Ontrack Now
================================================================================
■■ ■ ■ 豆知識 Vol.05-07
■ ■ ■ ■ ■ 暗号化ソフトについて
■ ■ ◆■■ ■■■ ■ ■ ■■◆ ■■ ■ ■ ■ ■
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■ ■■ ■ ■■ ■ ■ ■
■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■■ ■ ■ ■■■■
■■ ■ ■ ■■ ■ ■■◆ ■■ ■ ■ ■ ■ ■■ ■ ■
=============================================================2007.07.30=========
【暗号化ソフトについて】
ISO等の規格認定を取得するのはよいですが、必ずPDCAをまわし、より高いレベルへの
成長を求められます。(^^) 改善というノルマを果たして行かなければなりません。
持ち出し用機器の機密保護対策、常時持ち出しはまったくなし、お客様へのデモや海外
出張等も僅かな回数ですが、それでもなんらかの対策を採らねばならなくなる訳で、
最終的にはすべてのPCについてという事になるわけですね。 最近はあまり話題には
ならないようですが、シン・クライアント化するか・・・てな寂しい話です。
人を疑って掛かれという発想にはどうしてもついてゆきかねますね。 これがむしろ今の
世相を悪くしてゆく大本だと感じるのは編集子だけでしょうか。 盗った方も悪いが
盗られた方も悪い・・・そうではないのでは? 昔のように開けっ広げで良い世界の方が
どれだけおおらかで住み良い事か・・・
中でも不文律という言葉が忘れ去られて行く事が最も怖い・・・
さてさて、愚痴はこのくらいにして・・・
≪起動ディスクの暗号化≫
HDD全体を暗号化するソフトにも、暗号化の方法もいくつかの形があるようで、物理的
障害までを考慮する場合、セクタ単位に暗号化を行っている物を探さなければなりません。
システムを含めて行うものが必要か否かによる選択も加わりますね。 それと、この形の
ソフトは管理方式と販売形態により、実際に導入しようとした場合にイニシャルコストが
眼の玉が飛び出す程高い物が多く、たやすくは手が出せません。 大手企業から入るJOB
ではさすがにこの手のものが使われており、うらやましき次第・・・
・PointSec URL: http://www.tokyo.metro.co.jp/security/pointsec/
・SafeBoot URL: http://www.csi.co.jp/modules/smartsection/item.php?
itemid=22
・SafeGuard URL: http://www-06.ibm.com/jp/pc/think/thinkvantagetech/
utimaco_safeguard_easy.shtml
・秘文 URL: http://www.hbm.co.jp/cnt/product/c2/jp1hibun/index.html
といったものが依頼を受けるものの中では多いようですね。 この中で“秘文”はHDD
全体の暗号化で使われているケースは少ないようです。
安くてディスク全体の暗号化、1台を単位として管理出来る物はないか・・・で採用する
事にしたのが、
・ CompuSec SW URL: http://canon-sol.jp/product/cs/menu4.html
英語版でよければ、フリー版が存在するようです。
URL : http://www.ce-infosys.com/english/downloads/free_compusec/index.html
ただし、残念ながら編集子の社用環境では何れもDownload不能・・・??でしたが。
これは説明を見る限り、セクターbyセクターで暗号化を行っているようですので、
軽い物理障害であれば復旧出来る可能性があります。 緊急復号の為のファイルを
ちゃんと管理しておけばという条件は付きますが。
テスト的にBPBを消去したり、データ部の一部を上書きして復号出来るかをチェックした
限りでは復号出来ました。
IBM ThinkPad X31上でこの確認を行ったのですが、ちょっと欲を出して7200rpmの
ドライブを突っ込んだ所、突入電流のせいか起動出来ず・・・ガックリ
ノートの高速化にはHDDを高回転型に変えるのが最も効くんですが・・・突入の少ないのを
探すのも面倒で・・・
当面、持ち出し機器の機密保護対策には、これを採用する事にしました。
この他に興味を覚えているのは「CyberCrypt」です。 3段階の鍵を持ちますので、
データ消失のリスクを大幅に下げる事が出来ますね。 オールマイティな鍵やグループ
限定という鍵が置けますので、漏洩、事故から回収されたものの確認、所有者不在や
退職、死亡といった事由でデータを失う恐れがなくなりますから・・・ただし、ミニマムが
50ライセンスから・・・
・ CyberCrypt URL : http://www.oakis.co.jp/CyberCrypt/
PointSec、SafeBoot、CompuSecを使用したシステムで物理障害が起きた場合、もし
皆さんのお手元で回収を試みられるのであれば、次の手順を採る必要があるようです。
直接復号化を試み、手順を守らず途中で失敗してしまうと、すべてを失う事になります
のでご注意を。
1. ディスクを物理的に別の正常な新品HDD(データが残っていない)に複製する。
この過程で、物理的に読めない部分は切り捨ててしまう事になります。
ただし、Windows用のソフトウェアではこれといったものがないようです。
UNIXにはDDというコマンドがあり、これはエラーをスキップ出来たはずですので、
これを使う必要があるでしょう。
2. 複製した正常なHDDを元のシステムに組み込み、復号を行う。 この方法は
ソフトによって手順が違いますので、使われるものの復号手順に沿う必要が
あります。 ほとんどはWindowsの起動前に復号のシーケンスが準備されています。
3. 復号した結果を他のPCのセカンダリに接続し、“データ復旧”ソフトを使って
データを回収する。
PointSecの場合は復号の過程でログをリカバリーFDの中に書き込んで行きますので、
これが大事になります。 物理障害を持つHDDを復号しようとして失敗した場合、
このログがないと手の打ちようがなくなります。 いずれも暗号/復号化の処理過程で
作成するファイルは全てしっかりと保存しておかなければ、万一の場合にすべてを失う
事になりますのでご注意を。 必ず別の媒体に複製を持っておきましょう。
暗号化をしたいPCが少ないのであれば、CompuSec SWは価格的に安いですし、CompuSecが
作るファイルを1箇所にまとめておけば復号も出来そうですから、使い易いと思います。
そのうち、どの程度の破損に耐えるかをチェックしてみたいと思っていますが、セクタ
byセクタですので、復号上の問題はないはずですから、壊れた部位だけの問題、運次第
という事になるはずですね。
≪個別暗号化≫
編集子は外付けHDD全体、フォルダを単位とした暗号化には“TrueCrypt”を使い続けて
います。 今のところ一度もトラブルの経験はありません。 ドライブレターを余分に
喰うというデメリットはありますが、マウントするという感覚で使用出来るので、
サーバー上にあるバックアップの暗号化ボリューム、クライアント上の暗号化ボリューム、
PCMCIA=CF上の暗号化ボリュームといった具合に同時に3〜4つを開いて作業をする等
といったタイミングも出て来ています。
そこで、次に欲しくなっているものは、ファイル単位で暗号化を行うものです。
OSの影響を完全に排除出来るのであれば、自己復号型のものが出てくればいいですね。
現在使用しているCompuSec/TrueCryptは、すべてその暗号化領域が使用可能となった
後は、無防備になる訳ですから。
ちょっと、この種のものがないか調べてみよう・・・
Vectorをちょっと覗いてみた所、いろいろなものがありますね。 ここでお勧めに
なっている2種をちょっとだけ齧ってみました。
−アタッシュケース URL: http://www.vector.co.jp/soft/win95/util/se280871.html
HP : http://homepage2.nifty.com/hibara/software/index.htm
Vectorは2006/05公開版ですが、ホーム・ページには2006/10公開の2.54が
ありますので、こちらから落とされる方が良いでしょう。
(特徴) ・ 自己復号型ファイルが作成出来る事
・ 暗号時に合わせて圧縮を行う事
・ 暗号時保存先を設定出来る事
・ 復号時保存先を設定出来る事
・ タイムスタンプを元ファイルに合わせられる事
・ ファイルアイコンを設定出来る事
・ 暗号化ファイル名に元の拡張子が含められる事
・ フォルダ/ファイルレベルでの暗号化に対応する事
・ フリーウェアにしてはヘルプが充実している事
プログラムそのものはインストーラー型でレジストリ登録も行いますので、
USBメモリに入れて持ち歩き、どこでも同じ暗号化方式を採るといった使い方は
出来ないかと思いましたが、動作設定ファイルの書き出しをして、このファイルを
プログラムと一緒に持てば、USBメモリ上から実行が出来ました。 自己復号型
ファイルが作成出来ますので、鍵だけを管理すれば良いというメリットがあります。
現状の動作範囲は98/NT/2K/XPとなっています。
特徴部分のテストをしてみましたが、動作しているようです。 ただし、自動実行で
復号しようとすると、復号時保存先を指定しているにも関わらず、暗号時保存先が
デフォルトになってしまうようです。 ま、自身の上ではないので致し方ないですが。
このソフトを「TrueCrypt」で暗号化したCFのボリュームの中に複製し、暗号/復号時
保存先だけを変えて実行してみましたが、これも問題なく動作しました。
−ED3.3 URL: http://www.vector.co.jp/soft/win95/util/se119287.html
HP : http://type74.org
(特徴) ・ USBメモリー等の可搬媒体上から実行が可能な事
・ 先頭部にソフト情報が付与されている事
ちょっと心配な所は、2005/10/17以降動きがない事とサポートサイト自体の最終
メンテが2006/09/18と言う点ですね。
USBメモリー上から起動し、その上にあるファイルを暗号化/復号化してみましたが
テスト範囲では動作しました。
ファイル単位に暗号化するソフトを使用する場合、個別ファイルとして複写した時に、
相手側に同じソフトがあれば復号が可能か否かを確認しておく必要があります。
もう一点は、ファイルが暗号化されたままコピーされるか否かと、これがコピー先にて
単独で復号出来るかです。 WindowsのEFSのように複数箇所に情報が分散記録されて
いるものでは、ファイル本体をバックアップしておいても何の役にも立たないからです。
暗号化は、反面データ消失という非常に大きなリスクを負います。 もし、鍵を忘れて
しまったら全てを失う訳ですから、使用する場合は充分な注意が必要です。 鍵管理
ソフトを使うのもひとつの方法で、確かに便利ですが、これが逝くと一挙に・・・
最後は手帳に書いておくしかない?・・・
これ等が、ISO/SOX等の要求によって機密保護/セキュリティ管理を行う事で、逆に
切実な問題となってくる派生リスクです。 情報漏洩、盗難リスクよりも忘却、誤操作、
ハード障害リスクの方が遥かに高いのですから。 消失リスク保護を考えると、複数の
対策の組合せになりますが、これがまた次の派生リスクを生み出してくれます。
入退室管理システムにしてもそうですが、未だシステムを構成するインフラが成熟して
いるとは言えず(従来の発想にしがみ付いていて遅れている?)、仕様上の機能が危険で
使えない(まあ、エマージェンシー・ロックのプラスティック・キャップを壊せばいいの
ですが・・・)等、ハード・ソフト共にまだまだ未熟ですね。
アクセス・情報資産管理システムも同様です。 私共のようにWindowsだけでなく、
Mac/UNIX/Unix-NAS/Netware等が混在する環境では、この一括管理が出来ないでいます。
実現は非常に難しい事でしょうが・・・
加えて、デジタル化、アプリケーション化が如何に脆い物かを心しておく事ですね。
フィールドごとに入力データの正誤確認を出来るだけ厳密にする、変更権限を限定的に
設定する等といった事でシステムの運用精度/アプリケーション寿命が上がるかのように
錯覚している方が多いのも編集子には不思議な事です。 むしろ逆で、不確定要素を
残したままでも、原始データの取り込みが出来る方がまだましですね。 元々漢字を
使う事一つを取っても、一義にはならない以上、色々な問題が派生するのは明らか
なのですから。ある時点で人間の想像力が届く範囲は、今色々と問題を起こしている
程度のものでしょう。
最近の国民年金問題も運用するレベルでの問題にまでアプリケーション自身やこれを
操作する人達のリスク感覚がついていっていないからですが、ただ、それを求めると
現在のアプリケーション構築レベルではとてもカバー出来ないでしょう。 証券の
デジタル保管等も推し進められていますが、全く同じ危険性を孕んでいると言って
よいでしょう。その内同じような問題を起こすのでは?・・・
他山の石になればよいのですが(^^)
以上
================================================================================
Ontrack Data Recovery Service--
======================================================豆知識===Vol.05-07=END====
