|
|
|
|
Microsoft Answers では Windows や Office などの製品についての情報交換が行えます。
下記のページでは、 Microsoft Answers の情報の検索方法、質問の投稿方法、質問へのアドバイスの投稿方法、Windows Live ID の取得方法など、画像つきでご案内しています。ご利用の際には、是非一度ご参照ください。
以前、BitLockerで暗号化したドライブ(外付け)にあるバックアップイメージ(市販のバックアップソフトのという意味です)を使ってパソコンを復元できないか?という質問をしました。最終的にはMSに質問しましたが、回答はWinRE環境でバックアップイメージを認識できないので復元はできないとのことでした。
今回はBitLockerとEFSによるフォルダーの暗号化について伺います。
実は、見られては困る書類などもパソコンに保管してあります。パソコンはネットに常時接続するものなので、ハッカーなどに不正アクセスで盗み見られるのが心配です。セキュリティソフトは入っていますが、それだけでは心配です。
BitLockerの説明などを読むと、「ハッカーなどの不正アクセスにより~云々」とあり、ネット環境でのハッカーの不正アクセスから情報が漏えいするのを防ぐ機能もあるように当初は思いました。
機密書類を入れたドライブは常時使用するもので、ドライブでBitLocker(To GO)を有効にしても、常に「ロックを解除」した状態で使います。
ロックを解除する方法は自分の環境では「パスワード」になります。BitLockerではロックを解除しておいた場合、常時接続ですと、不正アクセスの情報漏えいに対しては無力と考えれば良いでしょうか?この辺のことをハッキリと分かりやすく書いたものがなかなか見つからずここで伺います。
また、自分が望むようなセキュリティの実現には、EFSによるフォルダーの暗号化が適していると考えても良いでしょうか?
EFS暗号化の場合、パスワード等でロックを解除する等の必要はまったくなく、OSの証明書ストアにデジタル証明書が保管されていれば、暗号化、復号化を意識することなくシームレスに使えるというものだと思います。他のOSを使っている外部からのハッカーからの不正アクセス等があっても、ハッカーはデジタル証明書を持っていないので内容を読むことはできないということなのだと思います。(もちろんBitLockerのようにパソコン自体の廃棄、盗難に対しては全く無力ですが・・)
まとめ・・パソコンの一定の場所に保管した書類を不正アクセスから守る方法としては、BitLocker(ロック解除で使う場合)は無力でEFS暗号化が効力があるという解釈で良いのでしょうか?というのが質問です。
よろしくお願いします。
まず、BitLocker、BitLocker To Go、EFS がどのようなリスクから保護をして、どのように復号しているかを説明しましょう
・BitLocker
許可をしていない第三者がハードディスクを取り外して、あるいは別の OS などで PC を起動して、ハードディスクからデータを取り出そうとした場合に対する保護
復号: OS 起動時に認証し、認証に成功したらハードディスクを復号/暗号しながら ハードディスク IO をする
・BitLocker To Go
リムーバフルメディアを紛失した等ので、許可をしていない第三者が入手したリムーバブルメディアからデータを取り出そうとした場合の保護
復号: パスワード認証をし、パスワード認証が成功したらリムーバルメディアに対して復号/暗号しながら IO をする
・EFS
許可をしていない者がデータファイルを開こうとした場合の保護
復号: EFS 暗号化ファイルをアクセスする際に、利用者の秘密鍵で復号をし(認証といえます)、復号ができたら対象ファイルに対して復号/暗号しながら IO をする
これらの暗号化テクノロジーに対して共通に言える事は、許可をした者に対しては復号が許されている点です(許可された利用者が復号できない暗号は無意味ですね)。
許可された者の顔をして操作されると、EFS も含めて心配されている
> ロックを解除しておいた場合、常時接続ですと、不正アクセスの情報漏えいに対しては無力と考えれば良いでしょうか?
の状態になっています。
許可された者になりすまされないように、Windows のログオン認証でアカウントそのものを保護しています。
EFS は対象ファイルをアクセスする際に認証されますが、アクセスしているアカウントの秘密鍵を使っていますので、許可された利用者がログオンしている時にユーザープロセスとして動作しているプログラムはアクセスが許可されています。(これが出来ているので、Word とか Excel で EFS で暗号化されているファイルに対して操作ができています)
つまり、悪意を持った第三者が、ユーザープロセスで動作するマルウェアを仕込めば(大方のマルウェアはユーザープロセスで動作します)、EFS の保護をかわしてアクセスする事が可能となります。
ご希望のセキュリティレベルを確保するには、自動認証をするタイプはダメで、操作する都度に意図的に認証して復号するタイプの認証が必要になります。(復号している間にアクセスされるリスクは残ります)
MS のプロダクトでこの要求に一番近いのは、BitLocker To Go で、利用する際にロック解除し、使い終わったらマメにロックするって使い方をした場合になります。(使い勝手は良くありませんが、セキュリティとのトレードオフなので仕方ありません)
使い勝手を考えると現実的ではないので、暗号化をした上でインターネットから隔離した環境で使用するのが一番現実的だと思います。
AD 環境であれば、RMS を使って、持ち去られた Office のデータを保護する事は可能ですが、今回の要求に合致するのか不明なので割愛します。
> パスワード認証のBitLoclerも普段ロックしておくのであればOKということですね
ロックされている間は安全ですが、アンロックされている時間は危険にさらされますので万全というわけではありません。
> 必要なときだけ接続し、あとは切断しておくような、物理的なスイッチなどがあれば
セキュアデータを操作する時は LAN ケーブルを抜いておくとか、無線 LAN を OFF にするのが良いでしょう。ただし、これで保護できるのはリモート操作タイプだけで、自律動作するタイプには無力ですね。
> なりすまし には無力ということですね
なりすましというより、不正なプログラムをインストールされてしまう(マルウェアに感染した)状態だと、BitLocker/EFS は無力となります。
逆に、なりりすましに対してはパスワード運用(推測されにく長い複雑なパスワードを定期的に変更する等)や認証方法の高レベル化でアカウント保護は可能ですね。
格納されているデータがハイセキュリティを要求されるものであれば、セキュリティレベルの異なる PC を使い分けるくらいの対処は必要になるかと思います。
まず、BitLocker、BitLocker To Go、EFS がどのようなリスクから保護をして、どのように復号しているかを説明しましょう
・BitLocker
許可をしていない第三者がハードディスクを取り外して、あるいは別の OS などで PC を起動して、ハードディスクからデータを取り出そうとした場合に対する保護
復号: OS 起動時に認証し、認証に成功したらハードディスクを復号/暗号しながら ハードディスク IO をする
・BitLocker To Go
リムーバフルメディアを紛失した等ので、許可をしていない第三者が入手したリムーバブルメディアからデータを取り出そうとした場合の保護
復号: パスワード認証をし、パスワード認証が成功したらリムーバルメディアに対して復号/暗号しながら IO をする
・EFS
許可をしていない者がデータファイルを開こうとした場合の保護
復号: EFS 暗号化ファイルをアクセスする際に、利用者の秘密鍵で復号をし(認証といえます)、復号ができたら対象ファイルに対して復号/暗号しながら IO をする
これらの暗号化テクノロジーに対して共通に言える事は、許可をした者に対しては復号が許されている点です(許可された利用者が復号できない暗号は無意味ですね)。
許可された者の顔をして操作されると、EFS も含めて心配されている
> ロックを解除しておいた場合、常時接続ですと、不正アクセスの情報漏えいに対しては無力と考えれば良いでしょうか?
の状態になっています。
許可された者になりすまされないように、Windows のログオン認証でアカウントそのものを保護しています。
EFS は対象ファイルをアクセスする際に認証されますが、アクセスしているアカウントの秘密鍵を使っていますので、許可された利用者がログオンしている時にユーザープロセスとして動作しているプログラムはアクセスが許可されています。(これが出来ているので、Word とか Excel で EFS で暗号化されているファイルに対して操作ができています)
つまり、悪意を持った第三者が、ユーザープロセスで動作するマルウェアを仕込めば(大方のマルウェアはユーザープロセスで動作します)、EFS の保護をかわしてアクセスする事が可能となります。
ご希望のセキュリティレベルを確保するには、自動認証をするタイプはダメで、操作する都度に意図的に認証して復号するタイプの認証が必要になります。(復号している間にアクセスされるリスクは残ります)
MS のプロダクトでこの要求に一番近いのは、BitLocker To Go で、利用する際にロック解除し、使い終わったらマメにロックするって使い方をした場合になります。(使い勝手は良くありませんが、セキュリティとのトレードオフなので仕方ありません)
使い勝手を考えると現実的ではないので、暗号化をした上でインターネットから隔離した環境で使用するのが一番現実的だと思います。
AD 環境であれば、RMS を使って、持ち去られた Office のデータを保護する事は可能ですが、今回の要求に合致するのか不明なので割愛します。
ご回答をありがとうございます。
やはり認証した状態ではだめなのですね。
BitLocker To GOが一番適しているということはTMPによる自動認証ではなく、パスワード認証のBitLoclerも普段ロックしておくのであればOKということですね。
外付けHDDもハードウェア的暗号化(500GBの暗号化が瞬時)を導入しましたが、これも結局パスワードでロックを解除した状態ではまったく無力のようです。
暗号化はした上で、ネット環境から隔離しておくのが良いとのこと。その通りなのだと思います。しかし、メインのパソコンから閲覧するわけで、メインのパソコンがネットで接続されている以上、
そこから閲覧できるものもネットに接続ということになってしまいます。必要なときだけ接続し、あとは切断しておくような、物理的なスイッチなどがあれば良いのですが・・・。
>ユーザープロセスとして動作しているプログラムはアクセスが許可されています
ですから、エクセルなどで、EFS暗号化内の目的のファイルが開けるのですね。ユーザープロセスで動作するマルウェアというのも仕込めてしまうのですね。簡単に言うと成りすましといういう状況なのですね。であれば、EFSも今回想定の使用方法では無力ですね。
各暗号化に共通なのは、認証が必要ですが、認証されていることになってしまった場合=なりすまし には無力ということですね。
個人的に使用のパソコンなのでパスワードによるログオン認証は不要と思っていましたが、なりすましを少しでも回避するにはパスワードも必須ということなのですね。
> パスワード認証のBitLoclerも普段ロックしておくのであればOKということですね
ロックされている間は安全ですが、アンロックされている時間は危険にさらされますので万全というわけではありません。
> 必要なときだけ接続し、あとは切断しておくような、物理的なスイッチなどがあれば
セキュアデータを操作する時は LAN ケーブルを抜いておくとか、無線 LAN を OFF にするのが良いでしょう。ただし、これで保護できるのはリモート操作タイプだけで、自律動作するタイプには無力ですね。
> なりすまし には無力ということですね
なりすましというより、不正なプログラムをインストールされてしまう(マルウェアに感染した)状態だと、BitLocker/EFS は無力となります。
逆に、なりりすましに対してはパスワード運用(推測されにく長い複雑なパスワードを定期的に変更する等)や認証方法の高レベル化でアカウント保護は可能ですね。
格納されているデータがハイセキュリティを要求されるものであれば、セキュリティレベルの異なる PC を使い分けるくらいの対処は必要になるかと思います。
ご回答をありがとうございます。
>格納されているデータがハイセキュリティを要求されるものであれば、セキュリティレベルの異なる PC を使い分けるくらいの対処は必要になるかと思います。
やっぱり基本はそこなんですね。パソコンはマルチタスクなので注意が必要ということですね。ネットバンキングなんかやるパソコンで、ほかのいろいろなサイトを興味本位で覗いていては危険なことになりかねませんしね(キーロガー他に感染など)。
友人の多くも、少し古くなったパソコンをオフラインでワープロ専用機(これは関係ありませんが・・)や機密データを扱うパソコンに活用しているようです。
1台のデスクトップでなんでもかんでもというのがそもそもいけないのでしょうね。
結局はそういう結論になるのでは、と薄々は感じていました。ありがとうございました。
こんにちは
Murashima Syuichi さん、アドバイスありがとうございます
Windows 疑問 2393さん、Microsoft Answers のご利用、ありがとうございます
その後の様子はいかがでしょうか
今回は私のほうで、参考となりそうなアドバイスに「回答としてマーク」させていただきます
「回答としてマーク」を取り消すこともできます
今後とも Microsoft Answers をごひいき下さい
返信をありがとうございます。
その後いろいろ考えました。
HDDのように何度もランダムに読み書き(10万回可能)ができるDVD-RAMをBitLocker TO GOで暗号化し、必要なときだけPCのドライブに入れて使うとう方法が安心かな、と思いました。
今後は「回答としてマーク」という機能も使わせて頂きます。
統合するスレッドの ID を入力
不適切な発言を報告するには、サインイン または サインインせずに続行
ご利用ありがとうございます。
|
|
|
上記のいずれのアカウントも持っていない