- ベストアンサー
Windows2000のセキュリティ強度
仕事でノートPCを持ち歩いております。 個人情報保護の事も有り、極力PC内には個人情報の類は残さないようにしておりますが、どうしても若干は取引先情報等が記録されております。 Windowsにログインの際は当然パスワードを設定しておりますが、例えばこのノートPCが盗難に有った場合、パスワードを突破される可能性は有るのでしょうか? またHDDを抜き、別のハードに接続した場合、データは読み取れるのでしょうか? また、こういったリスクを回避する為にはどのような対策を講じた方が良いのでしょうか? 質問が多く恐縮ですがよろしくお願いします。
- papapu
- お礼率25% (6/24)
- Windows系OS
- 回答数8
- ありがとう数6
- みんなの回答 (8)
- 専門家の回答
質問者が選んだベストアンサー
#4の回答の補足になりますが・・・ HPドライブロックについて、よくある質問はhttp://h50146.www5.hp.com/products/portables/security/faq.html から参照可能です。 実際にどういう仕組みかと言うと、以下のような感じです。 1.電源投入時、BIOSはハードウェアのチェック・初期化を行う。ハードドライブのチェック・初期化を行う際、BIOSはハードドライブに対し、ドライブロックがかかっているかどうか問い合わせる。 2.ハードドライブは、ドライブロックがかかっているかどうか、BIOSに回答する。以下の説明では、ロックがかかっていると仮定する。 3.BIOSはハードウェアチェックを中断し、ユーザーに対してドライブロック・パスワードの入力を求める。 4.その間、ハードドライブは読み書き禁止状態になった状態のまま。 5.ユーザーはパスワード入力画面でパスワードを入力。 6.BIOSはユーザーが入力したパスワードをハードドライブに渡す。 7.ハードドライブはBIOSから受け取ったパスワードがドライブに記録されているパスワードと一致するか調べ、一致すればハードドライブへのデータ読み書きを許可状態にし、BIOSにその旨を通知する。 8.BIOSはハードドライブから普通に起動する ですから、この機構が働くのは、電源を入れて起動する時(コールドブート)の時だけです。 再起動(ウォームブート)の時や、Windowsのサスペンド(メモリ内容を維持したままの一時停止)から復帰する時には働きません。 ただし、休止状態(ハイバネート。メモリ内容をハードドライブに書き出してシャットダウン)から復帰するときは、BIOS的にはコールドブートなので、ドライブロック機構が働きます。 ドライブロック機構の目的は、パスワードを知らない人間がドライブだけ盗んだ場合にデータを読まれないようにすることなので、電源を完全に切らない限り、BIOS経由でパスワードを聞いてくることはありません。 OSが動作中には働かないので、Windows UpdateやAnti-Virus製品のパターンファイル更新などには影響ありません。 HP製の同機種に盗んだドライブを移し変えても、ロックを解除するかどうかはハードドライブ上のファームウェアが管理しているので、パスワードが一致しない限り、普通の手段ではデータの読み書きはできません。 また、OSが起動する前の、BIOSによるハードウェア初期化の段階でパスワード入力を求めるので、OSに依存する(OS上で動作するように作られた)ソフトウェアベースのパスワードクラッキングツールは使えません。 なお、BIOSのパワーオン・パスワードとの併用も可能です。 また、再起動時やサスペンド復帰時には動作しないことから分かるとおり、OSのセキュリティシステムの代替となるものではありません。繰り返しになりますがハードドライブ自体の盗難対策が目的です。 個人ユースでももちろん利用可能ですが、法人ユースにも対応可能なように、ユーザーレベルのパスワードと管理者レベルのパスワードの、2レベルのパスワードが設定可能になっています。 ドライブロックをOnにする際に設定した管理者レベルのパスワードをIT部門が管理し、同じ時に設定したユーザーレベルのパスワードをエンドユーザが管理することで、ユーザーパスワード失念時のパスワード再設定対応や、ユーザーによる勝手なドライブロック解除禁止対応が可能です。 BIOSやハードドライブのファームウェア自体をハックする、キーボード信号自体をランダムに生成するハードウェアを使う、PCから発せられる電磁波を分析する、等の物理的なハッキングを行えば、もちろん理論的には解除可能です。 ハードドライブの記録自体の暗号化レベルについては情報がありませんが、パスワードを変更可能な仕組みから考えると、暗号化していない可能性が高いと思っています。(推測) ハードドライブを解体して磁気面を直接読み取る方法でも、データを盗むことは可能だと思われます。(推測) ドライブ盗難対策が目的、といっても、本気のプロの仕事に太刀打ちできるレベルの仕組みではないですが、素人や、素人に毛の生えた程度のプロに、ドライブを盗まれてもまぁ大丈夫だろう、といったレベルの対策と言えるでしょう。 得られる効果と、システム構築・運用にかけるコストのバランスを取った、一つの現実解ではあると思います。 「セキュリティ要件や費用上の制約によっては、こういう解もありかもしれません。」ということをご紹介したくて回答しました。
その他の回答 (7)
- nick2038
- ベストアンサー率34% (55/160)
ハードウェア・ソフトウェア的に漏洩の可能性を0にすることは出来ないと考えるべきです。申し訳ない言い方になりますが、もしもそのゴールが質問者さん個人で実現可能なレベルにあるのであれば、世の中から大手企業の情報漏洩等は消えていると思いませんか? まぁこういう事は質問者さんも理解はされていると思いますが…。 ですので、ここを起点としての話です。 PCであれ記録メディアであれデータを持ち出した際は、とにかく紛失しないように肌身離さず持っておく。 また、そうは言っても手放さざるを得ない事態…強盗とか?…に遭遇した場合に、そういう場合の対策もちゃんと取っていたと主張できる程度にパスワードや暗号化の措置をしておく。 ようするに、有事の際に、過失が無いと主張できれば良いという事です。
- 5S6
- ベストアンサー率29% (675/2291)
> パスワードを突破される可能性は有るのでしょうか? 一瞬です。というかパスワードを無効化できます。 意味がありません。 WindowsNT/2000/XP/Server 全て関係ありません。 またバイオメトリクス認証(指紋など)も無駄です。 > HDDを抜き、別のハードに接続した場合、データは読み取れるのでしょうか? できます。 はずさなくてもできます。 > また、こういったリスクを回避する為にはどのような対策を講じた方が良いのでしょうか? XP PROでフォルダの暗号化はできますが、欠点がありもしPCが壊れるとまずデータは復活できません。 ちなみにこのパスワードを解読するツールもあります。 大切なデータはUSBメモリとかに入れておく。 というのがいいのでは?? 暗号化ソフトについてはあえてふれませんが、メモリに保存のさいも暗号化しておくべきです。 ----------------------------------------------------------------- 高度なセキュリティ、情報漏洩防止策をとると、使い勝手が悪くなるし、 もしものとき自分でもデータを戻せなくなるという デメリットがあることを覚えておいてください。 -----------------------------------------------------------------
HPのノートブックでは、ドライブロックという機能があって>>>>> 本来、アクセスしてほしい、ウインドウズアップデート、ウイルス対策ソフトのパターンファイルの自動アップデート、バックアップタスクなど。どうなるのか? 私自身、HPの製品を使っていないので、不明。 何でも、アクセス禁止にすれば、使いやすいというものでは、ありません。 なお、この製品の場合、同じメーカーの同システムにランダムパスワード解除ソフトを使えば、いつかは、解読可能なので、HDDの中味を暗号化するより、解読は、早いでしょう。何ビットのパスワードなのか、確認された方が、よいでしょうね。 なお、個人ユースなら、こんな程度か、56ビット程度の暗号化で充分です。 パスワードのセットで、中味が平文がよいのか、中身をデジタル変換するのが、いいのか、もう少したってみないと解りませんね。 ただ、理論的には、HPのこのシステムは、破ることは可能です。時間との戦いです。
- suzui
- ベストアンサー率67% (199/297)
ハードウェア的にドライブのアクセスを制御できるような製品を使うのが一番楽だと思います。 例えば、HPのノートブックでは、ドライブロックという機能があって、パスワードを入力しないとハードディスクにアクセスできませんし、ほかのPCに接続してもパスワードを知らなければデータを読み取ることはできません。
ディスク全体を暗号化して、困ること。 1)ウイルス対策ソフトなど、また、ウインドウズアップデートなど、OS込みで暗号化した場合、ほとんどのタスク動作は、出来ません。 2)Cドライブパーテーションにデフォルトで保存されるデーター、例えば、マイドキュメント、ドキュメント&セってイング、メールソフトのメール、ワードやエクセルのデータ等すべて、Dドライブの任意のファイルに保存する設定に変えることが必要。 3)OSと一部OSのDLLファイルを使う、インターネットエキスプローラ、ウイルス対策ソフト、スパム除去ソフトなど、OS依存型アプリケーション以外は、Dドライブパーテーションに保存する。 4)Dのパーテーション毎暗号化するか、必要なファイルを暗号化するかは、自分で決める。 5)会社のサーバー内に、同じフォルダーを作り、平文で保存し、パスワードをかけておく(暗号化ファイルは、ノートのように、破損しやすいHDDの場合、いざというとき、復旧が難しいため、バックアップを、別に持つ。 6)完全を、期すならSSLサーバーにネットから繋がないと動作しないシステムにする。この場合、盗難にあっても、遠隔操作で、データーが消せます。 7)6に類した、盗難予防システムや、HDDレスノートなど、すでに、盗難を前提としたノートパソコンシステムは、数十種類売られており、企業むけ、セールスが頻繁に行われている。(価格が、100万円に近いもの多し) 8)その中で、1万円以下で、暗号化できる、商品の一つにUSBタイプのHDD暗号化システムが、あります。 これだと、個人ベースでも購入可能。なかなか、店頭に出てこない(一時、量販店にあったが、4月以降、見られなくなった) http://www.hammock.jp/guard/ http://pcguard.ntl.co.jp/ これら、製品は、当方で検証テスト中、ゆえ、信頼性等まだ、不明。 また、この手のセキュリティ技術は、毎日のように、新製品が発表され、カタログ等、郵送されてくるが、多すぎて、全部みていられない。多分、専門家と称する人でも知らない技術が、一杯なので、もう少し時期をみれば、パーソナルユースの良いものは、出てくると考えられます。 確実なのは、やはりSSLサーバー認証で、ハードディスクの暗号化を解く方法が、堅いと思われます。
- ramuta
- ベストアンサー率32% (74/227)
暗号化をお勧めすると書いてから少し後悔いたしました・・・ それは置いておいてOSの標準機能でも無いことはございません。 http://www.atmarkit.co.jp/fwin2k/win2ktips/052usngefs/usngefs.html それはこちらをご覧下さい。 他にもフリーウェアでも暗号化を果たせたりします。 ただですね。暗号化も良し悪しで、 例えば、OSが起動できなくなった場合に、普通の場合ですと、 ディスクを取り外して、他のパソコンに繋いでデータを 抜き取る等と言うことも出来ますが、 何らかの手段で暗号化で妙な状態になってしまった場合に 困るかな? と思い、自分の勤め先の事であれば責任を負えるんですが、 他所様のことには責任が負えないなと思ったのです。 ここまで書きましたので最後まで書きますが 外に持ち出すパソコンには個人情報を出来るだけ残さない様に しているのは正しいですね。 それで暗号化についてですが、 ディスク全体を暗号化している企業もあるのですが、 papapu さんが個人レベルで行われると言う事であればこれは お勧めしません。 先ほどのURLのOSの機能を使うのも手ですし、 http://www.forest.impress.co.jp/lib/sys/file/fileuty/atasshecase.html こちらのフリーウェアやあるいは暗号化が行える各種製品で ファイル単位やフォルダ単位で暗号化を行うのが良いのでは無いかと思います。
- ramuta
- ベストアンサー率32% (74/227)
>Windowsにログインの際は当然パスワードを設定しておりますが、例えばこのノートPCが盗難に有った場合、パスワードを突破される可能性は有るのでしょうか? もちろん可能性があります。 >またHDDを抜き、別のハードに接続した場合、データは読み取れるのでしょうか? 簡単。楽勝ですね。 ハードディスクの暗号化等をお勧めします。
補足
回答ありがとうございます。 XP proでも同じでしょうか? またHDDの暗号化とはどのようにすればよろしいのでしょうか?