セキュリティ管理 ‐ 2005 年 2 月
ラップトップが盗難にあった場合:器機の盗難による脅威を緩和する
トピック
 | はじめに |
| パスワード |
| ファイルを暗号化する |
| 暗号化ファイルを復元する |
| EFS のセキュリティ |
| コンピュータのスタートアップ キーを有効にする |
| 泥棒の興味の対象とならないようにする |
はじめに
ラップトップが盗難にあうという恐れは、すべての組織にとって大きな心配事です。おそらく、皆さんにも起こりうる問題です。(もちろん、起きないことを望んでいますが。)これに対する解決は実に単純です。ラップトップが盗まれないようにするのです。(今、皆さんが笑っているのが聞こえます。)常にラップトップを携帯するか、携帯したくない場合は宿泊しているホテルの部屋に置いてくることです。確かにホテルの部屋での盗難についての懸念はあるでしょうが、私はホテルの部屋から何かが盗まれたことは 1 度もなく、それで 1 年間で 200 日以上ホテルで過ごしています。(治安のよくない場所に行く場合は部屋に金庫があるホテルに宿泊して下さい。)皆さんがラップトップや PDA、スマート フォン、USB ドライブなどをタクシーの座席やバーのカウンターに置き忘れる可能性の方がはるかに高いでしょう。
確かに盗難が起こる可能性がある場所もあります。カンファレンスや空港が一般的で、時にはオフィスでさえも安全とは言えません。私はコンピュータ用のかばんにラップトップをロックするケーブルを入れて持ち運んでおり、カンファレンスに出席し、そのカンファレンス ルームを離れる必要のある時にはいつでもテーブルにラップトップをロックしています。しかし、これはその場所が比較的安全であると確信される場合のみです。(もちろん、これは主観的な判断によるものですが。)盗難の危険があると判断した場合、私は再びコンピュータをかばんに入れ、持ち歩くようにしています。空港では、ラップトップは私のひざの上か、またはかばんの中にあり、かばんは常に手に持つか、または手の届く範囲内のフロアの上にあります。空港では居眠りをしないようにして下さい。(ビジネス クラスの座席はこのためにあるのですから、居眠りは後にしましょう。)空港で、どうしても睡眠をとる必要がある場合、動きを感知するアラームの使用を検討して下さい。しかし、うたた寝をしている間、自分自身でそのアラームを作動させてしまう可能性の方が高いでしょう。
どんな場合でも、最新の格好よい電池式の「小道具」を所有しているという事実は公表しないようにしましょう。皆さんはラップトップ、PDA、デジタル カメラ、音楽プレーヤー、携帯電話およびポータブル ビデオ ゲームを携帯していますか?携帯している場合、何に入れて携帯していますか?目立たないようにしてください。さらに、見えないようにするのもよいでしょう。コンピュータのブランドが記されている携帯用ケース、一般的なアクセサリ ブランドのかばんやバックパック、または携帯している電子機器への愛情を示すようなものはいかなるものも避けましょう。ロゴつきのかばんを携帯することは不必要な注目を受けます。泥棒はロゴで飾られた携帯用ケースを最新の価値ある電子機器を携帯する商用旅行者に販売する会社を知っています。そのようなかばんではなく、所有しているものすべてが収納できるバックパックをお子さんを連れて買いに行きましょう。それは、再び若者に戻った気分にさせてくれます。また、少なくとも、肩が痛くなるブリーフケースを何かもっと健康的で人間工学に基づいたものに交換するという理由になるばかりでなく、有益な教育経験となるでしょう。
ラップトップの可動性により、ラップトップが保存する重要な機密情報の保護が必要となります。Windows 2000 および Windows XP の 3 つの機能は、皆さんのラップトップを盗みだす泥棒の手から、そこに入っている情報を守る手助けを行うことができます。その 3 つの機能とは、パスワード、EFS および SysKey です。ただし、これらの機能が使用されると、泥棒はフラストレーションを感じるため、怒りでまたは嫌悪感のためラップトップを破壊してしまうかもしれないことも念頭に入れておいてください。しかし、これは次期の魅力的な製品の開発プランやソース コードがオンラインで公開されるのを目の当たりにするよりもはるかによいことです。
パスワード
ラップトップがドメインに参加している場合、そのラップトップを起動するごとに物理的に企業ネットワークに接続していない場合でも、依然としてネットワーク パスワードを入力する必要があります。コンピュータは、そのハード ドライブのアカウント プロファイルに「キャッシュされた資格情報」のセットを保持していて、データへのアクセスを取得する前に認証を行うことが必要とされるためです。これらの資格情報はまず、MD4 で、また次に MD5 でハッシュされます。2 回目のハッシュにより、いわゆる「パスワード検証方法」が作成されます。検証方法のみが保存され、コンピュータのシステム キー (詳細は、下記の Syskey のセクションをご覧下さい) により保護され、改ざんに対し非常に抵抗力を持ちます。
スタンド アロンのラップトップを使用している場合、そのコンピュータのすべてのローカル アカウントについて、依然としてパスワードを使用する必要があります。ドメインに参加していないコンピュータで Windows XP が実行されている場合、管理者アカウントは最初はパスワードがありません。パスワードのないローカル アカウントは、ユーザーがコンピュータの前に物理的に座っていない限り、どのようなネットワークでもアクセスされません。パスワードのないローカル アカウントはラップトップには適切ではありません。このようなラップトップはまるで、「ご自由にすべての情報をご覧下さい」と言わんばかりに攻撃者をひきつける鮮やかなネオン サインのようなものです。
ここで説明したそのほかの 2 つの機能を活用したい場合、パスワードが必要となります。ローカル アカウントにパスワードがない場合、データを泥棒から保護するにあたり、実に何もできることはありません。パスワードが常に機能するようにして下さい。コンピュータがスタンバイ モードまたは休止モードにある場合、デスクトップ ロックを行わないラップトップ コンピュータもあります。電源制御の設定はハードウェア製造元により異なるため、このためのグループ ポリシー オブジェクトはありません。再開する場合、パスワードの入力が必要となるようにするため、使用しているラップトップの構成を手動でチェックする必要があります。
ファイルを暗号化する
アクセス制御リストおよびアクセス許可は、ネットワークでアクセスされるファイルを保護する手助けとなりますが、コンピュータに物理的なアクセスを持つ人物を阻止することはできません。暗号化ファイル システム (EFS) と呼ばれる技術が Windows 2000、Windows XP および Windows Server 2003 に組み込まれています。EFS はコンピュータの通常の操作に対し透過的です。ファイルまたはサブディレクトリを開くために、パスワードを入力する必要はありません。コンピュータにログオンするとコンピュータが起動し、ユーザー個人のマスタ キーを開く場合、EFS 暗号化キーは解除されます。(キーの保護の詳細は、下記の SysKey のセクションをご覧下さい。)ファイルがアクセスされる場合、EFS はユーザーの EFS 証明書と関連する秘密キーを使用してファイルをサイレントに解読し、次に解読されたファイルをメモリに読み込みます。このファイルはハード ドライブに暗号化されたまま残ります。
ファイルを暗号化するためには、単にエクスプローラでファイルまたはフォルダを右クリックし、[プロパティ] を選択し、[属性] のセクションで [詳細設定] をクリックし、次に [内容を暗号化してデータをセキュリティで保護する] チェックボックスにチェックを入れます。スタンド アロン (ドメインに参加していない) コンピュータは少なくとも次の 3 つを生成します。EFS デジタル証明書、関連する EFS 公開/秘密キーの組 (証明書に保存されている公開キーを伴う)、およびファイル暗号化システム (FEK) です。フォルダを暗号化している場合、そのフォルダ内の各ファイルはそれ自体の一意の FEK を持ちます。EFS はそのファイルの FEK で各ファイルを暗号化し、次にユーザーの公開 EFS キーで FEK を暗号化します。それ以降の暗号化の操作は、ユーザーは既に EFK キーの組および証明書を所有しているため、EFK のみを生成します。このフォルダに保存されているすべてが自動的に暗号化されるため、[マイ ドキュメント] フォルダ全体を暗号化することを推奨します。
解読はこれと逆の操作が行われます。暗号化されたファイルが開かれると、EFS はまず、ユーザーの EFS 証明書に関連する秘密キーを取得し、これを使用してそのファイルの EFK を解読し、次にその FEK を使用してファイルを解読します。これはすべてダイアログ ボックスまたはユーザーへのメッセージが表示されることなく行われ、アプリケーションの互換性の問題はありません。この理由は、解読はアプリケーションがファイルのデータを読み取る前に行われるためです。
ドメインに参加しているコンピュータでは、この動作は少々異なります。公開キー基盤 (PKI) を実装している場合、EFS はエンタープライズ証明機関 (CA) からの証明書をリクエストします。コンピュータは EFS キーの組を生成し、公開キーを証明書と関連付けます。ここから、最初にファイルを暗号化する時、コンピュータは EFS 証明書またはキーの生成を必要としない (ユーザーは既にこれらを所有しているため) という点以外は、プロセスは非常に類似したものになります。PKI が実装されていない場合、または CA へのリクエストが失敗した場合、ドメインに参加しているコンピュータについての動作はスタンド アロンのコンピュータとまったく同じになります。
実際のファイルの暗号化のアルゴリズムは、オペレーティング システムにより異なります。Windows 2000 のすべてのバージョンは、拡張された Data Encryption Standard (DESX) のみをサポートします。Windows XP のオリジナル リリースは DESX (現在でも既定) または Triple-DES (3DES) のいずれかを使用することができます。Windows XP Service Pack 1 (およびそれ以降) と Windows Server 2003 は Advanced Encryption Standard (AES) plus DESX および 3DES をサポートします。AES は既定です。
暗号化ファイルを復元する
ご想像の通り、EFS の使用により、いくつかの操作上の問題が発生します。EFS キーを紛失すると、またはパスワードをリセットすると、暗号化されたファイルにアクセスできなくなります。(パスワードが変更された場合は動作しますが、パスワードがリセットされると EFS キーが無効となります。)回復ポリシーは、このような状況の場合、1 つまたは複数のユーザー アカウントを回復エージェントとするよう指定します。回復エージェントは暗号化されたファイルにアクセスすることができます。Windows 2000 では、ファイルを暗号化する前に、ローカルまたはドメインのいずれかで回復エージェントを委任します。Windows XP および Windows Server 2003 はこの要件を持ちません。
スタンド アロンの Windows 2000 コンピュータでは、誰かが最初に管理者アカウントでログオンすると、ローカル管理者が既定の回復エージェントとなります。スタンド アロンの Windows XP は既定の回復エージェントを作成しません。(これは、管理者アカウントに対するオフライン攻撃の試行を排除します。)ドメインに参加しているコンピュータでドメイン EFS ポリシーを適用している Windows 2000 または Windows XP を実行している場合は、ドメイン管理者が既定の回復エージェントとなります。
ファイルを暗号化する場合、各ファイルの FEK もまた回復ポリシーのすべての回復エージェントの公開キーにより保護されます。このためキーを紛失した場合、またはパスワードをリセットした場合、回復エージェントは依然としてファイルにアクセスすることができます。これは、従業員が組織を退職した場合にも便利です。回復エージェントは、その従業員の暗号化されたファイルのすべてにアクセスすることができ、さらに必要であればその暗号化を削除することができます。回復エージェントは EFS キーへのアクセスを持たないため、エージェントはそのユーザーになりすますことはできません。エージェントはファイルの解読のみを行うことができます。
EFS が組織にとって有益であると判断された場合、自動登録を使用する Windows PKI の適用を検討することを推奨します。自動登録により、PKI を管理するにあたり必要となる通常の人為的な操作のほとんどが取って代わられます。EFS については、登録とキーおよびデータの回復方法を組み合わせる証明書のテンプレートを作成することができます。たとえばユーザーを同時に登録し、そのユーザーの秘密キーをアーカイブすることができます。キーのアーカイブは EFS 回復エージェントへの有益な補足です。
EFS のセキュリティ
EFS を回避する、またはクラックすることは非常に困難です。この理由は、各ファイルはそれ自体のキーで暗号化され、これがその所有者の EFS キーで暗号化され、次にそのユーザーのマスタ キーで保護され、さらにそのコンピュータのスタートアップ キーにより保護されます。Windows またはそのほかのオペレーティング システムのパラレル コピーがインストールされ、セキュリティ アカウント マネージャ (SAM) のデータベースがクラックされると、キーは SAM に保存されていないため、ファイルを解読するために必要なキーが取得されません。
ローカル回復エージェントを使用している場合、ストレージを分離するために、回復エージェントの秘密キーをエクスポートし、キーをコンピュータから削除することが重要です。コンピュータから分離されている状態である USB ドライブを選択するとよいでしょう。エクスポートされたキーをパスワードで保護して下さい。(エクスポート プロセスで、パスワードについてのメッセージが表示されます。)ユーザーが EFS の秘密キーを紛失した場合、USB ドライブの回復エージェントのキーがそのユーザーのファイルを回復することができます。
EFS がハード ドライブにファイルのプレーンテキストの「断片」を残す可能性があります。個々のファイルを暗号化する場合、EFS はまずファイルのプレーンテキストのバックアップを作成し、ファイルを暗号化し、次にそのバックアップを削除します。もちろん、バックアップを削除しても、実際にはディスクの表面から小片を消去することにはなりません。つまり、プレーンテキストのコンテンツは依然として存在し、ディスク編集ツールで回復される可能性があります。適切な操作は、ファイルではなくフォルダを暗号化することです。フォルダ内のすべてのファイルは常に暗号化された状態となり、プレーンテキストの断片は作成されません。これは一時ファイルを作成するアプリケーションについても重要です。
もちろん、物理的なアクセスを持つ攻撃者は単に暗号化されたファイルを交換できる可能性があり、これはサービス拒否攻撃の形式となる場合もありますが、コンピュータが盗まれ、そのファイルが上書きされた後、そのコンピュータがユーザーに戻されることがあるでしょうか?確かに、疑いが持たれていないいくつかの Web サーバーにいたずらのための default.html を置き換えることは面白いかもしれませんが、ラップトップに保存されているマーケティング プランがアダルト画像と置き換えられ、そしてそのラップトップがユーザーに返されるでしょうか?EFS は非常に強力で信頼できる機密性を提供しますが、完全性を提供するよう設計されていません。確かに、暗号化のどの種類も完全性を提供するものではありません。完全性は、通常コンテンツの一方向ハッシュを計算するデジタル署名技術からのものです。
コンピュータのスタートアップ キーを有効にする
新しいユーザーがコンピュータに追加されるごとに、Windows Data Protection API (DPAPI) は、EFS キー、S/MIME キーなど、そのユーザーのコンテキストで実行されているアプリケーションおよびサービスにより使用されているすべてのそのほかの秘密キーを保護するために使用されるマスタ キーを生成します。また、コンピュータは、IPsec キー、コンピュータ キー、SSL キーなどのシステム キーを保護するそれ自体のマスタ キーも持っています。すべてのこれらのマスタ キーはこ、コンピュータのスタートアップ キーにより保護されます。コンピュータを起動すると、スタートアップ キーがマスタ キーを解読します。また、スタートアップ キーは各コンピュータのローカル SAM データベース、コンピュータのローカル セキュリティ機関 (LSA) の秘密、ドメイン コントローラの Active Directory に保存されているアカウント情報、セーフ モードでのシステム回復に使用される管理者アカウントのパスワードも保護します。
SysKey ユーティリティにより、スタートアップ キーが保存されている場所を選択することができます。既定で、コンピュータはランダムなキーを生成し、それをレジストリ全体に散布します。複雑で不明瞭なアルゴリズムにより、散布パターンがすべての Windows のインストールで異なるようにされます。これを次の 2 つの選択のうち 1 つに変更することができます。コンピュータにより生成されたキーを使用し続けますが、それをフロッピー ディスクに保存することができます。または、マスタ キーを取得するために使用されるパスワードのスタートアップ中にシステム プロンプトを持つことができます。これらの 3 つのモードをいつでも変更することができますが、フロッピーに保存しているキーまたはパスワード モードのいずれかを有効にしており、フロッピーを紛失、またはパスワードを忘れた場合、唯一の回復のオプションは、ディスクを修復して SysKey モードを有効にする前の状態にレジストリを復元することです。以前に SysKey モードを有効にした時点から現在までに行われたそのほかの変更も失われます。スタートアップ キーを変更するためには、単にコマンド プロンプトを開く、[スタート] – [ファイル名を指定して実行] を選択する、または [Windows] + R キーを押し、次に "syskey" と入力し、SysKey ユーティリティを実行して下さい。
SysKey をパスワード モードに変更すると、盗難にあったラップトップから情報が盗まれることを防ぐ手助けとなります。これは、むきになっている泥棒とハード ドライブ上のデータ間に、さらに別の防壁を提供します。SysKey パスワードは、1 文字から 128 文字までの範囲で可能です。少なくとも 12 文字を使用することを推奨します。EFS (データを保護するため) との組み合わせおよび SysKey パスワード (EFS キーへの追加の保護) により、攻撃者にとってデータにアクセスすることが計算上実行不可能となります。
泥棒の興味の対象とならないようにする
ポリシー、プロセスおよび技術の賢明な組み合わせで盗難を解決することができます。知人たちが盗難の問題について認識する手助けをし、コンピュータが盗難にあった場合の危険を緩和するために既に所有している技術を使用して下さい。組織での EFS の適用に関する詳細は、次の Web サイトをご覧下さい。
Encrypting File System in Windows XP and Windows Server 2003 (英語情報)
| • | http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/CryptFS.mspx |
Windows Server 2003 の公開キー基盤 (PKI)
| • | http://www.microsoft.com/japan/windowsserver2003/technologies/pki/default.mspx |
この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。