ノートPCを持出す際の安全対策

以前も書いたノートPCの持出に関しての最新の状況。紛失、盗難に対してどのような対応が可能か。

ドライブの暗号化は必須

パスワードによるロックを行っていてもドライブの暗号化をしていない場合はutilman.exeをcmd.exeに置き換えるという方法でAdministratorアカウントを作成出来てしまう。そもそもこの方法はパスワードを忘れた場合の公式(?)な対応方法となっている。ドライブを暗号化することによりutilman.exeを置き換えることが出来なくなる。また、ドライブを暗号化していない場合、HDDを取り出し他のPCに繋げることで読めてしまう。暗号化には条件がありSurface GoはWindows Homeで暗号化が可能だがASUS E203MAはWindows ProにしてBitLocker暗号化を使用する必要がある。

サインインの防御

ドライブの暗号化をしていてもWindowsにサインインされてしまうと中身が見れてしまう。サインインの手段は大きく以下の3つがある。

  • 生体認証(Windows HEELO)
  • PIN認証
  • パスワード認証

これらのうち生体認証が突破される可能性は低いと見ていいだろう。不可能ではないが拾ったPCに対しての行為としては考えにくい。以前はPIN認証は数字しか使えなかったが現在はPIN認証でも英字・記号が使え(PINは本来、数字という意味があったはず)パスワードと何が違うの?と思う人もいるだろう。最大の違いは保管場所でPINはTPMという専用のハードウエアで管理されている。パスワードはドライブに保管されている。TPMを不正に突破するのは現時点ではまず無理だろう。以前は数字のみでフル桁入力を行うと勝手に判別をおこなって(つまり桁数がバレる)いたので自分もさんざん文句をいったが現在は英字・記号が使えエンターキーを押さないと判別いかないようになっているのでかなり安全と思われる。一番突破されやすいのがパスワードだろう。MSアカウントの場合、クラウドで管理されているしローカルアカウントでも一定回数間違えると端末が再起動するので解読までに時間がかかり安全そうではある。しかしローカルアカウントでもMSアカウントでもドライブ上にパスワードを暗号化(正確には「ハッシュ化」だが今回は暗号化という単語を使用する)したデータがあるためそれを解析される可能性がある。本来はオンラインアカウントであるMSアカウントのパスワードがドライブにあるのはオフラインでもサインイン出来るようにするための模様。MSアカウントの場合、オフラインはPINのみとすればいいのだがいろいろと事情があるのだろう。このようにパスワードの情報は手許にあるPCから取り出して解析するので好きなだけトライをすることが可能である。最近のPCの性能では1秒間に数十億回のパターンを確認出来るらしい。パスワードの解析にかかる時間はパスワードの長さに依存し6桁ではすぐで解読されてしまう。「現時点」では総務省は10桁以上を推奨している。10桁あれば解析にかかる時間が年単位なので拾ったPC相手にはそこまで執着しないだろう。「現時点」ではといっているのはマシン性能の向上で現在年単位の時間が必要なものが数時間で処理出来るようになる可能性があるからである。絶対に解けない暗号化というのはなく解くのに時間をかけさせることである。長いパスワードは入力が面倒であるが端末へのサインインは生体認証、PINを使えば負担は減らせる(PINも8桁程度は必要とどこかに書いてあった気がする)。オンラインでMSアカウントにアクセスする場合は信頼するデバイスに登録すれば面倒なのは初回のみだしオンラインのアクセスもWindows HELLOが使えるようになりそう(FIDOという業界標準への対応)。

サインインされた場合の防御

サインインされてしまうと端末の中身はとり放題となってしまう。なので極力端末のドライブにはデータを置かないといった対応になる。究極はシンクライアントだが個人でシンクライアントの運営はハードルが高い。可能なものとしてはブラウザの設定で履歴が残らないようにしファイルはクラウドストレージ保管。OfficeであればOffice Onlineを使用。ブックマークもリスクなのでクラウドストレージに保管。とやってもこの程度だろうしそれでも痕跡があちこちあるだろう。やはりサインインされたら負けだろう。

ということで紛失、盗難に対してはドライブを暗号化し生体認証を用いてPINおよびパスワードは出来だけ長くする、といった対応でサインインを諦めて貰うという対応になる。

Pocket

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

17 + ten =