パソコンを液体窒素で固めて持っていかれた場合。オーシャンズ級。

数年前、ある女性向けサロンの店長さんから、パソコンのセキュリティについてチェックしてほしいと言われ、2日間程現場の様子を見せてもらった。プールの監視員みたいな感じで。
パソコンはノートタイプ1台で、カウンセリングを行うカウンター(対面)に設置され、場合によっては画面を顧客の方に向けて商品やコースの説明などを行うという、店舗におけるとても代表的なパソコンの使い方で、なおかつその中に全ての顧客データが入っている。
その時のチェック項目をご紹介したい。
※今回はセキュリティ対策なので、バックアップなどについては触れていない。

/*
少し似たシーン。最近の病院は、患者の目の前で直接パソコンにカルテや処方箋を打ち込むケースが多いが、何か話していると(*D)、他の患者のデータが映し出されることがよくある。私は目の前で女性患者の個人情報とレントゲン+MRI画像が映し出されたことがあり、自ら身体の向きを変えて絶対見ませんアピールをした
(*D)スパイやハッキングの手法として、通常の操作手順にない話を持ち出すというものがある。例えば「去年も同じ症状で来院したんですけど、その時はどうでしたっけ?」など。すぐに取り出せる準備ができている場合もあれば、一度ファイルを閉じて、デスクトップを探したり検索するという作業を強いられる場合もあり、この時に予期せぬ他人のデータが表示され、盗み見られる事が多い。極めてアナログだが、仕様よりも実装、実装よりも操作に問題があることの方が多く、結局は対人間ということが言える。
*/


■はじめに
これまでのネットワークセキュリティの問題とは離れて、今回はローカルセキュリティについて探ってみたい。
パソコンのセキュリティには、リモート(通信網からの脅威=主に見えない敵)とローカル(パソコンを直接操作できる至近距離での脅威=主に見える敵)の2種類ある。
例えば、ファイアウォールアンチウイルスを設定しリモートの脅威を遮断しても、直接パソコンを操作され、データを無断コピーされたり、変なソフトをインストールされたりというローカルの脅威は防ぐことはできない。画面の覗き見や、パスワードを打つ際の手元を盗み見ることもローカルの脅威だ。
店舗や事業所などで人の出入りの多い場所では、ローカルセキュリティについても配慮する必要がある。
しかしどうしても何か起きる度に「●●の対策は万全だった」と見聞きし、実際には対象となる脅威とは異なるセキュリティ対策を施していることが多い。
例えばこれまでご紹介したWi-Fiのセキュリティについて十二分な対策をとっても、ノートパソコンごと盗まれてしまうとまた別のカテゴリのセキュリティの話となるので、今回はローカルの対策を段階的にご紹介しつつ、その時リモートからの脅威はどうなっているのかという別アングルも併記することにした。

以降:Macの用語・操作方法で書いているが、Windowsにもほぼ似たような機能・仕組みがあるため読み替えていただきたい。


■準備
問題発生時にリモートとローカルの問題を切り分けるために最低限下記2点はクリアしたい。
 1,ウイルス定義の更新期限が過ぎていない、最新のアンチウイルスソフトのインストールと適切な設定。
 2,Windows、MacOS標準のファイアウォールをオンに。

※もっといいものを設定している場合はそちら優先で。
重要:(プロバイダなど)メールサーバーなどにインストールされているから安心というわけではなく、パソコン自体にもインストール・設定が必要。なぜならプロバイダ(サーバー)の外から来るものは遮断できても、サーバーとパソコンの間、またはパソコンに直接(USBメモリなど各種記録メディア、圧縮または暗号化された添付ファイルなど)訪れる脅威に対応できないから。

/*
プロバイダなどが行うウイルススキャンサービスは、圧縮されていたり暗号化されている添付ファイルからはウイルスを検出することはできない。そのメールを受信し開いた時(解凍したり復号したり)に初めて「実体」となるため、物理的なセキュリティチェックで言えば、気体で持ち込み液体または固体化した時に実体が目視できるような感じ。だからこそパソコンにもアンチウイルスソフトは必須だ。
また他人から受け取ったUSBメモリやSDカードなどのウイルススキャンも重要なので、外部メディアの自動スキャンをオンに。自分のパソコンは感染していなくても、他人のパソコンまでは目が行き届かないから。
*/


■第1段階 ログイン用パスワードを設定し、自動ログインはオフにする。
度合:絶対にやりましょうというレベル
問題:店舗などゲストでも比較的触れやすい場所にパソコンが設置されていてる場合は特に注意。
対策:パソコン起動時にパスワードの入力を必須にする。「オートログイン」(自動ログイン)機能はオフにし、パソコン起動時・再起動時に必ずパスワードを手入力しないと操作できないようにする。

営業時間外、夜間・早朝に第三者が出入りするような場合(業者や点検などを含め)、パソコンを触ろうと思えば触れる場所にある場合などに有効。

課題:起動時にしかパスワードを求められないので、必ずパソコンの電源をオフにしないと機能しない。

リスクA:ログイン用パスワードを知ることはできなくても、パスワードを強制的に変更して起動することができるので、パソコンを盗まれた場合などはこのままでは不完全。3分あればログイン用パスワードによる保護は解除できてしまう。もしこっそりやられると、次回ログイン時にパスワードが変わっているので、事後に気づくことになる。
※パソコン所有者がログイン用パスワードを忘れてしまった場合に、強制的に変更できる機能を使用する。利便性とセキュリティは相反するもの。

その時リモートでは:この対策では起動後のセキュリティには何ら貢献しないため、リモートの脅威には役に立たない。

現在のパスワード:1種類 ログイン用


■第2段階 スクリーンセーバー、ディスプレイを切る、スリープからの復帰時にパスワードを要求(即時)する。
度合:最低限やりましょうというレベル
問題:電話対応している間などスクリーンセーバーが起動しても、復帰時にパスワードがかかっていないと誰でも操作できてしまう。
対策:5分間操作しなければスクリーンセーバー起動(覗き見、焼き付きの防止)。
対策:10分間操作しなければディスプレイを切る(省電力とディスプレイ寿命を延ばすため)
対策:15分間操作しなければパソコンをスリープにする。
対策:スクリーンセーバーが起動した際、ディスプレイの電源が切れた際(省電力モード含む)、スリープに入った際、解除(元の画面に戻る)する時にパスワードの入力を必須かつ即時(*A)要求にする。

(*A)即時:1分、3分などの設定もあるが、即時(Macでは“開始後:すぐに”)がおすすめ。
店舗などで、レジがバックヤードにある場合や、在庫確認などで裏に入ることが多い場合などは特にロックした方がいい。
また、すぐ戻るつもりだったのが誰かに呼び止められて、パソコンの前に戻るまでに時間がかかった時などに効き目がある。

※以降、この3つを「画面ロック」と表現し、画面ロックされた状態から操作できる状態に戻ることを「解除」または「復帰」と表現する。

今回の設定では5分以上席を離れた時は自動的に画面ロックされ、他人が操作することはできない。
特に3段階にする必要はなく、スクリーンセーバーは飛ばしてすぐにディスプレイを切るまたはスリープでも同じ効果が得られる。「画面の付けっぱなし」だけは覗き見されるので顧客データ保護のためナシ。特に何も重要なデータが画面上になくても、途中でメールが届いたりカレンダーからアラームが通知されたり、席を離れている間に予期せぬ画面表示も考えられる。

推奨:もし可能なら、第1段階で設定したパソコンのログイン用パスワードとは異なるパスワードを設定する。

/*
「〜分以上操作がなければログアウト」という設定もあるが、復帰(画面ロック解除)する際に起動時のログイン用パスワードと同じものになる点と、保存していない書類などがあるとログアウトがキャンセルされ画面ロックされない可能性があるので、こちらの方が安全かつ有効だろう。
*/


リスクA:回避できない。第1段階と同じ。画面がロックされていても、強制的に電源を落とし、再び起動することで第1段階と同じレベルに戻ってしまう。その後は操作し続けることで画面はロックされない。

その時リモートでは:画面がロックされていてもリモートアクセスは可能なので、リモートの脅威には役に立たない。第1段階と同じ 。

現在のパスワード:2種類 ログイン用、画面ロック解除用


■第3段階 ホットコーナーを設け、即時画面ロックを有効にする。
度合:席を離れてすぐ操作される可能性がある割と緊迫したレベル 
問題:席を立つならそれが1分以内の予定であったとしても、急用が入るかもしれないので、予め自らロックをかけた方がいい。かといって全部書類を閉じてログアウトするのは面倒だし、迅速な対応ができない。
対策:ホットコーナー(Macの名称)の設定を行う。例えばマウスを画面右下にやるとスクリーンセーバー起動、右上にやればディスプレイを切る、左下にやればスリープなど。

席を離れる時はどちらかにマウスをやり、解除するにはパスワードが必要な状態(第2段階で設定済み)にする。

いずれもパスワードは即時要求するように設定する。※第2段階で設定している場合はそのまま適用。
即時要求にしないと、スクリーンセーバーに入った瞬間や、ディスプレイが切れた瞬間、スリープに入った瞬間なら、マウスなどを動かすとそのまま元の操作に戻れる場合がある。そうすると席を離れた瞬間に操作されてしまう可能性がある。

店舗のパソコンなど、席を離れる際さりげなくさっと画面ロックがかけられるので、最低限ここまでの設定はしておきたい。

通常ここまで設定すれば、自分のパソコンが誰かの手によって不正に操作されることは防ぐことができ、第4段階からは、それなりの悪意と目的を持って狙われていると考えられる。

リスクA:回避できない。第1段階と同じ 。

その時リモートでは:第1段階と同じく、リモートの脅威には役に立たない。スリープに入ってもリモートからのアクセスでスリープが解除される場合がある。

現在のパスワード:2種類 ログイン用、画面ロック解除用


■第4段階 キーチェーン管理用のパスワードを異なるものに、スリープ時にロックするよう設定する。
度合:1〜3をクリアしても、何となく嫌な予感がする緊迫したレベル
問題:パスワードが1種類だと1つ漏れた時点で全滅する。
対策:キーチェーン(*B)管理用のパスワードをログイン用、画面ロック解除用と異なるものに設定する。

キーチェーン(*B):MacOSにおける名称。ID、パスワードなどをまとめて管理する「キーチェーンアクセス.app」のこと。これに保存するとFacebookやWEBメールなどのログイン画面で、自動的にID、パスワードが入力される。手間が省ける分危険でもある。

もしログイン用(管理者)パスワードが漏れてしまった場合、通常はキーチェーン管理用のパスワードも同じなので、キーチェーン機能を使って各種WEBサービスなどにもログインされてしまい、メールやショッピングアカウントなどのパスワードを変更され、メールアドレスまで変更されるとログインすらできなくなってしまう。まさしく「乗っ取られる」瞬間だ。最小限に食い止めるために、キーチェーン管理用パスワードとログイン用パスワードは分けたい。

推奨:「操作しない状態がxx分以上続いたらロック(*E)」「スリープでロック」を設定する。(*E)はスリープまでの時間より短い時間を設定しないと機能しない。

リスクA:回避できない。第1段階と同じ 。ただしキーチェーンに保存されたパスワードを見ることはできないため、連鎖的にWEBサービスなどにログインされる心配はなくなる。

その時リモートでは:第1段階と同じ。

現在のパスワード:3種類 ログイン用、画面ロック解除用、キーチェーン管理用


■第5段階 起動ディスクごと暗号化しよう。
度合:1〜4はクリアした上で、ノートパソコンなどが盗まれるなど危険なレベル
問題:その場では時間がかかるので、どこか作業場へ持っていこうとされた場合。及びリスクAにも対応したい。
対策:パソコンを丸ごと暗号化する。Macの場合「FileVault」、Windowsでは「BitLocker」という機能がある。

この段階では、何か悪戯をしようというレベルではなく、明らかな目的のあるデータ泥棒への対策だ。

もしノートパソコンだったら、本当に悪意があればそのまま持ち去ることができる。
パソコンの電源が切れていれば起動時にパスワードがいるし、起動中に盗まれた場合はスクリーンセーバーに入ってたし、ディスプレイ切れてたし、スリープに入ってたし、いずれにせよパスワードが必要だから、そのままバッテリーが切れて終わりだねと考えられているが、実はそうではない。

第4段階までの対策では、ノートパソコンからハードディスク(又はSSD)を取り出し(以降、起動ディスクと表現する)、他のパソコンに追加ディスクとしてマウントすることで、USBメモリなどと同様にそのまま読み書きすることができる。
或いは他のパソコンとケーブルで直接接続し、外付けディスクとしてマウントすることで自由にアクセスできる。Macで言う「ターゲットディスクモード」。
これまで設定したパスワードは、全てその起動ディスクにインストールされているOS(WindowsやMacOSなど)の機能として働くものなので、他のディスクから起動されたパソコンには適用されない。
よって取り出された起動ディスクは、他のパソコンのただの外付けディスクとして使えてしまう。初期化し自分のものにすることもできるし、データをコピーすることもできる。

これらの対策として、起動ディスクを丸ごと暗号化する。その際に暗号解読(復号)用のパスワードを設定する。以降「マスターパスワード」と表現する。

推奨:これまで設定したいかなるパスワードとも異なるものを設定したい。

/*
※USBメモリや外付けディスクなどは迷わず暗号化した方が良い。
※他人とデータを交換するためのディスクならば暗号化の方法を話しあう必要がある。
*/

リスクA:回避できる。管理者ログイン用パスワードを強制変更できなくなるため(マックの場合)。

その時リモートでは:第1段階と同じ。起動ディスクを暗号化しても、起動している限り、SSHでもファイル共有でもリモートデスクトップでも接続できる。第5段階まで対策済みの状態でネットワークファイル共有ができるのは、丸ごと暗号化したパソコンであっても、起動してしまえば通常と何ら変わらないということを示している。よって、過去にファイル共有していたユーザーが、このパソコンを暗号化したその日からファイルが読めなくなるわけではなく、パソコンが起動している限り、今まで通りファイル共有ができる。
※ただしMacの場合FileVaultで暗号化すると、ファイル共有ではsmbプロトコルは使えず、afpのみとなる。

現在のパスワード:4種類 ログイン用、画面ロック解除用、キーチェーン管理用、マスターパスワード

/*
「OS X Yosemite」の深刻な脆弱性「Rootpipe」--パスワード入力なしに特権昇格が可能に
http://japan.zdnet.com/article/35056060/
「スウェーデンのハッカーであるEmil Kvarnhammar氏によって発見された」セキュリティホールで、アップル社の要請を受け入れパッチが提供されるまで具体的な手順の公表が控えられた。
記事中のFileVault(起動ディスクの暗号化)のすすめは、何らRootpipeの対策にならない。(私の英語力で)原文を読む限りEmil Kvarnhammar氏がすすめているわけではなくて、(英語版の)メディアの記者の意見として書かれているようだ。その後公表されたコードサンプル(言語はパイソン)を見ても、飽くまでパソコン起動後に実行するものなので、起動ディスクの暗号化はこの件のセキュリティには貢献しない。

Shellshockも同様。
記者は「ShellShock」に触れてみた、そして震え上がった
http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/093000069/
起動中のbashのセキュリティホールを突いて侵入するため、起動ディスクを暗号化することでは対処できないが、多くの対策ディスカッションの場で、起動ディスクの暗号化が登場する。
*/


■第6段階 それでもまだ何か心配な場合。〜その直感を信じよう編〜
度合:1〜5の対策を知りながらそれでも狙う犯人がいるという極めて危険なレベル
問題:インストールDVDなどから起動しパスワードロックをかいくぐろうとする敵に対応したい。
対策:ファームウェアパスワードを設定する(マックならEFI、WindowsではBIOS?)

/*
通常ならばここでバイオメトリクス(生体)認証(例えばATMのような静脈認証など)の導入という流れになるが、一般家庭や店舗への導入はまだまだ手軽でないし、ノートパソコンなどのポータビリティ性も失われ、それなりに代償も大きいので、参考文献の掲載にとどめたい。
これからの本命–バイオメトリクス認証 10 種類を紹介
バイオメトリクス認証を導入するには、OSに依存せず(OS起動前じゃないと意味がないから)単独で動作し、静脈などから読み取ったデータを符号化(すなわちパスワードにする)し(*F)、パソコンの電源を入れた瞬間にEFI(Windowsでは多分BIOS)に対し(*F)が一致すれば起動許可を与えるという手順が必要なため、機器自体がそれなりのシステムを持つことになる。
この第6段階では、OSのログイン用パスワードのもっと手前のファームウェアパスワードレベルでのセキュリティ考察なので、ログイン用パスワードの代替では期待する役目を果たせない。
※手軽な周辺機器として動作する指紋認証などは、アンインストールされ機器を取り外されると機能しないので気休めレベルだ。
*/

インストールDVDから起動したり、シングルユーザーモードで起動したり、あの手この手でOSが持つパスワードロックをかいくぐろうとする人も実際にいる。
通常利用ならば第5段階までの対策で十分ではあるものの、念には念を入れたい場合にはファームウェアパスワード(Mac)を設定する。※もちろん他の4種類のパスワードとは異なるものを。※Windowsの場合はBIOSのパスワード
そうすることで、もうこのパソコンから何かを盗もうという気も失せてしまう程の「攻撃的ディフェンス」を見せつけることができるだろう。
※ただしアップル(マックの場合)のサービスマンなら解除できるので、これが究極というわけではないが、第5段階で起動ディスクを丸ごと暗号化しているので、データ自体の漏洩リスクはほぼない。

1〜5をクリアしていて、なおかつこの段階でローカル側で心配すべきは、
 操作中の覗き見。他人から肉眼で見えるものは操作している本人と同じなので、パソコン側では対処できない。後ろに人がいる時にはパソコンを操作しないのが基本。
 操作ミス。例えばデスクトップにあるファイルを間違ってメールに添付してしまった場合、起動時に暗号を解除しているので、相手に届く時には暗号化されていない。
 一瞬の隙をついてUSBメモリなどを差し込み、ファイルをコピーするということも可能だ。そのため第3段階の「ホットコーナー」対策は必須と言える。

というわけで暗号化を解除した(パソコンを起動しデスクトップが表示された)時点で、第4段階までと同じ状態であるということ。
起動ディスクの暗号化はパソコンを盗まれた時、起動ディスクを取り出された時(+リスクAに対処する)にだけ威力を発揮する。

その時リモートでは:第1段階と同じ。起動した後はいつも通りなので、リモートの脅威に対する防衛は何ら期待できない。

現在のパスワード:5種類 ログイン用、画面ロック解除用、キーチェーン管理用、マスターパスワード、ファームウェアパスワード

この辺りから、通常の方法ではロックを解除できないので、それでも狙われる場合はその理由を探ることも大切だ。
ここまでくると、本人にパスワードを聞き出すのが一番確実なので、定番中の定番手法(例えばハニートラップなど)に注意したい。その他、内通者(セキュリティの仕様が漏れる)にも気をつけたいレベル。この先はリモートでもローカルでもない新たな脅威(買収や美女やいろいろ)とも戦うことになる。


■第7段階  ノートパソコン使用中にぶん殴られて強奪された場合。〜今更ながら犯罪レベル編〜
度合:もう「そこにそのパソコンがある限り」という執念のレベル
問題:起動中、操作できる状態のまま持ち出されると1〜6は無効になる。
対策:暗号を2段階にする

Wi-Fiと同じく「暗号化したから、パスワードかけたからもう大丈夫」と思ってしまいがち。

「WPA2-PSK」:あらかじめキーをシェアする方式を理解する
http://www.atmarkit.co.jp/ait/articles/1504/22/news002.html
※このように、暗号化してもキー(パスワード)を共有している場合もあるので、仕組みそのものを理解する必要がある。

パソコンを丸ごとを暗号化しても、パソコンを起動する際にパスワードを入力し、デスクトップ画面が表示された時点で、全ての暗号が解除(復号)されている。
※暗号が解除されているからこそ自分の目に見えると思っていただきたい。
※暗号化が無効なのではなく、ここでは暗号化を自分で解除した状態で盗まれているので、パソコンから見ればそのまま本人が使っているのと同じ。家の玄関の鍵を開けた瞬間に侵入されるイメージだ。

でもスクリーンセーバーの起動やディスプレイが切れたりスリープに入ればパスワードが必要だし、再起動すればパスワードが必要でしょと考える。
一般的には確かにそうだが、正常稼働している状態(操作中)で盗み、すぐに車などに運び電源を取るか、無停電電源装置(UPS)につなげば数時間はそのまま使用できる。バッテリーの持ちのいいノートパソコンなら何もしなくともゆっくり外付けディスクにデータをコピーできる。
この方法ならば暗号化を解除するためのパスワードもいらない。画面ロックされないように、たまにキーボードの矢印キーでも触っていればいいのだし。
※ここでも第3段階の「ホットコーナー」の設定は必須と言える。危ないと思ったらすぐにロックできる。

デスクトップパソコンなら電源ケーブルを抜いた時点で電源が切れ、次に起動するにはパスワードが必要なため通常はこの方法は効かない。
よってノートパソコンをメイン機にするのはあまりおすすめできないが、設置スペースが限られた店舗などやむを得ない場合もあるので、通常操作に入っている時点では、自分が死守するしかない

が、パソコンを操作中、どこからともなくとても素敵な美女が現れ、一緒にシャンパンを飲もうと言われれば飲まずにはいられない男性陣。気がついたらいびきかいてました的なハニートラップに逢うこともあるかもしれない。
そこで、更に暗号化する。デスクトップや書類フォルダなど、盗まれては困るフォルダの中にいくつかのフォルダ(名称は●●+年月などにすると整理しやすい)を作り、それぞれを個別に暗号化する。
マックならディスクイメージ、Windowsなら「内容を暗号化してデータをセキュリティで保護する」という機能が使える。

操作中は、その時必要なフォルダだけを暗号化解除する。そうすれば操作中に盗まれても、暗号化解除しているフォルダ以外にアクセスすることはできず、漏洩被害を最小限に抑えることができる。
事業所のパソコンは、普段は閲覧することのない個人情報や、税務上保存しておく必要のある過去のデータなどが蓄積するので、年月ごとにフォルダ分けして暗号化しておけば安全だ。

その時リモートでは:第1段階よりは向上し、暗号化が解除されているフォルダにしかアクセスできなくなった。ただし敵がパソコンを持っていったので、あなたがリモートだ(笑)。

現在のパスワード:6種類 ログイン用、画面ロック解除用、キーチェーン管理用、マスターパスワード、ファームウェアパスワード、フォルダの暗号パスワード

/*
こういう時(ローカルとリモートが逆転する)のために、バックドアを設けておくという考え方もある。※盗まれた自分のパソコンにリモートから侵入するため。
しかし普段はそのバックドアがセキュリティホールとなるので、外から侵入するためのバックドアを用意するよりも、常に「ある場所」に発信し続ける手法の方が良いかと思う。
もしバックドアを使う場合、盗まれたパソコンがどこかでインターネットに接続されても、そのIPアドレスを知る方法がないため、リモートから侵入することはできない。ならば、定期的に自己IPアドレスなどを自分が管理する特定のサーバーに発信し続け、応答コードによって振る舞いを変えるようにプログラムする。例えば「 1」が返れば正常(続行)、応答がなければ引き続き待機、「9」が返れば一部データの削除、「007」が返れば全抹消など。そうすると、パソコンを盗まれた時点でサーバーの応答コードを書き換えることで、盗まれたパソコンがインターネットにつながり次第、リモート操作(データ消去など)と同様の効果が得られる。
※インターネットに接続する前に気づかれ、機能をオフにされたらお終いなので、削除・移動するには管理者パスワードが必要な場所・権限に設定する必要がある。
*/


■第8段階  デスクトップパソコンやサーバーも盗まれる可能性がある場合 〜相手はプロです編〜
度合:ついにオーシャンズがやってきたレベル
問題:ノートパソコンをやめてデスクトップにしたら机ごと根こそぎ持っていかれるかもって心配。
対策:何を盗まれてもそこにはデータがない状態にする。シンクライアント化。

パソコンの中には何も保存せず、メールもWEBメール形式にし、必要なデータなどは常にLAN上のサーバーから読み出すようにすれば、パソコンを盗んでも意味がなくなるし、そのサーバーの所在がわからなければ物理的に盗むことはできない。
※いわゆるテレビや映画に出てくるような厳重ロックの部屋に設置されるイメージ。そこには静脈や網膜、声紋スキャンなどのバイオメトリクス認証が有効だ。

/*
ギガビットEthernetで、サーバー側がSSDやRAIDなどの高速ストレージであれば、毎秒100MBくらいのスループットが得られるので、LAN上のファイルを操作することもそれほどストレスではない。むしろ古いパソコンのハードディスクよりは遙かに速い。
*/


サーバーは特定のローカルIPアドレスからしかアクセスできないように設定(IPフィルタリング)しておくことで、盗まれてどこかに持ち出された場所(グローバル側)からは接続することができず、もし盗まれたパソコンの中にサーバーへの接続パスワードが残っていたとしても、ただちに侵入される恐れはない。※盗まれた時点でIDとパスワードを無効化すればいい。

監視カメラに映像を記録している場合、監視カメラを壊され盗まれればそれで終わりなので、監視カメラの映像はLANなどで離れた秘密の場所にあるレコーダーに記録するのが基本だ。
カメラを壊しても肝心なレコーダーのデータを消えないので、カメラを破壊する意味がなくなる。
今回のシンクライアント化はそれと同じ考え方だ。

こういった理由から、ネットワーク図や、設置場所などがわかる図面などを外部に提供すべきではない。
特に貸し切りパーティーなどを行う店舗は、図面を求められることが多々あり、使えない場所は「倉庫」などとして黒く塗りつぶすことをおすすめする。
※下手に隠そうとすると何かあることがわかっていまうので、「倉庫」とか「着替え室」とか名付けておく方が無難。

業務用のサーバーやデスクトップパソコンは、ノートパソコンのようにバッテリーがないため、無停電電源装置(UPS)を接続する場合が多い。
UPSはバッテリーのような働きをし、停電時や電力が不安定になったりした際に、作業中のデータが失われたりサービスが停止することを防ぐことができるが、実際のところ、物理的な防犯上はむしろ危険度が増す。
UPSを使用する場合、電源コンセントからUPS、UPSからパソコンへと電源を取るため、電源コンセントを抜いてもそのままパソコンは動き続けてしまう。そこでUPSとパソコンをそのままセットで運べば、離れた場所に一度も電源を切らずに移動でき(車まで運んだらそこから電源をとれる)、前項のノートパソコンと変わらないセキュリティレベルとなる。

その時リモートでは:各端末にはデータを持たせないため、問題ないといえるレベル。

現在のパスワード:7種類 ログイン用、画面ロック解除用、キーチェーン管理用、マスターパスワード、ファームウェアパスワード、フォルダの暗号パスワード、サーバーへの接続パスワード


■第9段階 盗まれた現場が一度凍った痕跡がある場合 〜もう手に負えません編〜
度合:カリフォルニア工科大学の学生が誕生日サプライズでやりそうなレベル
問題:パソコンを丸ごと液体窒素で固めて冷凍車で持って行かれてしまった。
対策:盗む意味合いを奪う。ワンタイムパスワードなど。

もうここまで来たらプライドの戦いではなかろうか。
そこにどんなデータがあろうともなかろうとも、こうなったら何でもいいので盗み出すことが目的となりつつある状況下において、メモリまたはパソコンを丸ごと液体窒素で凍らせてしまうという方法がある。

プリンストン大学の研究者らが発表したディスク暗号の高速解読法について
http://news.mynavi.jp/articles/2008/03/02/cipher/

これを「コールド・ブート攻撃」あるいは「アイスマン攻撃」と呼ぶこともある。
早い話、本来パソコンの電源を切って10秒ほどでRAMから消え去る記憶の減衰速度を凍らせて遅らせようという手口だ。
アナログだが遙か昔マンモスにも効いた実績がある。

ただし記事には、
微細化の進んだ最近のメモリの方が保持時間は短くなる傾向という。
とあり、「ハッキング」は「ハッとして!Good」の略ではなくて。顧客データの保護。でご紹介した「残留磁気探索装置」のように、集積度(物理的密度)の高い最近のHDDには有効でないソレと同じニオイを感じる。

パソコンを液体窒素で固めて持っていかれた場合。オーシャンズ級。_f0337316_11223551.png
論文は512Mbitだが、私のパソコンのDDR3メモリの密度は4Gbitだ。※容量ではなく密度。2015/05/30追記


私自身は「コールド・ブート攻撃」の実験をしていないので何とも言えず、世間的に割と警戒レベルの高い情報なのでご紹介した。

電源を切って10秒間ほどはパソコンの前にいるようにしたい。
※昔から電源を切って再投入する際、「10秒程待って」というのはこの理由から。

上記記事によると、BitLockerFileVaultも破られているので、第7段階の暗号の2重化と、第8段階のデータを持たないという対策が有効だ。
※メモリ内にサーバーへの接続パスワードが残っていてそれを取り出されたとしても、第8段階ではIPフィルタリングを施しているので侵入される恐れはない。

メモリやハードディスク、SSDなど記憶媒体にアクセスしやすい程メンテナンス性は良い。一方、その分短時間で抜き取られてしまう可能性を示唆しており、便利と危険、不便と安全は常に絡み合っている。
最近のアップル社のノートパソコンは薄型化・軽量化のためにやむを得ないこともあるのだろうが、メモリは交換・増設できないようになっていたり、できるだけ筐体を開かないように設計している向きがある。
この辺の設計は、各社のセキュリティポリシーに大きく左右されるところ。

MacBook Airにコールドブート攻撃が通用しない理由
http://www.itmedia.co.jp/news/articles/0802/28/news045.html

これらのセキュリティリスクも考慮するかのように、アップル社はOS 10.7(2011年)以降「安全な仮想メモリ」を“常時オン”にした。
通常はRAMで足りなくなった記憶領域を起動ディスクに書き出し補う仕組みになっており、最近はSSD化によって起動ディスク自体が高速になっているため有効活用されている。「安全な仮想メモリ」とは、そこも暗号化しているということ。
ノートパソコンのように盗まれやすい端末は、スリープ(スタンバイ)ではなく完全なディープスリープ(Windowsで言う休止)に設定することで、スリープからの復帰は遅くなるが、起動ディスクが暗号化されていれば、RAMの内容も暗号化されたハイバネーションファイルに書き出されるため、(復帰時にパスワードの入力をもってメモリに戻される仕様ならば)コールド・ブート攻撃が効かなくなるという恩恵もある。使用用途や目的に応じて選択したい。

現実的ではないにしても、電源を落としてもメモリを凍結すればしばらくはデータを保持できることがわかった。
可能性の検討という意味で、こういう実験は有益だ。

第8段階でシンクライアント化しており、IPアドレスによるアクセス制限もあるため、パソコンを外部に持ち出す意味がなくなった。
そうなると、アメリカなら現場で銃でも突きつけて(または家族でも誘拐して脅して)本人に直接パスワードを入力させて侵入しようとするかもしれないが、監視カメラに映ってしまうし、ストッキングを被るのはお洒落じゃない
そこで何でもいいからヒントはないかと液体窒素まで持ち出してメモリを読み取ろうとしている敵だが、サーバーのパスワードを全てワンタイムにしてしまうことで、もはや盗んだ時点で過去のものとなり苦労は水の泡だ。

/*
RAMに残っているということは、一度そのIDとパスワードを入力(ログイン)したからこそ。一度使った時点でパスワードが変更されるならば、メモリに残っているものは常に何の意味ももたないことになる。
※そして時代は量子暗号理論へと進化を遂げようとしている。次回のブログでご紹介予定であります。
*/

簡単かつ基礎的なダイナミック(動的)なパスワードの考え方は、添付ファイルとパスワードを別便で送るアレ、やめて。セキュリティ1〜5章の最後でロンドン3丁目の女性との事例をご紹介している。

セキュリティの最善策は、防御でも攻撃でもなく、盗む意味を無くさせること。すわなち「無効化」こそが最大の防御だ。

その時リモートでは:端末が凍っているので確認できないレベル。

現在のパスワード:7種類 ログイン用、画面ロック解除用、キーチェーン管理用、マスターパスワード、ファームウェアパスワード、フォルダの暗号パスワード、サーバーへの接続パスワード


■第10段階 パソコンとその周辺が粉々に粉砕されていた場合 〜それは“抹消”です編〜
度合:朝会社に行ったら私のデスクにブルドーザーが突っ込んでいた的な。ビルの高層階なのに。
問題:盗む意味合いを失った犯人はついに破壊行動にでた。
対策:心理分析官と共にプロファイリングを始め反撃に出る

敵はもはや盗むことをやめ破壊行動に出たということは、本来の目的を見失い、精神の破綻に至ったたか近づいている。
第8段階の手口を見る限り単独犯ではないだろうことから、恐らくは仲間割れしていて、そのうち一人は自首しているかもしれないので、報道にも注意を向ける。

既にシンクライアント化しているので、破壊されたことで何かが漏洩する心配はないという点から少し勝利が見えてきたが、今回のテーマである「ローカル」自体を破壊されたので、居場所がなくなったという新たな問題に直面している。
こういう時のための対策は、もはや保険加入くらいしかないんじゃなかろうか。

が、決してひるまず、ここは一つ優秀な心理分析官を招き入れ、敵をプロファイリングし、次の行動を予測しよう。
ただし犯人がブルドーザーの中でご臨終ならばゲームオーバーだ。

地理的プロファイリングを逆手にとって、毎日架空のオフィスに出勤するのもいい。毎朝定時にあるビルの正面玄関から入ってまっすぐ裏口から抜け家に帰る(笑)。
そのビルに何かあると信じ続けた犯人は、どういった次元に突入するのだろうか。
この続きはスピンオフ番組か映画でと言えたらいいんだが、最近の科学捜査ものも、そこまで具体的な手順は描写しないので、まだまだあまり興味を持たれていない分野なのではないかと思う(笑)。
CSI:Cyberの現地の評判はどうなのだろう。英語ができない私。

ちなみに、そろそろこの辺で警察に通報してもいいかと思う(笑)。

その時リモートでは:何がリモートでどこがローカルかよくわからないレベル。

現在のパスワード:7種類 ログイン用、画面ロック解除用、キーチェーン管理用、マスターパスワード、ファームウェアパスワード、フォルダの暗号パスワード、サーバーへの接続パスワード

※そこまでして狙われるデータをお持ちの方は、こっそり教えてくださいな。


■付録:フラッシュメモリの速度
市販のフラッシュメモリの速度は実はとても重要で、常に監視しなくてはならない(カタログを眺めるだけだが)。
まず極めてコンパクトで手荷物検査を軽くすり抜けられる点。
そして止まらない高速化。毎秒90MBオーバーのSDカードもあることだし、パソコンもSSDが標準化されているので13秒あれば1GBのデータがコピーできる
※この場合、送り出し=パソコンが毎秒500MBと仮定すると、受け手=フラッシュメモリの最大書き込み速度(毎秒90MB)が上限値なので、フロッピーディスクに1.44MBコピーするのに2分かかっていた時代とは違う

/*
ニコンD810と最新SD&CFカードの相性検証。の記事では、公称値250MB/秒のUHS-II SDカードの検証データをご紹介している。
*/

よって市販フラッシュメモリ、有線LAN(1Gpbs)、無線LAN(ac)=1.3〜6.9Gbpsなど、何秒の隙で何ギガのデータが盗まれるかと考えると、盗まれてはならないデータの容量から、自分が何秒目を離していいのか(?)が決まる。


■まとめ
仕事で使いなおかつノートパソコンの場合、第5段階までの対策は必要な時代になった。10年前と異なり「詳しい人」の人口も増えたし、第6段階くらいまでなら最近の「ちょっと詳しい」高校生でもできる内容だ。
全部対策しようとすると、最終的にパスワード忘れた023.gifということにもなりかねず、今後は多数のパスワードを合理的かつ機能的に生成し記憶する術が重要になってくるんじゃないだろうか。


■あとがき
冒頭の女性向けサロンの店長さんは第7段階まで対策し、まさしく「作業中にぶん殴られてノートパソコンを奪われる」というシーンを想定し、脳しんとうを起こして倒れる際、最後の力を振り絞ってヘッドバット(すなわち頭突きだ)で自らノートパソコンを破壊するくらいの勢いを身につけるトレーニングに励んでいるそうだ。
データセキュリティには、折れない精神と強靱な肉体を必要とする時代に突入しことを示す事例を断続的に確認している。

次回は「暗号は解けないのではなく、解くのに時間がかかるだけ」を予定しておりまする。

この記事は、下記の続きです。
デジタル情報時代のホスピタリティって“個室”じゃないかも。
スターバックスのWi-Fiは危険なのか。噂の“ドヤリング”に挑戦してみた。
添付ファイルとパスワードを別便で送るアレ、やめて。セキュリティ1〜5章
無線LAN(Wi-Fi)の傍受は違法なのか。

■MacOS(Yosemite)の設定パス。2012/05/30追記
ファイアウォール:システム環境設定/セキュリティとプライバシー/ファイアウォール
自動ログイン:システム環境設定/ユーザとグループ/ログインオプション
画面ロック:システム環境設定/セキュリティとプライバシー/一般
パスワード即時要求:システム環境設定/セキュリティとプライバシー/一般
ホットコーナー:システム環境設定/デスクトップとスクリーンセーバ/スクリーンセーバ
キーチェーン管理用パスワードの変更と設定:ユーティリティ/キーチェーンアクセス/編集(メニューバー)
起動ディスクの暗号化:システム環境設定/セキュリティとプライバシー/FileVault
ファームウェアパスワード:インストールDVDから起動、又は起動時に「command+R」を押し続け起動し、ユーティリティ(メニューバー/ファームウェアパスワードユーティリティ
ディスクイメージ:ユーティリティ/ディスクユーティリティ/新規(メニューバー)/フォルダからのディスクイメージ
→暗号化したいフォルダを選んで「暗号化:256ビット AES暗号化(安全性重視.低速)」を選ぶ。
※もうファイルを追加・更新することはない場合はイメージフォーマットを「読み出し専用」にし、今後も追加・削除・更新することがあれば「読み出し/書き込み」にする。暗号化には時間がかかっても復号(マウント)は速いので、今後はそのディスクイメージ(.dmgファイル)を開いて、その中にファイルを投げ込むだけで暗号化される。アンマウントをお忘れなく。

Photographer&Engineer: Charlie

by charlie-ls | 2015-05-29 22:07 | 寄稿ブログ

情報処理安全確保支援士☆チャーリーのブログ


by チャーリー
カレンダー
S M T W T F S
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31