ども!まとんです。
Windowsのセキュリティ対策で悩む社会パーソンのみなさんに、「HDDパスワード」「HDD暗号化」を簡単に実現する方法をご紹介します!
Windows7のサポートが切れる前にWindows10に買い替えよう!
まず、大前提として、みなさんご存知の通り、Windows7のサポートが2020年1月14日に終了します。
サポートが切れたOSを使い続けるのは、いつハッキングされてもおかしくない状況です。
2017年のランサムウェアWannacry事件の影響で、セキュリティ意識が高まっている会社は多いと思います。
早いうちにWindows10に切り替えるべきです。
そして、せっかくなら新しいパソコンを買った方が良いでしょう。
とりあえず最低限、下記性能のPCを買っておけば間違いないです。
あとは、なんでもよいです!
うちの会社はセキュリティが厳しくて・・・というアナタへ
セキュリティ対策がしっかりしている会社は、こんなルールを設けていることがあります。
「パソコンには「HDD暗号化」と「HDDパスワード」設定が必須」
まず、これについて説明します。
HDD暗号化とは?HDDパスワードとは?
HDD暗号化とは、HDD(ハードディスクとSSDの意味)の中身をごっそり暗号化することです。
ごっそりというのは、「各ファイルごとにパスワードをかける」わけではなく、「HDDへのアクセスにパスワードをかける」という意味です。
どんな意味があるの?
例えばPCを紛失して、悪意のある人の手に渡ったとします。
悪意のある人は、まず、普通にパソコンを起動してログインを試みます。
Windowsにログインパスワードがかけてあれば、簡単には入れません。
そこで次に、悪意のある人は、パソコンを分解して、HDDだけを取り出して中身を見ようとします。
ここではWindowsパスワードは守ってくれません。
しかし、HDD暗号化がかかっていれば、HDDを取り出して中身を見るときにパスワードなどの入力を求められるので、中身が見られません。
こうして、PCを紛失したとしても、情報漏洩を防ぐことができます。
このように、HDDの中身を見るためのパスワードを「HDDパスワード」と言います。
場合によっては、PC起動時に毎回、HDDパスワード入力を求める設定も可能です。(HDDパスワードとWindowsログインパスワードの二つを毎回入力させる)
HDD暗号化はどうやって実現する?
HDD暗号化は基本的に、Windowsの機能ではないので(Windowsが立ち上がる以前の話なので)、全てのパソコンにHDD暗号化の機能があるわけではありません。
(メーカーによっては機能があるパソコンもあります。東芝のダイナブックなど。)
そのため、多くの会社では、社員のPCにHDD暗号化用のソフトを導入して(コストをかけて)実現しています。
しかし、ここで朗報があります。
HDD暗号化できる「BitLocker」がWindowsでは標準搭載!
実はWIndows Vistaから、HDD暗号化機能「BitLocker」が標準搭載されています。
これによって、特殊ソフトを導入しなくても、HDD暗号化が実現できます!!(会社のセキュリティ対策部門の方、ちゃんと理解していますか?)。
標準搭載ということは、PCを買ってから、ポチポチと画面上で設定するだけで、HDD暗号化を有効化できるということです。
詳細な手順はこちらのサイトが参考になります。
ただし、WIndows 10 Homeでは機能制限がある!
上の方で「ビジネスでPCを買うならWindows 10 Proにすべき」と書きましたが、ここでも効いてきます。
BitLockerはWindows 10 Homeでは機能制限がされています。
具体的には、ドライブの暗号化ができないようです。
これでは話にならないので、OSはProを選ぶようにしましょう。
「BitLocker」使い方のオススメは?
では、僕が考えるBItLockerのオススメの使い方を説明します。
これが絶対に正しい!というわけではないので、自己責任で参考にしてください。
- 全ての内蔵ドライブに対してBItLocker暗号化を有効にする
- 回復キーをUSBメモリにバックアップする
- PC起動時は「BitLockerのPIN認証」と「Windowsログインパスワード」の2段階認証にする
では、順番に説明します。
全ての内蔵ドライブに対してBItLocker暗号化を有効にする
内蔵ドライブというのは、システムが入ったCドライブや、データが入ったDドライブなどです。
これら全てに対して、BItLocker暗号化を有効にしてください。(有効にする際は「ドライブのすべてを暗号化する」を選択)
これによって、「悪意のある人がPCを分解してHDDを直接見ても」中身が見られなくなります。
一方で、USBメモリや外付けHDDなどの「リムーバブルディスク」も、「BitLocker To Go」で暗号化できます。これらも必要とあれば暗号化してよいと思います(使用する際に毎回パスワードを入力することになります)。
回復キーをUSBメモリにバックアップする
BitLockerの暗号化を解除する方法は複数ありますが、その一つが「回復キー」(48桁の数字、変更不可)です。
BitLockerでドライブ暗号化を有効化する際に、回復キーのバックアップとして「USBメモリに保存」「紙に印刷」などしてくれと言われますが、僕はUSBメモリに保存することをオススメします。
このUSBメモリは大切に保管してください。
回復キーはいつ使う?
回復キーは、PCが壊れて修理する際に使います。
PCが壊れて、どうしようもなくなって、メーカーに修理に出すとします。
するとメーカーはHDDの中身を見ようとしますが、BItLocker暗号化がされていたら、メーカーでも中身は見れません(当然ですね)。
そのとき、回復キーがあれば、修理ができるわけです。
逆に、回復キーをバックアップしていなくて、他の手段を何も用意していなかった場合、そのPCは修理できません。サヨナラとなります。
自分のPCのデータを故障から守るために、回復キーのバックアップをオススメします。
一方で、PCを使うときに毎回48桁の数字を入力するのは面倒なので、「PC起動時に回復キーは入力しない」設定にすることをオススメします(デフォルトでそうなっていると思います)
PC起動時は「BitLockerのPIN認証」と「Windowsログインパスワード」の2段階認証にする
最後に、日常使いに関することです。
そもそも、BItLockerの暗号化は、デフォルトでは「PC起動時にBItLockerのパスワード入力は不要」となっているため(僕が買ったSurface Pro 6ではそうでした)、暗号化したとしても、PC立ち上げ時にはWindwosログインパスワードしか求められません。
Windowsログインパスワードは、実は、パスワード総当たり攻撃(ブルートフォースアタック)で突破することが現実的に可能です。
つまり、「WIndowsログインパスワードだけでは、悪意のある人には突破される」と考えてください。
そこで、BitLockerのPIN認証を追加して、二重ロックにすることをオススメします。
BItLockerのPIN認証は、入力失敗に回数制限があるため、総当たり攻撃では突破できません。(回数制限を超えると、上記の回復キー(48桁数字)の入力が求められます)
PINは自分で好きなパスワードを設定できます。
悪意のある人のパスワード総当たり攻撃から守るために、「PIN」「Windowsログイン」の二段階認証にするべきです。
PINを設定するための詳細な手順は、下記サイトが参考になります。
いかがでしたか?
僕のオススメの設定をすれば、ハッカーが簡単には突破できない、難攻不落のPCができあがります。
まとめると、
- PCを分解してHDDを直接見る→HDD暗号化で対策
- PCが故障して修理に出したい→回復キーで暗号化を解除
- パスワード総当たり攻撃→PINとWindowsログインの二重認証で対策
これで安心してPCをモバイル利用して、紛失しちゃってください!(もちろん、紛失しないに越したことはないですが)
参考になりましたら幸いです。
僕のオススメのPC(20万以下)はこちら!
イケてるIoT屋ならSurfaceがオススメです!
色んな理由で20万以下でPCを買いたい人は多いと思いますが、20万ギリギリでカスタマイズしたSurface Pro 6は下記モデルになります。
以上、メタラーまとんでした。
ではでは。