モバイルデバイスは紛失することがあります。ノートパソコン用バッグをバスや電車に置き忘れたり、スマートフォンをポケットから落としたり、USBフラッシュドライブを気づかれずに地面に落としたり。このようにノートパソコンやスマートフォンを紛失すると、深刻な経済的損失につながります。しかし、多くの場合、データの損失は さらに深刻な事態を招きます。
税務書類などの重要かつ機密性の高い文書は、ノートパソコンに保存されることがよくあります。場合によっては、会社の機密文書さえもそこに保存されていることがあります。また、スマートフォンにはメールだけでなく、連絡先リストやWhatsAppのチャットも保存されています。
ノートパソコンへのアクセスはパスワードで保護されていますが、ファイルには自由にアクセス可能です。デバイスをライブシステムから起動すると、ファイルを簡単に読み取り、コピーできます。
USBドライブは通常、コンピューターに接続するだけで中身を見ることができます。一方、スマートフォンではファイルシステムは常に安全に暗号化されています。
ただし、デバイスが使用された直後の場合は、画面ロックがまだ再アクティブ化されていない可能性があり、発見者は保存されたデータを読み取り、電子メールまたはチャット プログラムで送信できます。
デバイスの紛失は、デバイスが故意に盗まれた場合、特に厄介になります。これは通常、窃盗犯が会社の機密文書やクレジットカード情報を狙っている場合に起こります。そのため、重要な文書は常に暗号化しておく必要があります。
暗号化オプション
ノートパソコンの SSD または外付けハードドライブを暗号化する場合は、次の 2 つの方法から選択できます。
- フルディスク暗号化(FDE)
- ファイルレベル暗号化(FLE)
フルディスク暗号化では、オペレーティングシステムを含むデータキャリア全体を暗号化します。Windows ProおよびEducationには、BitLockerによるFDE暗号化も含まれます。
この機能は、コントロールパネルのカテゴリビューの「システムとセキュリティ > BitLocker ドライブ暗号化」にあります。この機能を有効にすると、すべてのユーザーはコンピューターの起動時に定義された BitLocker パスワードを入力する必要があります。
暗号化後は、このパスワードなしではSSD上のファイルにアクセスできなくなります。BitLocker暗号化はコンピューターのTPMチップの機能を利用し、非常に安全であると考えられています。
ただし、フルディスク暗号化には制限があります。データは、ラップトップの電源がオフになっているとき、または Windows にログインしていないときのみ保護されます。
パスワードを入力してSSDのロックを解除するとすぐに、ハッカーはネットワークまたはインターネット経由で保存されたファイルにアクセスできるようになります。犯罪者が電源が入ったデバイスを入手した場合も同様です。
ノートブック: EFS で暗号化
FDEの代替として、ファイルレベル暗号化(FLE)があります。これは、選択したファイルとフォルダのみを暗号化します。FLEの利点は、継続的に実行されることです。データにアクセスするには、通常、パスワードを入力する必要があります。
Windows FLEはこのルールの例外です。Microsoftはファイル暗号化をEFS(暗号化ファイルシステム)と呼んでおり、NTFSファイルシステムに直接統合されています。
これを有効にするには、ファイルまたはフォルダを右クリックし、「プロパティ」を選択し、「属性」セクションの「詳細設定」ボタンをクリックし、「内容を暗号化してデータをセキュリティで保護する」にチェックを入れ、「OK」で確定します。
しかし、Microsoftはユーザーアカウントでログインするとすぐにこのデータを復号化します。ここでの問題は、フルディスク暗号化の場合と同じです。さらに、復号化はユーザーアカウントのパスワードにリンクされているため、パスワードを忘れたり、ユーザーアカウントが削除されたりすると、データにアクセスできなくなります。
VeraCryptでドライブ全体を暗号化する
EFSによる暗号化はシンプルで効果的ですが、ファイル名が見える状態のままになり、他人が内容を推測できるという欠点があります。これを回避するには、オープンソースソフトウェアVeraCryptを無料で使用できます。
このプログラムは、これまで紹介した機能とは少し異なる動作をします。ドライブ全体を暗号化できるだけでなく、マウントされたドライブの形で暗号化コンテナを作成し、そこに暗号化したいファイルやフォルダをコピーまたは移動することもできます。
他のユーザーにはコンテナの名前しか見えず、その内容は見えなくなります。VeraCryptコンテナ暗号化は、主にノートパソコンのSSDに適しています。
VeraCryptはドライブ全体を暗号化できるだけでなく、仮想ドライブという形で暗号化コンテナを作成することもできます。ファイルやフォルダは、このコンテナに安全に保存できます。
IDG
VeraCryptを開き、「ボリュームの作成」を選択します。ウィザードが起動します。最初のウィンドウで「暗号化されたコンテナファイルの作成」を選択します。「次へ」をクリックし、「標準VeraCryptボリューム」を選択します。「次へ > ファイル」をクリックし、コンテナのパスとファイル名を入力します。「保存」をクリックして確定します。
「次へ」をクリックすると暗号化設定に進みます。「次へ」をクリックし、VeraCryptが作成するコンテナのサイズを入力します。
この時点で、プログラムは選択したドライブの空き容量を表示します。適切なサイズを選択し、「次へ」をクリックします。VeraCryptはパスワードの入力を求めます。
長く複雑な文字、数字、記号の組み合わせを入力し、「次へ」をクリックします。「次へ」をクリックすると、「大きなファイル」ウィンドウをスキップできます。
「ボリュームフォーマット」ウィンドウで、ファイルシステムとして「NTFS」を選択します。プログレスバーの色が赤から黄色、そして緑に変わるまで、マウスポインターを少なくとも30秒間前後に動かします。
「フォーマット」をクリックしてコンテナファイルを作成します。処理が完了すると、ウィザードウィンドウが閉じます。
マウスを動かすことで、暗号化のためのランダムな値が生成されます。マウスを前後に長く動かすほど、精度が向上します。
IDG
ウィザードの横に VeraCrypt の開始ウィンドウが再び開きます。
コンテナファイルにアクセスできるようにするドライブレターを選択します。次に、「ファイル」をクリックし、デスクトップ上のファイルに移動します。「マウント」をクリックし、コンテナのパスワードを入力して「OK」で確定します。
エクスプローラーで選択したドライブ文字の下にコンテナが表示されます。コンテナにコピーしたすべてのデータは自動的に暗号化されます。
スマートフォン用セキュアフォルダー
スマートフォンやタブレットのデータストレージは、OSの機能によって標準で安全に暗号化されています。しかし、デバイスが紛失または盗難に遭い、画面ロックがまだ解除されていない場合、この保護は限定的なものとなります。
Android 8以降、機密データを保存するためのVault(保管庫)機能が搭載されました。このVaultは「セキュアフォルダ」と呼ばれ、多くのスマートフォンやタブレットに既にインストールされているGoogle Filesファイルマネージャーの一部です。
アプリがデバイス上で利用できない場合は、PlayStore からインストールできます。
Google Files ファイル マネージャー アプリには、機密データ用の安全な暗号化フォルダを作成する機能が含まれています。
IDG
Google ファイルで、「コレクション > セキュリティで保護されたフォルダ」に移動します。アクセス用の PIN またはパターンを設定します。どちらも、デバイスにログインするときに使用するものとは異なるものにする必要があります。
ファイルをフォルダに移動するには、ファイルを指で長押しし、3 つのドットをタップして「安全なフォルダに移動」を選択します。
ファイルを取得するには、Google ファイルで「コレクション > セキュリティで保護されたフォルダ」を開き、PIN またはパターンを入力してファイルをタップし、「その他 > セキュリティで保護されたフォルダから削除」を選択します。
注意: PIN またはパターンを忘れた場合、金庫を開くことはできません。
外付けSSD:BitLocker To Goで暗号化
VeraCryptは、ノートパソコンのSSDへの永続インストールに特に適しています。外付けディスクの場合は、Windows Home Editionに付属のBitLocker To Goを使用することをお勧めします。
タスクバーの検索フィールドに「BitLocker」と入力し、「BitLockerの管理」をクリックします。コントロールパネルウィンドウが開き、「リムーバブルドライブ > BitLocker to Go」の下にUSBスティックのドライブ文字が表示され、「BitLockerが無効」の状態になります。
リンクをクリックし、「BitLocker を有効にする」に移動して、「パスワードを使用してドライブのロックを解除する」ボックスにチェックを入れます。パスワードを入力し、「ファイルに保存」をクリックすると、回復キーが TXT ファイルとしてデスクトップ PC の SSD に保存されます。
スティックにすでにデータが含まれているかどうかに応じて、「使用されているストレージ領域のみを暗号化する」または「ドライブ全体を暗号化する」を選択します。
他のWindowsコンピュータでこのUSBメモリを使用するには、次のウィンドウで「互換モード」を選択し、最後のウィンドウで「暗号化を開始」をクリックします。USBメモリをコンピュータに接続すると、Windowsは毎回パスワードの入力を求めます。
USBメモリ:7-Zipで暗号化
最後に、フリーウェアの圧縮プログラム7-Zip(無料)は、USBメモリ上のファイルやフォルダを素早く暗号化するのに最適です。このツールを使えば、ZIPファイルをAES-256アルゴリズムで暗号化し、パスワードで保護できます。あとはパスワードを入力するだけでファイルを開いて解凍できます。
7-Zip圧縮プログラムを使えば、ZIPファイルを安全に暗号化することもできます。暗号化方式はAES-256に設定してください。
IDG
手順は次のとおりです。Windows エクスプローラーでファイルを選択し、右クリックして、「その他のオプションを表示 > 7-Zip > アーカイブに追加」に進みます。アーカイブファイルに名前を付けますが、拡張子は「zip」のままにしておきます。
右下の「暗号化」セクションで安全で複雑なパスワードを選択し、それを 1 行下に繰り返し、そして重要なことですが、「方法」オプションを「AES-256」に設定します。
最後に、「OK」をクリックして暗号化を確定します。ZIPファイルをダブルクリックすると、エクスプローラーに内容が表示されますが、ファイルを解凍しようとするとエラーメッセージが表示されます。
7-Zip で ZIP ファイルを開き、パスワードを入力した場合にのみ内容を読み取ることができます。
コンテナが作成されたらすぐに、VeraCrypt のスタート ウィンドウからファイル システム内の別のドライブとしてマウントします。
IDG
ハードウェアベースの暗号化
暗号化と復号化は、読み取りおよび書き込み操作中にCPUによって処理されます。また、ハードウェアベースの暗号化もあり、これは現在主に外付けUSBハードドライブで使用されています。
これらのデバイスには独自の AES 暗号化チップがあり、システム BIOS とオペレーティング システムの間に配置されます。
このチップは、データ アクセス中にドライブ上のすべての暗号化および復号化プロセスを処理するため、ストレージ デバイス全体が継続的に暗号化された状態になります。
外付けハードドライブに保存されているパスワードを入力した後でのみアクセスできます。
IDG
この記事はもともと当社の姉妹誌 PC-WELT に掲載され、ドイツ語から翻訳およびローカライズされました。
