学校情報化の落とし穴 Vol.5

■ 盗難にあったパソコン

学校の成績管理や通知票・高校入試の内申書作成まで全てパソコンでこなすA先生。高校入試を前に仕事を自宅に持ち帰り内申書作成に励んでいた。家族サービスのため日曜日に福岡までいった日の夜,帰宅すると泥棒に侵入されており貴重品やパソコンが盗難にあっていた。すぐに警察に届け出ると共に,金融機関に連絡をし口座などの引き下ろしができないようにしてもらった。

しかし,一ヶ月後に市民からネットの掲示板に生徒の内申書が書き込まれているという連絡が学校に入り,A先生は青ざめてしまった。


■ 教訓その5

重要なデータは暗号化しよう

いったんネットに流出したデータは永遠に削除することはできない

パソコンの盗難を防ぐためのワイヤーやチェーンと鍵のセットなども販売されているが,ホームセンターに行けばチェンカッターなども売られているので根本的な解決にはならない。ワイヤーやチェーンと鍵などの物理的な対策も大切であるが,パソコン本体が盗難にあってもデータを閲覧できないように暗号化をしておくことが大切だと思う。暗号化していない場合は,たとえWindowsログオンパスワードが設定されていても,ハードディスクを取り出して別のパソコンに接続されてしまえば簡単に閲覧されてしまう。

WindowsXP Professional の場合 NTFS 形式でフォーマットされていれば「フォルダの暗号化」(または「ファイルの暗号化」)が可能である(WindowsXP Home Edition にはこの機能が無い,Home Edition の場合はこちらを参照のこと)。あるフォルダを右クリックし「プロパティ(R)」「全般」タブの「詳細設定(D)」をクリックすると「属性の詳細」がある。

「内容を暗号化してデータをセキュリティで保護する(E)」にチェックを入れる。すると確認がされるので

「OK」を押すと内容が暗号化される。すると暗号化を行ったユーザ以外は(administratorでも)フォルダの中にどのようなファイルがあるのかは分かるが

ファイルを開こうとしてもエラーが出て内容を表示できなくなる。(ただし administrator はファイルを削除することはできるので,他人には administrator としてログインされないようにパスワードを設定しておこう)

ただし暗号化を行ったユーザのパスワードが設定されていなかったり,パソコンの電源を入れれば自動的に暗号化を行ったユーザでログオンできてしまうと全くの無意味である。面倒でもパソコンの電源を入れるとユーザIDとパスワード入力の画面になって,パスワードを知らない人間はパソコンが使えない状態に設定しておこう。

しかしパスワードを忘れてしまうと自分でも見ることは出来なくなってしまうので,パスワードを厳重に管理することを忘れずに…。

 メインページへ戻る


■ 暗号化した場合は必ず証明書をエクスポートしておくこと

 暗号化したときは Windows を再インストールした場合や別のパソコンで使用する場合などに備えて証明書をエクスポートしてバックアップを取っておくことが不可欠である。証明書が無い場合はたとえ同じユーザー名と同じパスワードでも暗号化は解除できず二度とファイルを開くことはできない。

 暗号化を実行したパソコンではデジタル証明書ができているはずである。デジタル証明書を見てみよう。「コントロールパネル」から「インターネットオプション」を選び「コンテンツ」タブを選んで [証明書(C)] ボタンを押す。

 「個人」タブの中に「証明書の目的」が「暗号化ファイルシステム」という証明書ができているはずである。

 いくつかあってどれなのか分からない場合はダブルクリックして「有効期限の開始」(証明書が作成された日時)で確認しよう。

 それでは証明書をエクスポートしよう。証明書を選択して「エクスポート(E)」ボタンをクリックする。すると証明書エクスポートウィザードが開始される。

 「はい、秘密キーをエクスポートします(Y)」を選択する。

 「Personal Information Exchange - PKCS #12 (PFX)(P)」で「強力な保護を有効にする」にチェックして「次へ」

 適当なパスワードを入力する。(ただし絶対に忘れてはいけない)

 適当なファイルの名前を入力する。

 エクスポートが完了した。

 これで証明書がファイルとして書き出された。

 証明書はフロッピーディスクやCD-Rなどに書き込んでパスワードとともに金庫に保管しよう。


 Windows を再インストールしたときや別のパソコンで暗号化ファイルを使用するときは証明書をインポートしなくてはならない。
 「コントロールパネル」「インターネットオプション」「コンテンツ」タブ「証明書」で「インポート(I)」を選択する。

 ファイル名を指定する。

 証明書をエクスポートするとき入力したパスワードを入れ「このキーをエクスポート可能にする」にチェックを入れる。

 「証明書をすべて次のストアに配置する(P)」で「個人」となっていることを確認する。

 インポートが完了し暗号化ファイルが開けるようになったはずだ。

 ただし WindowsXP と Windows2000 など OS が異なる場合などはうまくいかない場合もあるかも知れないので,万が一に備えてFAT32でフォーマットされたハードディスクやCD-Rなど「暗号化されていない状態でのバックアップ」を取っておくことをお勧めする。もちろん暗号化されていないので金庫の中に保管するなど厳重な管理が必要だ。

 さて暗号化を解読することは可能だろうか?。Advanced EFS Data Recovery といった製品があったので体験版をダウンロードして試してみたが解読できなかった。通常の使用をしている限りはこのようなソフトをもってしても解読は無理のようである。 ただし証明書などの痕跡が復元できれば暗号化ファイルを解読できるようだ(確認したわけではない)。また解読を請け負う業者もあるようだがどこまで解読できるのかは不明である。

  1. Windows XP Professional のスタンドアロン環境 (ドメイン環境でないシステム) で暗号化ファイルシステム (EFS: Encrypting File System) を使う場合の注意点(非常に良くまとめられておりお勧め)
  2. Windows XP Professional 上の重要な文書や情報を盗難から保護する(Microsoft社の公式解説)

  3. NTFS EFS の解読サービス
  4. Windows Key は、管理者パスワード、セキュアブートパスワード、キーディスクを失った場合、Windows XP/2000/NT を安全にリセットするプログラムです。 製品リリース(PDF)

 メインページへ戻る


■ WindowsXP Home Edition の場合は

WindowsXP Home Edition は暗号化機能は使えない。だが英語版で良ければ,かつ WindowsXP 正規ユーザならば
Microsoft Private Folder というものがダウンロードできる。ただしこのページは WindowsXP + Internet Explorer でなければ接続できないようだ。※ 2006年7月19日追記 Microsoft Private Folder はパスワードを忘れてアクセスできなくなる人が続出したとか言うことで,たった10日あまりで公開停止になったようです。

お金をかけたくない人は検討に値するかもしれない。

セキュリティのためならお金をかけても良いという人は市販のセキュリティ商品を購入するという選択肢がある。その手の商品はいろいろあるが 暗号化機能付き USB メモリ を紹介しておく。最近のパソコンは USB ポートは必ず付いているし,USBメモリも(容量にもよるが)数千円で購入できる。重要なデータは暗号化して USB メモリに保存して,使用後はパソコンから抜いてデスクの引き出しにでもしまって鍵をかけてしまおう。

■ パソコン周辺機器メーカーのセキュリティ対策

パソコン周辺機器を販売している BUFFALO 社は自社の MO,ポータブルハードディスク,USBメモリなどで使用できる無償の暗号化ツールSecure Lock Wareを配布している。対象 OS はWindows 2000/XP のみのようであるが,既に BUFFALO 社製の USBメモリを持っている人には役に立つかも知れない。

同じく IO DATA 社はアイ・スパイスというソフトウェアを配布している。ダウンロードには製品のシリアルナンバーが必要なものもあるので準備しておこう。

 メインページへ戻る