データ漏洩対策について考える。
ノートパソコンは出先での盗難や置き忘れにより情報が漏れそうなニュースが過去何度もあり、デスクトップPCでも侵入者がクラックしてデータを盗む事も考えられ企業はどう対策するべきか。
多少パソコン詳しいので提案など。
Windows 10のパスワードは簡単に破られる
Windowsのパスワード解析で有名なツールといえばOphclack(オフクラック)。
Ophcrack
http://ophcrack.sourceforge.net/
但し現状ではラピュタと化してしまったようで、Windows 7までは対応しているもののそれ以降は使えない模様。
使用例としては、画像右のボタンからLive CDをダウンロードしてCDなどへ書込し、そのCDから起動して解析を行うと短いパスワードならば判明するかも知れないというもの、
弱点というか難点は、確か文字数が短い場合に限られ、しかもブルートフォースアタック(総当たり)解析であり国内向きではございません。
Windows 10でパスワード不明な場合
こちら。
パスワードを忘れたWindows OSにログオンする:Tech TIPS - @IT
http://www.atmarkit.co.jp/ait/articles/1312/06/news055.html
流れを簡単にいうと、パソコンに入っているWindows 10からでは無く、USBへ別のWindows 10を入れてそちらから起動し、中身を少し書き換えてしまえば上の画像のようにユーザ名が表示可能。そしてパスワードを変更可能という。
@ITではサラリと書かれているけれど、悪用すれば正統なクラック(悪意あるハッキング)方法と言える手法。
マイクロソフトアカウントでログインしていようと管理者を追加してしまえばログインできてしまう辺りもマイクロソフトらしい紙防御。
このような感じで昔からWindowsのパスワードはあって無いようなものと言えるのはWindowsで遊び倒す人ならご存知な可能性が高い。
今一度シンクライアントという手を検討する
軽く10年以上前から普及すると言われていたシンクライアント。私が知らないだけかも知れないが導入している企業を知らない。大企業や外資系ではシンクラは普通なのだろうか。
例として最近のニュースならばこういうやつ。
PCの各種ポートや利用できるネットワークを限定する情報漏えい対策ソフト「FUJITSU Software Portshutter Premium」を用意する。
source:富士通、VESAマウント可能な「FUTRO S740」など法人向けシンクライアント端末3機種を発表 - クラウド Watch
この新製品プレスリリースではシンクライアントとは何かが全然分からないので簡単に説明すると、パソコン本体には最低限のデータしか保存せず、サーバーでほぼ全部やってしまうPC。
例として経理部署なら、パソコン側にはWindowsと会計ソフトは入っているが保存するデータは全部サーバー側に保管されており、ローカルPCにはWindowsと会計ソフトしか入っていない感じ。
もっとやるならWindowsなどOSしか入っておらずサーバー接続して何かするモノが純粋なシンクライアントと言える状態で、PC本体がどうなろうと固有のデータはローカルに保存されていないのでサーバーに接続出来なければ何も出来ない環境。
ゲーム機に置き換えると、プレステ本体はあるがソフトが無いとか、Steamならダウンロードしたゲームを全部サーバー上に置いているのでログインしなければSteamクライアントの基本機能しか使えないような。
キャリア回線が3Gから4Gになり5Gも予定されている現在、これが本命だと思っていたけれど採用している企業の人と会った事がございません。
やはり大企業向けなのだろうか。
あえて組込向けWindowsという考え方も
こちらも最近のニュースより。
ASCII.jp:なぜVAIOは組み込み向けWindowsを、自社製品に取り入れたのか (1/3)|「VAIO、法人向く。」の現在を探る
http://ascii.jp/elem/000/001/654/1654871/
サブタイトル。
VAIOのマシンをシンクライアントとして利用可能に
見出しを引用。
シンクライアントが可能なWindows Embedded OS(中略)
またローカルストレージにデータを残さない「ロックダウン」機能などはセキュリティを高めるために有効だ。Windows Embedded OSならではの機能と言える。
組込向けのEnbededとは、銀行のATMとか車のカーナビ、デジタルサイネージなどに利用されるエディションのWindowsで、特定の限定された機能しか使えないバージョン。個人向けでは無いため通常はPC製品丸ごとの購入が必要。
様々な事に使えるパソコンがWindowsであるべきとは逆にローカルPC内に何も保存しないため、PC本体盗まれても単に機械を失うだけでサーバーに接続できなければデータにはアクセスできない。
シンクライアントは、7~8年前に一度、積極的な導入が進んだ。その多くはセキュリティを重視する金融系企業だが、ほかの業種にはなかなか広まらなかった。
やはりハードルが高いのか。
SMS通信による遠隔操作でのデータ消去も
こういう手もあると最近知った。
モバイルパソコンの情報漏えい対策|ワンビ株式会社
https://www.onebe.co.jp/product/
下段にある通りパナソニック(レッツノート)とVAIOでナチュラルに採用。
何するかはモバイルノートを紛失した際、情報漏洩や盗難を避けるためにSMS通信によるデータ消去命令をインターネットを介さず行うというもの。
こちらの企業のページ内には価格情報が一切無いので検討する以前の問題だと思うのは私だけだろうか。無料の試用もあるけれど、良いと思ったが100台まで月100万円とか言われても困る。
というわけで探してみるとVAIOならこちら。
- 1年版:\6,000
- 2年版:\11,500
- 3年版:\17,000
- 4年版:\22,500
- 5年版:\28,000
source:VAIO | 運用 | VAIOのPCソリューション
1年版は月あたり500円。年間6千円の保険と思えば安いのか。
しかしこの方法で最初に書いたWindows 10の管理者権限アリにした状態のクラックを防げるかは中身良く解らないので疑問。
また、電源を入れる前にSSDやHDD抜かれて別のパソコンへ接続された場合には無力だと思うのだけれども。
そこにデータがある限り盗まれる可能性はある
形あるものいつかは~と同様、データが存在している限りはアクセスされる可能性があるのは正規ユーザがアクセスできるのだから当たり前。
ローカルにデータがあるならWindows 10ではパスワード無力化やSMSでデータ消せるとしても回避方法はあり、サーバーにしかデータが無くともサーバーにアクセスされた場合に全端末ユーザのデータが盛大に盗まれてしまう。
また、私のような個人レベルのパソコンでさえバックアップは基本的に二重、モノにより3重になっているデータもあるので1つぶっ壊れても大丈夫だけれども情報漏えいする危険性はバックアップが増えるに比例し2倍、3倍と増えてしまう。
どうするかは昔ながら。
- モバイル・・・紛失しない
- 据置型PC・・・建物に侵入されない
- サーバー・・・システムに侵入されない
というわけで、SMSで全消しとかシンクライアントとか進化している点は凄いとは思うものの、防衛面では10年以上前から何も変わっていないと思った方がよろしいかと。
暗号化しておけば安全?
その通りだとしても、暗号化したデータにアクセスできる人間が居るのならば別の人間でも復号化できるわけで、個人的に暗号化の何が怖いかはパソコン故障した時に復号化できなくなる可能性が高い点で嫌い。
どうでも良いデータしか無い家庭内Windowsでパスワードをかけたり、無駄に暗号化したりすると、データ復旧できないとか、故障時にHDD取り出して別のPCで読み込み補完が難しくなるだけ。
シンクライアントはなぜ普及しないのか?
そこまでするほどの機密的なデータが無いのだろうと考えております。
サーバーがぶっ壊れたら終わり。バックアップも同じ建物内にあるなら火災で全焼して終わり。では海外のサーバーへバックアップしておくか?となると、データ盗まれるリスクが増える。
なぜデータ漏えい対策必死なのか?
個人情報保護法でしょうな。
私は個人情報やクレジットカードをヨドバシ.comなどで保存しているけれど、それは漏れても文句言わない前提だと思っております。嫌なら保存しなければよろしいという考え方。
神経質になりすぎている感がある
大昔のオンラインやりとりは匿名が基本との逆で、現在はFacebookなどで自爆しまくる情弱ばかり。その割に個人情報が~は矛盾しておりましょう。
上で引いた文章をもう一度。
シンクライアントは、7~8年前に一度、積極的な導入が進んだ。その多くはセキュリティを重視する金融系企業だが、ほかの業種にはなかなか広まらなかった。
結局、シンクライアントは金銭などの本当に漏れるとまずい組織でしか導入されず、従来どおりが普通と思われ特に何も変わらないと思う。
「シンクライアント導入についてご意見を」
というメールが来たので書いてみた。
私のような匿名のよく解らない人間に聞いている時点で真剣では無いのだろうし、やる組織は既にやっているだろうから今まで通りで良いのでは。
障子で普通に生活したんだし多少はね
いちいち風流(?)すぎて、最近の若者には難しいレスポンスなコメント。
めんどくさい人たちばかりなのか、今の人たちがめんどくさいだけなのか、どっちもどっちと思うけれど、電車に飛び込んで死ぬのは自分のスマホとパソコンを完全に壊してからにした?と聞いてみたい。
>組込向けのEnbededとは、銀行のATMとか車のカーナビ、デジタルサイネージなどに利用されるエディションのWindows
うちの社用車につけたナビに入ってますね。(Windows CE)
PC用と同じでクソですが、なんとか使い物にはなってます。
社用PCのデータは少し前からローカル/サーバ問わず自動暗号化されるようになって
ます。社内で使う限りは自動復号化されるのであまり気になりませんが、自動復号に
対応していない社内システムや取引先に共有する場合、手動復号しなければならず、
復号忘れによる再送依頼が多発。人の手間は増えました。セキュリティと効率は
トレードオフですね。
>Ophcrack
古いPCのログインパスが不明なとき、稀に使用したことがありました。会社のPCでも、5年以上前に辞めた方のユーザアカウントが残っているけれどパスなぞ知らん、というときに使用した記憶が。
>USBへ別のWindows 10を入れてそちらから起動し、中身を少し書き換え
恐らくこの作業ができる方はパスワードを忘れるミスは犯さないでしょうから、基本的に実行するのは他人のPCに対してでしょうね。
ところでわざわざWindowsのインストールメディアを作ってコマンドプロンプトから作業を行っているようですが、これ要は「utilman.exeをutilman.orgにリネームしてからcmd.exeをutilman.exeという名前でコピーして保存する」という動作ですよね。これだけならLinux系のライブOSでディスクから起動し、エクスプローラで該当ファイルを手動でリネームした方が楽な気が。
>シンクライアント
社長を含めて従業員すべてがノマドワーカー(会社のオフィス以外でも自由に作業環境を構築し仕事をする方々)な会社なら知っていますけれど、シンクライアントは理想としながら実現はしていませんね。ただし従業員数は20人くらい。
仕事上でも同僚はもとより上司にさえ見られたくない資料やデータはありますから、私もクラウド化くらいは賛成ですが、何でもかんでもネット上に全て集約するのは反対。