【モバイルPC】安全に持ち歩くには。

※個人的な考えに基づいて行っているものなので安全を保証しているわけではありません。
ここでいう「安全」とは物理的なものではなくセキュリティ的なもの。
モバイルPCはその使い方からどうしても紛失・盗難を意識する必要がある。それに加えてパスワードの盗み見。
マイクロソフトなんかはPINを使えば安全みたいなことを言っているがそれはクラウドのパスワードが安全なだけであってローカルのHDD内のデータはどうするんだ?と。究極はシンクライアントだが素人ではそこまでは難しい(自宅で常時稼働させてRDPすればそんなことない?)。
ということで2因子認証+HDDの暗号化を目指すことにした。ここまでやれば絶対ではないとしても自宅にあるPCと同等なレベルで中身の保護ができるのではないか。
2因子認証はパスワードの他に別の何か(指紋とかUSBキーとか)がないとログイン出来なくするもの。HDDの暗号化はPCからHDDを抜き取って別のPCで中身を読まれることを防ぐもの。
後者に関しては最近のWindows 10のPCであればMSアカウントでログインすればOSの標準機能として可能だ。Windows 10 Homeの場合、設定→システム→バージョン情報でデバイスの暗号化の項目がある。Proの場合はBitlockerを使用して暗号化すればよい。
問題は前者でそんなものあるのかなと調べたところYubiKeyというものでWindowsのログイン時にUSBにYubiKeyを刺さないとログイン出来なくすることが可能であることがわかった。
YubiKey Edge で 2段階認証 ~ Windows10編というサイトに詳しく書いてあるのでそこを参考にさせて貰った。YubiKeyは生体認証ではなくUSBKey。なのでPCと同時に紛失・盗難してしまっては意味がないことに注意。
その他、作業時の考慮点は

  • ツールの名前がYubiKey Personalization Tool (preferred)に変わっている。
  • YubiKey Personalization Toolsで作成したSecret KeyはSlot 2に書き込む必要がある。
  • 登録作業は対象となるPCでなくても可。

という事くらいか。
そしてログインにYubiKeyを使わせたいPCでYubiKey Logon Administration(OS Logon Toolsとなっている)のインストール、設定を行う。
後は書いてあるとおり。再起動した際にYubiKeyがなければログイン出来ないはず…が、ログイン出来る、何で?
当該サイトからリンクされている公式サイトに書いてあるがローカルアカウントでないとダメなようだ。
ここで困ってしまうのが今回対象としているPC、Windows 10 Homeなのである。Homeエディションで暗号化をするためにはMSアカウントでログインする必要がある。ProならばローカルアカウントでBitlockerが使えるのだが。今回はYubiKeyの動作を確認したいので暗号化を解除してローカルアカウントに一度変更することにした。
するとYubiKeyを刺していない状態では正しいパスワードを入力してもログイン出来ないことを確認。入力にPINを使用しても同じ(ローカルアカウントでもPINは使える。意味があるかは不明)。これでログインを突破されることはなくなった。なお、ログイン後はYubiKeyを外せるのでUSBスロットが占領されることもない。しかし、ログインパスワードを突破するのとHDDを他のPCに繋いで読み取るのとどちらが簡単なんだろう?やはり暗号化も対応したいな。OSをProに変更するかサードパーティー製のアプリで対応するか。現在、ウィルス対策ソフトはAviraの有償版を使用しているがもう少し足せば暗号化も出来る。期限が冬なのでその時考えるか。

今回購入したYubiKeyはYubiKey 4というもの。いくつか種類がある。Security Keyは今回のWindowsログインには使用出来ないらしい。
YubiKey製品一覧 | CloudGateというサイトに説明がある。
あまり持ち歩かないのであれば刺しっぱなしを前提としたNanoでもよかったか?ただ、USBスロットが塞がるのでログイン後に外すし普段はYubiKey認証を無効にしておけいいのでNanoである必要もないか。
またYubiKeyはWindowsのログイン認証以外にもgoogle等の2因子認証にも使える模様(本来の使い方はこっち?)。なので機能として一番多くに対応している4がお勧めかと。

今回購入したYubiKey 4

小型のYubiKey 4-Nano

普段使っているウィルス対策ソフトの上位版。これならHDDの暗号化が出来る。

Pocket

【モバイルPC】安全に持ち歩くには。」への1件のフィードバック

  1. ピンバック: 【ASUS T100HA】Windows 10 Proにして安心モバイル。 | BMW and moreのデジタル玉国

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

2 × 1 =