおいたノートパソコンの選び方

TPM に EFS 暗号化ファイルの複合化に必要な鍵を保存しておくことで利便性を低下させず、物理的に盗難に合った場合にも対応できる機密性の高い情報保護が行えるようになります。

TPM (Trusted Platform Module) について

このチップは、セキュリティ チップ TPM (Trusted Platform Module) と呼ばれ、仕様策定を進める業界団体 TCG (Trusted Computing Group) に基づいた仕様になっていますが、オープンであるためメーカー独自の仕様が組み込まれる場合もあります。

TCG には、Intel 、AMD 、HP、Microsoft、IBM など業界トップが参加しています。

参照 => キーマンズネット 企業向けノートPC セキュリティチップについて

TPM の仕様には、バージョンがあり TCG の基、策定が進んでいます。バージョンについては、以下を参照して下さい。

参照 => Trusted Computing Group: TPM

Windows VISTA の優位性について

Windows VISTA では、EFS 複合化に必要な鍵を スマート カード(IC カード)に記録できるようになりました。ユーザーは、スマートカードを差し込まなければファイルを開く事が出来ず、また、盗難に合った場合も強固な情報漏洩対策が行えるようになっています。

このメニューのタイトルリスト

情報の流出経路と対策

  1. はじめに ~コンテンツの主旨
  2. 情報の流出経路について
  3. WAN と LAN (ネットワーク)
  4. ISP (プロバイダ)について
    1. お勧め ISP (プロバイダ)
  5. パソコン内に記録される情報

情報漏洩 ~ 盗難・紛失・持出

  1. 組織内部から流出する情報
  2. EFS ~ ファイルの暗号化
    1. 活用例 ~ リムーバブル
    2. セキュリティ強化 (TPM)
  3. BIOS で行うデータ盗難対策

情報漏洩 ~ ネットワーク

情報漏洩 ~ ウイルス

無線LAN のセキュリティ


漏洩対策製品 導入ガイド

ノートPC セキュリティ対策

セキュリティ ソフトウェア

ネットワーク機器 ルータ他

盗難時漏洩防止 ストレージ

メーカー直営ショップ(準備)


ネットショップ開業 基礎知識

ショップ運用に必要なソフト

デジタルカメラ (商品撮影)


ネットショップ タイプ別 特徴

タイプ別 ショップ構築ガイド

決済と代行サービス(作成中)

インターネット広告 (集客)


ホスティング 比較 / 活用

個人/SOHO向け サーバ

ビジネス向け 共用サーバ

アフィリエイトプログラム活用


keyword: ネットワーク

icon専用線サービス

iconロードバランサ(負荷分散装置)

iconIP-VPN

iconモバイルアクセスサービス

iconブロードバンドルーター

iconVoIPゲートウエイ

iconWeb高速化ツール

icon無線LANの基礎と100M超の「MIMO」

iconレイヤー3スイッチ

My Select Goods

P2P無料IP電話

iconSkype(スカイプ)とは?

icon無料IP電話スカイプ>Download

スカイプ 対応フォン(USB)

SKYPE カンファレスフォン BUFFALO  USB対応 Skypeフォン BSKP-U201/SV CG-USBPH01 Skype API対応 コンパクト USBフォン

ELECOM Skype会議用ハンズフリーフォン MS-CO95USV ELECOM SKYPE対応アドレス帳 BT-MG2 WB-2501 Skype標準搭載USBハンディフォン

SONY インターネットテレフォン 「マウストーク」 ブルー[VN-CX1/L] SONY インターネットテレフォン 「マウストーク」 ブライトレッド[VN-CX1/R] GOD ABILITY IPフォン SKYPE対応 USB VOLP PHONE USBハンドセット P5-D

God Ability スカイプ対応USBIPフォン P4-K ハギワラシスコム USBスカイプハンドセット HUD-SKH01 GH-UCM-HS スカイプ対応イヤフォンタイプヘッドセット

.

個人情報漏洩
保護・監視ツール

自分のパソコンから流出する個人情報を未然に防ぐセキュリティソフトです。特定のコードを含む情報が特定のサイト以外へ流れるのをブロックします。ウイルスチェックツールだけでなく、このような機能を持ったセキュリティソフトは必須でしょう。

クレジットカードによるオンライン決済を良く利用される方、サーバをレンタルされているネットショップオーナーの方は、利用中のパソコン経由でもれてしまう個人情報は自分で守る必要があります。


インターネットセキュリティスイート(通常版)

インターネット
セキュリティスイート


プライバシーサービス

プライバシーサービスは、上記、インターネットセキュリティスイートに含まれます。

.
bottom_mark
ページ最上部
ページ最上部 前のページ