ノートパソコン、タブレット、スマートフォンには、膨大なデータや機密情報が含まれています。これらの情報を不正アクセスから守るための一般的な方法は、暗号化してデータにアクセスできないようにすることです。しかし、ほとんどの暗号化ソフトウェアでは、利便性のため、デバイスにログインした瞬間に情報にアクセスできてしまいます。
どのような情報が含まれるか考えてみてください。友人、家族、顧客、仕事仲間の名前、住所、メールアドレス、電話番号、予定表に記載されている場所と時間、個人的な写真などです。また、会社や顧客に関する機密情報、秘密保持契約に基づいて企業から委託された情報、その他保護すべき機密情報も含まれているかもしれません。
暗号化は基本的にデータをスクランブルし、アクセスや閲覧を許可されていない人にとっては意味不明な文字列になってしまいます。
それは素晴らしいことですが、自問自答してみてください。データを復号するには、一体いくつの手順を踏まなければならないのでしょうか?暗号化はデータを保護することを目的としていますが、ユーザーがシームレスにアクセスできるようにも設計されています。つまり、自動的に復号され、ユーザーが暗号化されたデータを使用するために面倒な手続きを踏む必要がないようにするべきです。つまり、ログインパスワードが不要な状態でノートパソコン、スマートフォン、タブレットを誰かに見られた場合、データは全く保護されていないということです。
パスコードの使用
司法省と国家安全保障局(NSAはあらゆる場所のあらゆるデータに全能のアクセス権を持っているとされている)は、iOS 6に不満を表明し、その暗号化は事実上解読不可能であると宣言しました。暗号化をバイパスする方法はありますが、その魔法を知っているのはAppleだけであり、法執行機関からの要請が山積みになっています。
iOSには、デバイスをリモートワイプするための一般的な暗号化レイヤーも搭載されています。文字通りすべてのデータを消去するのではなく(データ量によっては多少時間がかかりますが)、このリモートワイプツールは暗号化キーをリセットするだけで、データを瞬時に無効にします。これは便利ですが、万能ではありません。
iOSデバイスには、メールや添付ファイルを含むデータを保護するハードウェアベースの暗号化機能も搭載されています。ただし、この暗号化はパスコードと連携しているため、データを保護するには、iOSデバイスにパスコードを設定して使用する必要があります。
Microsoft WindowsのBitLocker暗号化も同様の仕組みで動作します。TPM(Trusted Platform Module)チップがハードウェアベースの要素を提供し、ユーザーログイン時に暗号化を解除してユーザーがデータを利用できるようにするキーが提供されます。
一般的な暗号化ツールはすべて、不正アクセスからデータをロックしますが、ユーザーが正常にログインするとロックが解除されるように設計されています。その後、データはまったく暗号化されていないかのように利用可能になり、ユーザーは暗号化された情報にアクセスしたり使用したりするために追加の手順を実行する必要がありません。
しかし、すでにログインしている場合はどうなるでしょうか?
このアプローチの問題点がお分かりでしょうか?暗号化をより便利にするために設計されたこの機能は、ログインしている間はデータ保護を無力にしてしまいます。
Tripwire のセキュリティ オペレーション担当ディレクターである Andrew Storms 氏は、次のように説明しています。「デバイスがロック解除された状態で窃盗犯に見つかった場合、そのデバイスに保存されているデータにアクセスするチャンスが生まれる可能性があります。」
この「事実上解読不可能」なiOS暗号化は、デバイスがパスコードでロックされていることを前提としています。iOSでパスコードを設定する際、デバイスがパスコードの入力を要求するタイミングを、すぐに、1分後、5分後、15分後、あるいは1時間後から選択できます。なんと1時間です!その設定を選択した場合、実質的に「暗号化された」データが60分間、漏洩の危険にさらされることになります。
モバイルデバイス上のデータを保護する最善の方法は、比較的短時間使用しなかった場合にパスコードの入力を要求するように設定することです。制限時間が短すぎると、パスコードを何度も入力しなければならずイライラすることになります。ロック解除したまま長時間放置すると、窃盗犯が暗号化されているはずのデータにアクセスするのに十分な時間を与えてしまいます。
Tripwire の CTO である Dwayne Melancon 氏は、次のように述べています。「エンタープライズ環境では、これらの補完的なポリシーの多くは、グループ ポリシーを使用して実行できます。たとえば、画面ロックの要求、起動時のパスワード入力、自動ロックおよびラップトップのカバーを閉じたときの自動ロックの短いタイムアウトの設定などです。」
iOSやその他のモバイルデバイス、そして多くの暗号化ツールは、デバイスをリモートでロックしたりデータを消去したりする機能を提供していますが、これらのツールはデバイスが紛失したと認識した場合にのみ役立ちます。ノートパソコン、タブレット、スマートフォンがロック解除されたまま、あなたの管理下にない状態が続く限り、暗号化はデータ保護に全く役立っていません。
Tripwire の Storms 氏は、リモート ロックとワイプの機能が万能薬ではないことを指摘しています。「モバイル デバイスでは、巧妙な窃盗犯は即座にすべてのネットワーク アクセスを無効にするため、デバイスは企業管理者からのロック解除やキル スイッチの信号を受信できなくなります。」
時間制限付きのロックアウトよりも良い代替案としては、ノートパソコン、タブレット、スマートフォンとペアリングできるBluetooth、NFC(近距離無線通信)、またはその他の近距離無線通信デバイスを用意することが考えられます。これらのデバイスを常に携帯しておけば、デバイスから少し離れると、不正アクセスを防ぐためにモバイルデバイスが自動的にロックされます。
