データ復旧、復元、修復から消去までの豆知識：オントラック

================================================================================
　■■　　　　　　■　　　　　　　　　　　　　■　　　　　　豆知識　　Vol.02-11
■　　■　　　　　■　　　　　　　　　　　　　■　■　情報漏洩対策としての暗号化
■　　■ ◆■■ ■■■　■　■　■■◆　■■　■ ■　 ■　 ■
■　　■　■　■　■　　■■　■　 ■　■　　 ■■　　■■ ■　■■　■　■　■
■　　■　■　■　■　　■　　■　 ■　■　■ ■ ■　 ■ ■■ ■　■　■■■■
　■■　　■　■　■■　■　　　■■◆　■■　■　■　■　 ■　■■　　■　■
=============================================================2004.11.29=========

【情報漏洩対策としての暗号化】

来年４月には個人情報保護法が施行されますので、個人情報漏洩問題から色々防衛対策を
採られる企業が増えて来ています。　只、内部の意図を持って盗もうとする者に対しての
防御策は、現在の仕事の仕方を含めた大幅なシステムの変更と投資を伴わない限り、多分
存在しないでしょう。　ＳｕｎＭｉｃｒｏｓｙｓｔｅｍのＳｕｎ Ｒａｙデスクトップの
様なものでシステムを構築する以外にないでしょうから。

最近、弊社へのお問合わせにもパスワードロックや暗号化したものからの回収希望がぽつ
ぽつと出て来ています。　意図せざる漏洩については、暗号化が最も効果的な対策です
ので、この方策を取り入れて行こうという企業が多くなって来ている証拠でしょう。

データ保護策として一般的に行われる事は

１．ＢＩＯＳパスワード

　　これはその機器では起動出来ない様にするだけのものに過ぎませんので、ドライブを
　　外し、他のシステムのセカンダリに接続すれば中身は全て参照可能になります。

２．コンピュータのロックとパスワード・ロック付きのスクリーン・セーバー

　　これも１．と同じ理由から覗き見防止・他人の使用防止の為の対策でしかありません。
　　只、離席時対策として、最低限の処置として必須事項になるでしょう。

　　スクリーンセーバーの設定は [スタート] - [設定] - [コントロール・パネル]
　　から [画面] を選択し、スクリーン・セーバーのタグでセット出来ます。
　　セーバー起動迄は時間設定ですので、２０００/ＸＰユーザーは席を離れる場合は
　　ＣＴＲＬ+ＡＬＴ+ＤＥＬからコンピュータのロック（Ｋ）でロックする癖を付け、
　　セーバーはロックを掛け忘れた場合の予備処置と考えて下さい。

３．ＨＤＤパスワード/ＰＣ自体にセキュリティチップを乗せた機器の採用

　　これについては如何にしてロックをしているかが予測出来れば、破る事はそれほど
　　難しい事ではありません。　なぜなら、暗号化/復号化の為の情報が完全な形で
　　そのもの自体の上に残っているからです。　ハード障害によるデータ消失リスクを
　　考えるとお勧めするのは躊躇します。

４．Ｗｉｎｄｏｗｓ ＮＴ系の暗号化

　　一般の方にとっては万全と思われるものでしようが、盗難の場合、システム、
　　レジストリ、ソフトウェア等といった基本情報は揃ったままですのでクラッキングの
　　方法さえ判っていればある程度の時間があれば破る事が可能ものが出て来ます。

　　その為のソフトも販売されています。　暗号化して保管するとキーを忘れただけで
　　データを失う事もある為、この種のソフト市場もデータ復旧同様に存在する訳です。

　　ＯＳ組み込みですので、簡単に使えるだけに深く考えずに使ってしまって後で
　　しまったとならぬ様にして下さい。　これはそのシステム/ユーザーしか扱えぬもの
　　を作ってしまいますので、バックアップしておいてもも元の環境が失われると全て
　　お釈迦になってしまいます。

５．暗号化ソフトによるもの

　　ＡＥＳ/Ｂｌｏｗｆｉｓｈといった手法の暗号化を行われると破る事は不可能です。
　　只、ＩＤ/キーを類推させる情報があれば、これも裸同然という場合もありますが。

　　現在ファイルが流出した場合に備えて打つ手はこれ位ですので、何等かの暗号化
　　ソフトの導入は将来的に不可避になると思われます。

６．外付け機器による起動制御

　　２．に代わるものから５．との組合せ迄存在します。

４．及び５．ではファイルのバックアップが意味を持たなくなるものもある事も理解
しておく必要があります。　暗号化されたファイルをバックアップしておいても、
完全な元の環境下でなければ復号出来ない場合がありますので、元のハードウェアが
死んでしまうと全てが失われる事になる訳です。　これらの中には、ＣＰＵ-ＩＤ/
ＨＤＤ-ＩＤ/ＩＰアドレス若しくはＭａｃアドレス等機器固有の情報の組合せを
チェックしており、まずこれが合わなければユーザーのＩＤ/パスワードがあって
も役にも立たないからです。

編集子は漏洩防止の前に危機管理ありという立場ですので、如何に強固であろうとこの種
のものはお薦め致しません。

中には専用のサーバーを立てこの中に記録するといったものや、ソフトメーカーが専用の
サーバーをネット上に立てており、これに復元の為のキーを転送する等といったものも
あります。　一回限りのパスワードを管理者権限の元で発行出来る様にしたシステムも
存在します。

基本的には、ハードが壊れた場合でも他の環境下で復号化が可能なものでなければなら
ないと考えます。　なぜならば、例えばＨＤＤは月に１万台当り２〜８台が故障すると
言うレベルの障害率を持つものだからです。　運が悪ければ、年間４〜１０数％等と
いったものに当るケースもあり得ます。
最近日本でもＰＣの盗難率が上がって来ている様ですのでどちらを優先するか、考え方
次第ですが。

企業向けの暗号化ソフトでは起動認証/ドライブ暗号化の機能を持ち、外部への複写では
復号化される、ユーザーは一般的なマシン若しくはネットワークログオンと殆ど変わらず
暗号化されている事を意識せずに使用出来るものがベストということになります。
只、この種のものは価格も高く、気安く導入出来る物ではありませんが、一応ご紹介して
おきます。

・　ＮＥＣソフト取り扱い　　　　ｐｏｉｎｔｓｅｃ
　　　　　　　　URL : http://www.necsoft.com/soft/pointsec

・　ミツイワ　　　　　　　　　　ｓｅｃｕｒｅＤＯＣ
　　　　　　　　URL : http://www.mitsuiwa.co.jp/secure/index.html　等

--------------------------------------------------------------------------------
【暗号化方式】

一般的に使用される暗号化の手法は大体次の５種類になります。　暗号強度と速度は
原則相反ます。（強固な程遅い..当然ながら？）

１．ＤＥＳ　(Data Encryption Standard)

　　米国商務省標準局が１９７０年代半ばに策定した暗号化アルゴリズム。
　　但し、次世代暗号化標準ＡＥＳ（Advanced Encryption Standard)が制定された
　　ことからその役目を終えています。　これは５６bitsのキーサイズでの暗号化を
　　行うものです。

２．ＣＡＳＴ１２８

　　Entrust Techinologies社(Northern Telecom のグループ会社） Carlisle Adams と
　　Stafford Travarses の開発した６４bitsブロック暗号化方式で鍵は1〜１２８bits
　　まで可変のものです。　このアルゴリズムは特許となっているが、その使用はフリー
　　なっており、ＲＦＣ２１４４として公開されている。　ＰＧＰ５.０ではこれが
　　デフォルトになっており、フリーソフトの中にもこれを応用しているものがあります。

３．ＡＥＳ（Advanced Encryption Standard）

　　これは米国標準技術局（ＮＩＳＴ）が次世代の暗号化標準として公募し、その中から
　　選ばれたベルギー J.Daeman,V.Rijman が開発した Rijndeal が最終選考の結果採用
　　され、ＡＥＳとなっています。　これはキーサイズ２５６bites の暗号化方式ですが
　　設計が単純で、簡単な算術演算だけで構成されているため、計算が圧倒的に速い様
　　です。
　　このアルゴリズムはＲＳＡ社からＲＦＣ３３９４として公開されています。
　　これが今後のデファクトスタンダードとなるのは間違いないでしょう。

４．Ｂｌｏｗｆｉｓｈ

　　Bruce Schneier が開発した方式。　３２〜４４８bits の可変サイズの鍵を持ち、
　　６４bits ブロック暗号化方式をとる。　特許なし、ライセンスなしでフリーに
　　使える為、フリーソフトにはこれを利用したものも多い。

５．ＲＣ５

　　ＲＳＡ社のＲＣシリーズの暗号化方式で１９９５年に提案されたもの。　可変長
　　ブロックサイズと可変長のキーサイズ、ラウンド数がとれ、キー長は０〜２０４８
　　bitsを使用できる。

３．４．の暗号化方式はいまの所破られていないはずですので、この方式を選択
出来る物を選ばれると良いでしょう。

【暗号化の形式】

　　どの様な単位をどの様な形で暗号化するかで、使い勝手と対象が全く変わります。
　　一般的には

１．一つ若しくは複数のファイル/フォルダを１つの暗号化ファイルにするもの。

　　殆どはこのタイプで、４ＧＢ迄というファイルサイズの制限を受けるものが多く、
　　又、中身を使おうとすれば必ず復号化という処理が必要になります。
　　これらはＺＩＰ/ＬＺＨの圧縮機能が暗号化に変わったものと考えて頂けばよいで
　　しょうか。　中には双方の機能をもつものもあります。

２．指定されたファイル〜ドライブ迄を暗号化仮想ドライブにするもの

　　このタイプにはＮＴＦＳに付随する暗号化の様に使用者に暗号化に伴う操作上の影響
　　を与えないものから、デスクトップ上のアイコンやアプリケーション・ウインドウを
　　経由し、毎回パスワード等を入力しなければ使えないタイプ迄存在します。　又、
　　システムが作るファイルについては、この上に置けないものがありますので、この点
　　確認が必要です。

３．物理ドライブ全体を暗号化してしまうもの

　　このタイプはＯＳの論理的Ｉ／Ｏ制御層の前後いづれかに暗号化のロジックを組み
　　込む事により使用者に暗号化を感じさせないものになります。

　　２．及び３．については、その多くが保護機能をより強固にする為、暗号化以外
　　　　の機能が与えられており、この為に暗号化を行ったシステム以外では復号が
　　　　不能なものやハード障害を起こすと全てを失う可能性がありますので、この
　　　　点の確認も必要です。


【個人用暗号化ソフトについて】

個人で使用するレベルであれば、この種のソフトウェアにもフリーウェアというものも
存在します。　また、ＵＳＢメモリー等ではバンドルされているものがあります。

Ｖｅｃｔｏｒの以下のＵＲＬ を参照し、ご自身の使用形態にあったものを探して
みられては如何でしょうか。

URL : http://www.vector.co.jp/vpack/filearea/win/util/security/cipher/index.html

データの受渡しを前提とする場合は、公開鍵型を使用するのが最も安全といえますが、
相手方が同じソフトを持ち、事前の鍵の受渡しと管理が必要なので少々しんどいですね。

外部へ持ち出すポータブル機器の場合、その機器上にはデータ・ファイルは入れないのが
今後の使い方ではないでしょうか。　データ・ファイルはＵＳＢメモリーにでも入れて
これを暗号化しておけば、落としても、ＰＣが盗難にあっても機密が漏れる恐れは少なく
なります。　セットで盗まれない/落とさない様に管理すれば良い訳です。

今後は特にＰＣを持ち歩く方は自衛の為、何等かのＰＣセキュリティ対策を講じておく
べきでしょう。

【残る漏洩リスクについて】

ディスク全体を暗号化する場合を除き、問題として残る点はＰＣのRecycler/Documents
& Settings 配下の Application Data, Local Settings, My Documents 等にＯＳ自身や
アプリケーションが作るファイルやＴｅｍｐファイル、レジストリ、スワップファイル
になります。　レジストリ、スワップファイルについては迂闊に弄るとシステムに異常
を来たす可能性が高いので手動での消去は諦めざるを得ないでしょう。

残りについて暗号化の対象にするか管理可能とするには、アプリケーションがどこを
作業域として使うか、結果をどこに落とすかも理解しておく必要があります。
外部記憶装置を使用する場合、アプリケーションやＯＳ側の作業域をこちらに移せる処は
移しておく必要があります。

その他、ゴミ箱の機能を活かしておけば、Recycler上に削除したファイルが残ります。
圧縮・解凍ソフトもその中間ファイルをＴＥＭＰフォルダ上に作り、これを消去しない
ものがあります　etc

システム系が作る/用意するこれらのファイルを消去するソフトもありますので、ご参考
迄に。

URL : http://www.vector.co.jp/vpack/filearea/win/util/file/del/index.html

ここ迄では未だ不十分で、このあとシュレッダ系のソフトで削除ファイルを上書きして
やらねば、復旧ソフトで一部は回収が出来てしまいます。

削除の際に自動的に使用領域を上書きするソフトも存在しますが、多くはアイコンに
ドラッグしたものだけが対象ですので注意を要します。　総合的にこれらの機能を提供
する市販アプリケーションも存在しますが、多くはマシン・リプレース等が使用目的と
位置付けられていますので、日々のクリーニングには少々怖いものが多い様です。
迂闊にすると営々と築いた作業環境が一瞬にしてズタズタになってしまいますので。

で、安心して出来る範囲はこれらの領域を定期的/機密情報を扱った後に確認し、不要な
範囲を削除した上で、ディスクの空き領域を消去するソフトを掛ける事になります。

ここまでを考えると、厳密な管理を要求される環境ではディスク全体を暗号化する以外
選択肢はなさそうです。　上記の様な消去手順を一般のユーザーに要求するのは酷と
いうものです。　これらを個別の市販ソフトで賄うとその差はそれほど大きなものでは
なくなりますし、この検証と作業の為にロスする時間コストを考えると、企業レベルでの
導入はディスク全体を暗号化するものを採用すべきでしょう。

================================================================================
　　　Ｏｎｔｒａｃｋ Ｄａｔａ Ｒｅｃｏｖｅｒｙ Ｓｅｒｖｉｃｅ--
======================================================豆知識===Vol.02-11=END====