中小企業の
セキュリティ対策と構築
第7回 コストをかけないセキュリティ対策1
米原 勉
1.はじめに
セキュリティ対策を実施するためには、ソフト ウェアの導入や設備投資などのある程度の費用が 必要な場合があります。 経営資源が限られている中小企業では、このこ とがセキュリティ対策が進まない一因となってい ます。 しかし、既に使用しているソフトウェアやハー ドウェアの設定を工夫したり、無料で公開されて いるソフトウェアを使用したりすることにより、 情報が漏えいしてしまう可能性を少しでも減らす ことができます。 今回からは、その方法をご紹介していきます。2.ハードディスクにパスワードを設定
ノートパソコンを営業活動で社外に持ち出すこ とがあります。情報機器を社外に持ち出すことに より、紛失や盗難が起こる可能性が高くなります。 かばんに入れて常に携帯することを心がけるな ど、紛失・盗難の対策することはできますが、100% 防ぐことはできません。 そこで、紛失や盗難が起こった場合でも保存さ れている情報を見られないようにする対策も必要 となります。 既存のパソコンでも簡単にできる対策として、 パソコンのハードディスクにパスワードを設定す る方法があります。(旧型のパソコンではこの機能 が利用できない場合があります。) 2.1 ハードディスクパスワードとは パソコンの電源を入れ、OSが起動した後に、 利用者のユーザーIDとパスワードを入力してい ると思います。通常は、このユーザーIDとパス ワードが分からなければ、パソコンを使用するこ とができません。 しかし、図1のように、パソコンに内蔵されて いるハードディスクを取り出し、他のパソコンに 変換ケーブル等を使用して接続すると、ユーザー IDとパスワードが分からなくても、保存されて いる情報を見ることができてしまいます。 これを防止するためには、ハードディスクパス ワードを設定することが有効になります。 ハードディスクパスワードは、パソコンに内蔵 されたハードディスク内にパスワードが保存さる ため、ハードディスクを取り外して他のパソコン に接続しても、情報を見ることができなくなりま す。 ハードディスクパスワードの設定は、BIOS 設定の画面で行います。具体的な設定方法は、パ ソコンの機種により異なりますので、パソコンに 付属しているマニュアルや製造メーカーに確認し てください。 また、パスワードを忘れるとアクセスすること ができなくなります。パスワードの解除は製造メ ーカーでも解除することができませんので、慎重 に行ってください。 図1 ハードディスクを他のパソコンに接続ハードディスクパスワードが設定されたパソコ ンを起動すると、図2のようなパスワードの入力 を要求する画面が表示され、正しいパスワードを 入力しなければパソコンを起動することができま せん。 図2 電源を入れるとパスワードの入力を要求される
3.電子ファイルにパスワードを設定
個人情報や機密情報などを含んだ電子ファイル をメールに添付したり、USBメモリやCDに保 存して相手に送付したりすることは、日常行われ ています。 メールを送信する際に宛先のアドレスを間違え たり、USBメモリを紛失したりすると、意図し ない第三者に情報を読み取られてしまいます。 このような場合でも、情報が読み取られないよ うにするためには、電子ファイルにパスワードを 設定することが有効です。 3.1 ワードやエクセルにパスワードを設定 皆さんが普段使用しているワードやエクセルに は標準でパスワードを設定する機能があり、電子 ファイルを保存する際にパスワードを設定するこ とができます。 ワードやエクセルで設定できるセキュリティに は、表1で示す種類があり、目的に応じて設定す ることができます。 ワード2007でパスワードを設定する手順は 以下の通りです。 (1) 文書を作成して[名前を付けて保存]をクリ ックすると、図3の画面が表示されます。 (2) [ツール]ボタンをクリックし、[全般オプ ション]をクリックすると、図4の画面が表示 されます。 (3) 保護したい内容にしたがって、[読取パスワ ード]及び[書込パスワード]または両方を入 力し、[OK]ボタンをクリックします。 この設定を行うことにより、今後電子ファイル を開く際には、設定したパスワードを入力するこ とが必要になります。 図3 [名前を付けて保存]の画面 表1 ワードで設定できるセキュリティの種類 種類 セキュリティの内容 読み取り パスワード ファイルを開くときに必要なパスワ ードを指定します。このパスワードを 知らない人は、ファイルを開くことが できません。 書き込み パスワード ファイルを編集し、上書き保存をする 場合に必要なパスワードを設定しま す。パスワードを知らない人は、上書 き保存をすることができないため、意 図しない変更や改ざんを防止するこ とができます。(別の名前を付けて保 存することはできます。) 図4 [全般オプション]の画面3.2 PDFファイルにパスワードを設定する
PDF(Portable Document Format)とは、アド ビシステムズ社が開発したファイルの保存形式の ことです。2008年には、ISO規格として認 定されました。PDFファイルには、以下の特徴 があるため、パソコン間でデータをやり取りする 際に広く利用されています。 表2 PDF ファイルの特徴 表示用ソフト(Adobe reader)が無料で提供され ている。 作成したソフトがなくても、元のレイアウトどお りに表示・印刷できる Windows や Mac、Linux など、異なるOSのパソコ ンでも表示できる。最近、普及が著しいスマート フォンでも表示することができる。 データを圧縮することにより、ファイルサイズを 小さくすることができる しおり・リンク・コメント・注釈といった、便利 な機能がある。 音楽、動画などのマルチメディアデータを含める ことができる。 表3に示すようなセキュリティ設定をすることが できる。 表3 PDF で行えるセキュリティ設定(主なもの) 文書を開く パスワードを知っている人だけがフ ァイルを開くことができる。 印刷を許可 ファイルを開くことはできるが、印 刷することはできない。 変更を許可 ファイルを開き、印刷することはで きるが、内容を変更することはでき ない。 コピー許可 ファイルの文書や画像をコピーし て、他の文書に貼り付けすることが できない。 3.3 無料のソフトでPDFファイルを作成 PDFファイルを作成するには、Adobe Acrobat という有料のソフトが必要です しかし、単にPDFを作成したり、パスワード を設定したりするだけであれば、無料のPDF作 成ソフトで行なうことができます。 今回は、株式会社キューブ・ソフトが開発し無 料で使用できる「CubePDF」の使用方法を説明しま す。 日本の企業が開発しているため、メニューが日 本語で表示され、文書の印刷を行う感覚で簡単に PDFを作成することができます。 このソフトをインストールすると、「CubePDF」 というプリンタ(仮想プリンタ)が作成されます。 ワードやエクセルなどから文書の印刷を行なう際 にこのプリンタを指定することで、PDFファイ ルを作成することができます。 印刷を実行すると、図5の画面が表示されるの で、必要なセキュリティ設定を行い、「変換」ボタ ンをクリックします。 図5 「CubePDF」の設定画面 3.4 複数ファイルにパスワードを設定する これまでは、ファイル自体にパスワードを設定 する方法を説明してきましたが、ファイルの数が 多くなると、パスワードを設定する手間が増えて きます。そこで、複数のファイルを 1 つの電子フ ァイルにまとめ、それにパスワードを設定する方 法を説明します。 複数のファイルをまとめるには、zip ファイル とよばれる電子ファイルの形式を利用します。 zip ファイルは、複数の電子ファイルを一つに まとめたり、データを圧縮して容量を小さくした りすることができます。さらに、パスワードを付 けて暗号化することもできます。 zip ファイルを作成するソフトには多くのもの
がありますが、今回は、「7-zip」というソフトを 紹介します。 「7-zip」をインストールして使用する手順は以 下の通りです。 (1) 「7-zip」のソフトウェアを Web サイトからダ ウンロードして、パソコンにインストールしま す。 (2) インストールが完了すると、「右クリック」で 表示されるメニューに図6のように追加されま す。 (3) 対象となるファイルを選択し、「右クリック」 して、「7-Zip」→「圧縮」をクリックすると、 図7の画面が表示されます。 (4) 「圧縮先」にファイル名と作成された zip フ ァイルを保存する場所を指定します。 (5) 「書庫形式」には、zip を選択します。 (6) 「暗号化パスワード」を入力し、「暗号化メゾ ット」は「ZipCrypto」を選択します。
4.より強力な暗号化を行う
ワードやPDF、ZIPファイルなどにパスワ ードを設定する方法は、手軽に行えて情報漏えい の対策として、一定の効果が期待できます。 しかし、最近では、そのパスワードを解析する ソフトウェアも出てきており、安全とは言えなく なってきています。 暗号化の方式は、「ZipCrypto」と「AES256」の 2種類があります。「AES256」は暗号強度が強くな りますが、Windows の標準機能では利用できない ため、相手先にも、「7-zip」など、「AES256」に対 応したソフトが必要になります。 そこで、更にセキュリティを高めるためには、 パソコンに保存するデータをより強力に暗号化す ることが必要になります。 また、これまで紹介した方法は、手動でパスワ ードの設定や暗号化を行うため、手間がかかるう えに、うっかり忘れてしまう可能性もあります。 より重要なデータを送付する場合などに利用す ると良いでしょう。 そこで、図8のように利用者が意識することな く 、 自 動 的 に よ り 強 力 な 暗 号 化 が 行 え る 「TrueCrypt」というソフトウェアを紹介します。 図6 「7-Zip」でファイルを選択 図7 「7-Zip」の設定画面 図8 「TrueCrypt」で暗号化する仕組み 4.1 TrueCrypt ボリュームの作成 このソフトを使用して暗号化するためには、ま ず、「TrueCrypt ボリューム」を作成する必要があ ります。 「TrueCrypt ボリューム」とは、暗号化された ファイルを保管する場所で、1つの電子ファイル として作成されます。図11 「TrueCrypt ボリューム」がウントされた状態 このソフトをインストールして実行すると、図 10の画面が表示されます。 次に、[ボリュームの作成]ボタンをクリックす ると、図9の画面が表示されますので、案内に従 って、「TrueCrypt ボリューム」を作成します。 図9 「TrueCrypt ボリューム」作成ウィザード 4.3 使用時の注意事項 「TrueCrypt ボリューム」をマウントしていな い状態であれば、ボリュームの内容は暗号化され ているため、パソコンが盗難にあったとしても、 情報が漏洩する可能性は少なくなります。 しかし、マウントしている間は、通常のドライ ブと同様にできるため、注意が必要です。 4.2 「TrueCrypt ボリューム」のマウント 例えば、ノートパソコンに「TrueCrypt ボリュ ーム」を作成し、それをマウントしたまま盗難な どに遭ってしまったとき、せっかく暗号化を行っ ていても、情報が読み取られてしまいます。 4.1で作成した「TrueCrypt ボリューム」を 使用できるようにマウントを行います。 マウントとは、作成したボリュームをコンピュ ータに認識させ、使用可能な状態にすることを言 います。 この対策として、ドライブを利用しない場合に は、アンマウントしておく「自動アンマウント」 機能を設定します。 図10の画面で、マウントしたいドライブ名 (G)を選択し、4.1で作成した「TrueCrypt ボリューム」を指定します。 これは、パソコンが以下のような状態になった 時に自動的にアンマウントさせることができるた め、うっかりマウントしたままにしてしまうこと を防ぐことができます。 マウントが完了すると図11のように、Gドラ イブが暗号化されたドライブとして使用できるよ うになります。 (1) ユーザーがログオフしたとき (2) スクリーンセーバーが起動した時 (3) 省電力モードに入ったとき (4) 設定した時間が経過したとき これで、Gドライブは、他のCやDドライブと 同じ様に使用することができ、保存するデータは 自動的に暗号化されて保存されますが、利用者は 暗号化されていること意識せずに使用することが できます。 この設定は図12の画面で行います。 図12 TrueCrypt の設定画面 図10 「TrueCrypt ボリューム」のマウント
4.4 トラベラーズディスクの作成 「TrueCrypt ボリューム」はUSBメモリなど の外部記憶媒体に保存することができますので、 持ち運んで別のパソコンで使用することもできま す。 しかし、使用するためには、対象のパソコンに このソフトがインストールされていなければなり ませんが、顧客のパソコンを利用する場合などイ ンストールすることが出来ない場合があります。 この際に有効な機能が、「トラベラーズディス ク」という機能です。これは、USBメモリ内に 「TrueCryt」を実行するために必要なプログラム を保存しておくことにより、パソコンにソフトが インストールされていなくても利用できるように なります。 この機能を利用することにより、大切なデータ を安全に持ち運ぶことができるようになります。 次回も引き続き、セキュリティを向上させるた めに役に立つソフトウェアやパソコンの設定方法 をご紹介いたします。 筆者:米原 勉(よねはら つとむ) 情報セキュリティ研究会 IT コーディネーター/ISMS 審査員補 [email protected]
