優れたデジタルセキュリティには必然的に多少の手間がかかりますが、その手間の大きさはあなた次第です。64文字のパスワードを使い、Facebookアカウントを持たず、インターネットに接続しないノートパソコン(奥深く暗い秘密をすべて保存しているから)を常に持ち歩くような、そんな万全のセキュリティ対策を望むなら、このガイドはあなたには向いていません。
これは実践的な方のためのガイドです。PCのセキュリティをしっかりと確保したい方(おそらく国家安全保障局とその監視活動に関する最近の暴露がきっかけかもしれません)で、二要素認証用のキーフォブの扱い、複雑なパスワードの管理、メールの暗号化設定といった面倒な作業は最小限に抑えたい方。完全に手間がかからないことをお約束することはできませんが、パスワード、メール、ハードドライブ、機密性の高いUSBドライブを、やり過ぎることなく可能な限り安全に保つ、優れたセキュリティ設定の導入方法をご紹介します。
強力なパスワードは、最初の、そして最良の防御線です
優れたコンピュータセキュリティとプライバシーは、強力なパスワードから始まります。オンラインサービスにおけるパスワードの使用方法については深刻な批判があり、AppleはiPhone 5sのTouch IDで生体認証を主流にしようとしているのかもしれません。しかし、今のところ、第三者によるデータへの不正アクセスを防ぐには、パスワードが依然として最善の解決策です。
パスワードの問題は、実際に有効にするには、ランダムで、ユニークで、比較的長くなければならないということです。そこでパスワードマネージャーの出番です。これらのプログラムは、ランダムなパスワードを生成し、安全に保存するのに役立ちます。これにより、15文字や20文字ではなく、10文字のランダムなパスフレーズをいくつか覚えるだけで済みます。
KeePassとLastPassはどちらも優れた無料のパスワードマネージャーで、時間をかける価値があります。KeePassはオープンソースであることに加え、キーロガーの難読化や安全なメモ機能など、優れた機能を備えているため人気があります。
しかし、KeePassの問題点は、デバイス間でパスワードを同期するためのオンラインコンポーネントがないことです。つまり、Dropboxなどのクラウドストレージサービスを使って、自分でクラウド同期を設定する必要があります。その方法については、サードパーティ製ユーティリティ「Dropbox Folder Sync」の解説記事、またはKeePassプラグインライブラリをご覧ください。
もう一つの優れた代替手段、そして私の個人的なお気に入りはLastPassです。KeePassと同様に、LastPassはパスワード生成と暗号化されたメモ機能を提供しますが、暗号化されたパスワードデータベースをクラウドに同期するため、複数のデバイスからアクセスできます。
LastPassは無料のブラウザプラグインとしてご利用いただけます。また、年間12ドルでLastPassモバイルアプリもご利用いただけます。技術的な詳細はLastPassのウェブサイトをご覧ください。
パスワード マネージャーの選択は比較的個人的なものであり、あなた自身のニーズと、LastPass や新興の Dashlane のような商用企業にどの程度信頼を置くかによって大きく左右されます。
メールの暗号化
多くの人は、GmailのようなWebベースのメールアプリを使うことを好みます。デスクトップアプリを起動するよりもWebページを開く方がはるかに速くて簡単だからです。しかし、メールを他人の目に触れさせたくない場合は、昔ながらのメールデスクトップクライアントとOpenPGP公開鍵・秘密鍵暗号化を組み合わせた方法が最適です。
メールはデフォルトでプレーンテキストとしてインターネット上を伝送されるため、悪意のある傍受者がメッセージを傍受して読む可能性があります。暗号化は、受信者以外がメッセージを解読することをほぼ不可能にすることで、この脅威に対抗します。OpenPGPは、暗号化されたメールを送信できる優れたオープンソース暗号化システムです。ただし、暗号化できる相手もOpenPGPの実装を使用している必要があります。そのため、暗号化されたメールをやり取りする場合は、相手もOpenPGPに対応していることを確認してください。
暗号化の安全性は、それを使用する人のセキュリティレベルに左右されます。誰かがあなたのメールを復号化し、平文としてコピーして他の人に転送した場合、暗号化の有効性は損なわれます。マルウェアは、復号された状態でデータを盗み出すことで、暗号化を無効にすることもあります。したがって、暗号化は従来のメールよりも確かに安全ですが、万全ではないことを覚えておいてください。
最後に、メールのメタデータは暗号化されないことにご注意ください。そのため、件名や相手のメールアドレスを隠すことはできません。
最初のステップは、暗号化とメール署名に使用するアカウント用のMozilla Thunderbirdメールクライアントをダウンロードしてインストールすることです。Thunderbirdには、OpenPGPの設定を特に簡単にするプラグインが搭載されています。(PGPの開発者はHushMailも推奨しています。)次に、OpenPGP鍵管理ソフトウェアGpg4winをダウンロードしてインストールします。
独自のキーペアを作成する
Thunderbirdを起動し、右端のメニューアイコンをクリックして「アドオン」を選択します。次に開いたウィンドウで「インストール」Enigmailを検索してクリックします。Enigmailのインストールが完了したら、Thunderbirdを終了し、再度プログラムを起動してください。
これで、独自の鍵ペアを作成するために必要なツールがすべて揃いました。右端のメニューアイコンに戻り、「OpenPGP > 鍵管理」を選択してください。
キー管理ウィンドウが開いたら、[生成] > [新しいキー ペア] を選択します。
いよいよ最初の暗号化キーペアを生成します。このウィンドウのデフォルト設定はほぼそのままで問題ありません。ただし、キーにはパスフレーズを設定することを強くお勧めします。パスフレーズを設定しないと、ある日Thunderbirdがパスワードを要求してきた場合(私の場合は実際に起こりました)、途方に暮れることになるでしょう。
OpenPGPメールの素晴らしい世界へ踏み出す準備ができたら、「鍵の生成」ボタンをクリックしてください。数分後には鍵ペアが生成されます。
鍵ペアの作成が完了すると、Enigmailは失効証明書の作成を提案します。これは非常に重要な手順なので、必ず実行することをお勧めします。失効証明書は、.ASC拡張子を持つシンプルなファイルで、パスワードを忘れた場合やコンピュータの制御を失った場合に、鍵を無効にするために使用できます。
ベストプラクティスとしては、証明書を USB サムドライブに保存し、そのサムドライブを安全な場所に保管することが推奨されます。
株式公開
鍵ペアと失効証明書の準備ができたら、暗号化されたメールを受け付けていることを世界に知らせる必要があります。そのための最善の方法は、公開鍵を他のユーザーが見つけられる鍵サーバーにアップロードすることです。これは、セキュリティに配慮する人にとっての電話帳のようなものです。
これを行うには、キー管理ウィンドウがまだ開いていない場合は再度開き、キーサーバー > 公開キーのアップロードを選択します。
デフォルトでは、Enigmailは鍵を「pool.sks-keyservers.net」にアップロードするよう提案します。これは実際には鍵サーバーではなく、複数の鍵サーバーでデータベースをプールするハブなので、問題ありません。ドロップダウンメニューをクリックして、この設定を変更できます。例えば、MITの鍵サーバーに直接アップロードすることもできます。
公開鍵を個人のウェブサイト、Tumblr、またはブログに公開することもできます。公開鍵をコピーするには、「鍵管理」ウィンドウに戻り、「デフォルトですべての鍵を表示」チェックボックスがオンになっていることを確認し、メールアカウントが表示されたらハイライト表示します。次に、右クリックして「公開鍵をクリップボードにコピー」を選択します。
テスト、テスト
新しい鍵ペアを生成し、公開鍵を公開しました。次は、OpenPGPメールロボット「Adele」に署名付きメールを送信してテストしてみましょう。
キーボードのShiftキーを押しながら、 Thunderbirdの左上にある「書き込み」ボタンをクリックしてください。HTML形式の新しいメッセージウィンドウが開きます。Adeleはプレーンテキストのみを扱うため、太字の見出し、斜体、埋め込みリンクは使用できません。実際、シンプルさを重視するなら、暗号化メールはプレーンテキストで作成する方が簡単です。
次に、Adeleのメールアドレス( [email protected])を入力します。件名と本文に伝えたい内容を入力します。次に、OpenPGPメニューオプションをクリックし、「メッセージに署名」と「公開鍵を添付」オプションのみが選択されていることを確認します。Sendを押し、パスワードを入力すれば完了です。数分以内に、Adeleから署名が成功したかどうかを確認する返信が届くはずです。
Adele から許可が下りたら、暗号化された電子メールの世界への準備は完了です。
ストレージドライブの暗号化
メールのセキュリティ対策は重要ですが、誰でも簡単にパソコンや外付けドライブにアクセスできるようになってしまえば、意味がありません。そこで、ストレージドライブの暗号化が重要になります。この目的に最適なツールの一つが、オープンソースソリューションのTrueCryptです。この例では、USBドライブを暗号化する方法をご紹介します。この方法さえ覚えてしまえば、ハードドライブ全体を暗号化する方法もそれほど変わりません。ただし、いくつか追加の手順が必要になります。
まず最初に、TrueCryptをダウンロードしてインストールし、暗号化したいUSBドライブを用意します。TrueCryptを起動し、アプリのメインウィンドウにある「ボリュームの作成」ボタンをクリックします。次の画面で「システムパーティション/ドライブ以外のパーティションを暗号化する」を選択し、「次へ」をクリックします。
3 番目のステップでは、「標準 TrueCrypt ボリューム」を選択し、「次へ」をクリックします。
次に、暗号化するボリュームを見つけます。「デバイスを選択」をクリックすると、PCに接続されているすべてのストレージデバイスの一覧を含む、恐ろしいポップアップウィンドウが表示されます。少し分かりにくいかもしれませんが、右側の行に注目してください。そこには各ドライブのストレージ容量が表示されています。そうすれば、1TBの外付けハードドライブを4GBのUSBメモリと間違える心配はありません。
この場合、リストの一番下にある2GBのフラッシュドライブを探します。ドライブを選択したら、「OK」をクリックし、「次へ」をクリックします。次に、TrueCryptは暗号化ストレージの作成方法を選択します。デフォルトでは「暗号化ボリュームを作成してフォーマットする」と表示されます。これにより、USBドライブ上のすべてのデータが消去されます。
TrueCryptは、ロックダウンされたデバイスの暗号化とハッシュアルゴリズムのオプションを表示します。今回はデフォルト設定で問題ありません。最後の画面には、USBメモリのストレージ容量が表示されます。USBメモリの容量とほぼ一致していれば、もう一度「次へ」をクリックしてください。
さて、パスワードを作成しましょう。20文字未満のパスワードを選択した場合、TrueCryptは安全ではないという警告を表示します。20文字のパスワードを使用することもできますが、USBドライブを挿入するたびに20文字のパスワードを入力したいでしょうか?おそらくそうはならないでしょう。
ついに最終段階に到達しました。TrueCryptはデバイスの暗号化に必要な乱数プールの作成を開始します。TrueCryptが暗号化データを生成できるように、ウィンドウ内でマウスを数秒間できるだけランダムに動かしてから、「フォーマット」をクリックします。
数分後には、暗号化されたドライブが完成します。
暗号化のマウント
これで暗号化されたUSBドライブが完成しましたが、データを保存するにはTrueCryptでマウントする必要があります。TrueCryptのメインウィンドウに戻りましょう。上部のメインメニューから「ボリューム」>「デバイスの選択」を選択し 、先ほどと同じテクニカルウィンドウからUSBドライブを選択します。
完了したら、メインウィンドウに戻り、表示されているドライブレターのいずれかを選択します。個人的には「X:」を選択することが多いですが、「W:」や「Q:」の方がお好みかもしれません。どちらでも構いません。空のドライブレターを選択して「マウント」をクリックしてください。
TrueCryptがパスワードを要求しますが、これで完了です。TrueCryptボリュームは使用準備完了です。Windowsエクスプローラーを開くと、このUSBメモリを通常通り使用できます。
唯一の違いは、TrueCrypt のコピーとパスワード (強力でランダムなパスワードであると仮定) がなければ、誰かがデータを読み取ることができる可能性は極めて低いということです。
納骨堂の片付け
基本的な暗号化の設定が完了したら、知識を広げて高度なテクニックに挑戦してみましょう。Gpg4winを使って個々のファイルを暗号化する方法や、PGP暗号化キーを別のPCに転送する方法を学ぶのも良いでしょう。TrueCryptを使って隠しオペレーティングシステムを作成するのもよいでしょう。
暗号化とデジタル セキュリティは複雑ですが、暗号化ツールの基本を理解すれば、さまざまな興味深い用途を見つけることができます。
