物理的にUSBメモリの利用を阻止する方法としては、USBコネクタそのものを専用のデバイスで塞いでしまう方法がある。USBコネクタに取り付ける特殊な部品が販売されており、ユーザーはそれを勝手に取り外すことはできない。USBコネクタが物理的に利用不可能になれば、当然ながらUSBメモリも利用不可能である。
ただし、全てのコンピュータにいちいちこれを取り付けることになると、相応の費用と手間がかかる。最近のコンピュータはUSBコネクタの数が増える傾向があるので、なおさらだ。例えば、ショールームや受付などに置かれ、第三者が利用する可能性のあるPCは、USBメモリによる情報漏えいやウイルス感染を防ぐためにも、こうした製品を利用してUSBコネクタを利用できないようにしておくとよいだろう。
USBメモリの利用を認める場合でも、紛失・盗難を防ぐための対策を考慮する必要があるだろう。例えば筆者の場合、USBメモリをキーホルダーに取り付けて持ち歩くようにしている。USBメモリはサイズが大きくないため、単独で持ち歩くと紛失しやすいが、キーホルダーに取り付けることでそうした事態を回避するとともに、注意喚起を容易にする狙いがある。
とはいっても、紛失・盗難を完全に阻止するのは難しい。そこで、USBメモリに書き込んだデータの漏えいを防ぐ方法について取り上げよう。具体的には、USBメモリに書き込んだデータを暗号化する方法を用いる。暗号化といっても、方法はいろいろある。
「1」は、Windows 7が備える「BitLocker to Go」、あるいはサードパーティー製の暗号化ソフトウェアが該当する。専用のソフトウェアを介して読み書きを行うことで、USBメモリに書き込むファイルを暗号化するものだ。暗号化の鍵になる情報としては、ユーザーが任意に設定するパスワードを用いる場合が多い。企業向けの製品では、鍵情報を管理者が集中管理できるようにしている場合もあるので、ベンダーのWebサイトで製品情報を調べてみるとよいだろう。
「2」は、暗号化の機能をハードウェアによって実現するものだ。ただし、ユーザーごとに異なる鍵情報を利用しなければならないのはソフトウェアを用いる場合と同じなので、最初に専用のソフトウェアを使ってパスワードの入力と認証を行い、その情報に基づいてハードウェアによる暗号化を行う方法をとる。
ハードウェアを用いる方法では、ソフトウェアを用いる方法と比較すると処理速度の向上を期待できる。使用する暗号化アルゴリズムは、鍵長256bitのAES(Advanced Encryption Standard)が主流のようだ。
実は筆者も、このタイプのUSBメモリを利用している。筆者が使用している製品は2つのドライブ(パーティション)を持ち、ユーザー認証ツールを格納する非暗号化部と、データを保存する暗号化部に分けられている。USBメモリを取り付けると、まず前者だけを認識するので、そこにある認証ツールを実行して、利用開始の際に登録したパスワードを入力する。正しいパスワードを入力すると、暗号化した部分へのアクセスが可能になる仕組みだ。
ただし、Windows 7ではUSBメモリからの自動実行を行わない設定が既定値なので、いちいち手作業で認証ツールを実行しなければならない点が、いささか煩わしい。なお、自分が利用しようとしているOSに対応した製品でなければ、認証ツールが機能せず、結果としてUSBメモリへのアクセスも行えない点に注意したい。Windowsに対応したハードウェア暗号化機能付きUSBメモリはいろいろあるが、店頭で販売されている製品を見る限り、Windows以外のOSへの対応はほとんど行われていないのが実情のようだ。
なお、最近では暗号化機能に加えてウイルス対策用ソフトウェアを組み込んだ製品が出てきている。法人向けの製品では、管理者が暗号化用の鍵情報を一括管理できるようにする仕組みを取り入れているものもあるので、そうした製品の方が管理しやすいだろう。
容量にもよるが、暗号化機能だけを備える製品なら1万円前後でも手に入る。しかし、付加機能が加わると相応に高価な製品になる。特にウイルス対策機能が加わった場合には、定期的に更新ライセンスを購入しなければならないので、導入に際しては更新ライセンスのコストも見込む必要がある。
独立したソフトウェアを使用する方法には、使用するUSBメモリの種類を選ばない利点がある。つまり、新たに暗号化機能付きの製品を買い直す必要がないので、その分だけ経済的だ。ただし、OSへの対応に注意しなければならないのは同じことだが、OSが暗号化機能を備えていれば解決できる。
Windows 7のうちUltimateとEnterpriseの両エディションで利用可能な「BitLocker to Go」を例にとると、所要のプログラムをUSBメモリに保存・実行する仕組みになっているため、「BitLocker to Go」に対応していないエディション、あるいはWindows Vista以前のWindowsでも、暗号化済みのUSBメモリにアクセスすることは可能だ。暗号化を設定するために、「BitLocker to Go」対応エディションのWindows 7が動作するコンピュータが最低1台あればよい。
そこで、USBメモリに対して「BitLocker to Go」を利用して暗号化の設定を行う際の手順について概説する。といっても難しいことはない。具体的な手順は以下のようになる。
こうして暗号化処理を行ったUSBメモリは、設定を行ったコンピュータに接続したときにも、あるいはほかのコンピュータに接続したときにも、パスワード入力画面を表示するようになる。そこで正しいパスワードを入力すると、暗号化したファイルへのアクセスが可能になる仕組みだ。
「BitLocker to Go」の設定を行ったUSBメモリの右クリックメニューでは、[BitLockerの管理]を選択すると、パスワードの変更/パスワードの削除/スマートカードの追加/回復キーの再保存または印刷・ロックの自動解除指定を指示できる。
また、コントロールパネルの[システムとセキュリティ]以下にある[BitLockerドライブ暗号化]では、暗号化を解除したいドライブの横にある[BitLockerを無効にする]をクリックすることで、暗号化の解除を指示できる(同じ画面で有効化も可能)。
「3」のZIPアーカイブに対する暗号化は、ソフトウェアを用いる暗号化の派生型といえる。専用のソフトウェアを利用する代わりに、WinZIPなどのZIPアーカイブツールが備える暗号化機能を利用するわけだ。ただし、いちいちアーカイブしなければ暗号化を実現できないことから、扱うファイルが1つしかない場合には操作が面倒だ。
また、設定するパスワードをできるだけ長く、かつ複雑なものにして解読を困難にする工夫が求められるほか、Windows XP標準のZIPアーカイブツールの場合、暗号化の設定を行った後で追加、あるいは上書きしたファイルが暗号化の対象にならない点にも留意する必要がある(TIPS「ZIPファイルにパスワードを付ける」参照)。
このほか、NTFSでフォーマットして暗号化ファイルシステム(EFS:Encrypting File System)を利用する方法も考えられないわけではないが、柔軟な運用が難しいのでお勧めできない。EFSはあくまで、ローカルのハードディスクで用いるものと考えた方がよいだろう。
「USBメモリは危険だから一律禁止」という対応では、ユーザーの利便性を損ない、結果として抜け穴を探す動きを引き起こす可能性がある。利便性と安全性の両立を図りつつ、できるだけ高いセキュリティレベルを実現するよう知恵を絞るのが、管理者の腕の見せ所といえるのではないだろうか。本稿がその際に、何がしかの参考になれば幸いだ。
実際、USBメモリによるセキュリティ関連インシデントに見舞われた米軍が、いったんは利用を禁止した後で、ウイルス対策や暗号化といったセキュリティ関連機能を備えた「公認製品」に限って利用を認めた事例もある。このように暗号化機能付きのUSBメモリの使用に限定し、なおかつ安全なパスワードを設定することを守らせるだけでも情報漏えいのリスクは大幅に低減できるだろう。
「運用」
Copyright© Digital Advantage Corp. All Rights Reserved.