[運用]
企業におけるUSBメモリ活用ガイドライン

4.暗号化機能付きのUSBメモリなどを利用する

井上 孝司
2008/09/18

対策3:セキュリティ機能付きのUSBメモリを使う

 情報漏えい問題が取りざたされるようになって以来、ポピュラーになった製品の1つに「セキュリティ機能付きのUSBメモリ」がある。比較的手軽に利用できるうえに、USBメモリそのものの利用を抑止しないことから、ユーザーの使い勝手を損ねない利点もある。

 セキュリティ機能付きといってもいろいろな種類があるが、以下のように大別できる。

1.パスワード機能を持つ製品
 コネクタに接続した際にパスワードの入力を求めて、正しいパスワードを入力したときに限って利用可能になる。

2.暗号化機能を持つ製品
 ユーザーが設定したパスワードを使って、USBメモリに保存するファイルを暗号化する。専用のソフトウェアを使わないと読み書きを行えない製品と、フラッシュメモリそのものが暗号化機能を持ち、通常のUSBメモリと同様にエクスプローラやコマンドによるファイル操作が可能な製品に分かれる。

 こうした製品は「USBメモリが紛失・盗難に遭っても、情報が盗み出されないようにする対策」と位置付けられる。通常の方法によるアクセスであれば、パスワードによるアクセス制限だけでも有用だが、メモリ・チップを取り出して内容を直接読み出そうとする事態を考慮すると、暗号化機能を備える製品の方が安心できる。

 例えば、バッファローの「RUF2-HSCL-1G」はAES(Advanced Encryption Standard)によるハードウェア暗号化機能を備えたUSBメモリで、最初に接続してデバイスのインストールを行うと、まずパスワード設定用のプログラムを実行するよう求められる。

 この製品ではUSBフラッシュメモリを2つの領域に分けて、別々のドライブとしてアクセスできるようになっている。パスワード設定用のプログラムは、暗号化の対象にならない方のドライブに置かれており、こちらの領域はデバイス・ドライバのインストールが終わった時点でアクセスできる(後で出てくる画面例ではG:ドライブとなっている)。

バッファローの「RUF2-HSCL-1G」
自動暗号化機能が装備されており、保存したファイルは自動的に暗号化される。

 このプログラムは、取り外したRUF2-HSCL-1Gを再接続して利用可能にする場合や、パスワードを変更する場合に使用する。[オプション]ボタンをクリックするとダイアログが右側に拡大して、初期状態では隠れている[AutoRun機能]ボタンが現れる。それをクリックしてAutoRun機能を設定すると、接続時にパスワード設定プログラムが自動実行されるようになる。

パスワード未入力の場合のハードウェア暗号化機能付きUSBメモリの挙動
RUF2-HSCL-1Gを接続してデバイスをインストールした時点では、パスワード設定プログラムを置いたUSBメモリのドライブ(画面ではG:ドライブ)しかアクセスできない。USBメモリは2つのドライブに分割されており、この時点ではまだ、暗号化の対象になる方のドライブにはアクセスできない。

 パスワードを設定する(初回使用時)、あるいは正しいパスワードを入力すると(2回目以降)、初めて暗号化機能が有効になって読み書き可能なドライブが現れる仕組みだ。このドライブは、暗号化機能がないUSBメモリと同様に単なるドライブとしてアクセスでき、専用の暗号化プログラムは不要である。

パスワード設定プログラムの設定画面
ここで示した画面は、初めてパスワードを設定するときのものだ。パスワードを忘れてしまった場合に備えて、ヒントを設定しておくこともできる。

パスワード入力後のハードウェア暗号化機能付きUSBメモリの挙動
パスワードを設定すると、暗号化の対象になるデータ用のドライブ(画面ではD:ドライブ)が現れて読み書き可能になる。

2回目からは、USBメモリを取り付けてパスワード設定プログラムを実行すると、この画面が表示される。ここで、初回接続時に設定したものと同じパスワードを[パスワード]に入力すると、先に示した画面と同様に暗号化の対象になるドライブが現れる。

 上位製品の「RUF2-HSC1GW」では、別途販売している集中管理用の専用ソフトウェア「SecureLockManager」を用意している。これは、USBメモリのマスター・キーを作成しておき、ユーザーが個別設定したパスワードによらず、1つのマスター・キーですべてのUSBメモリを読み出せるようになる。これにより、ユーザーが設定したパスワードを万一忘れてしまっても、マスター・キーを使えば読み出せる(下位版のRUF2-HSCL-1Gにはマスター・キーの作成機能はない)。

 このほか、セキュリティ機能を備えたUSBメモリの中には、正規のユーザーかどうかを確認する手段として指紋認証を使用する製品もある。総当たり攻撃を受ける可能性があるパスワードよりも堅牢性は高くなるが、コストもかなり上昇する。

 こうしたセキュリティ機能を備えたUSBメモリは、通常のUSBメモリと比較すると高価だ。本稿執筆時点で量販店の店頭価格を調べてみたところ、同じベンダがリリースしている容量1Gbytesの製品で、通常製品が2000円台から手に入るのに対して、ハードウェア暗号化機能付きの製品では4000〜1万円程度になってしまう。指紋認証機能を備えた製品はさらに高価だ。

 また、セキュリティ機能付きUSBメモリのリスク要因として、OSのバージョンアップに追従できない可能性を挙げておきたい。実際、筆者自身もWindows XP時代にパスワード機能付きのUSBメモリを利用していたが、パスワード認証を行うプログラムがWindows Vistaに対応しておらず、動作しなかったため、Windows Vistaへの移行に際して使えなくなってしまった経験がある。

セキュリティ機能 機能 メリット デメリット 価格(容量1Gbytesモデル)
パスワード付き ドライブへのアクセスにパスワードの入力が必要 安価 物理的に情報が窃取される可能性あり 2500円程度から
自動暗号化機能付き 保存したデータを自動的に暗号化。データの復号にはパスワードの入力が必要 手軽にファイルの暗号化が可能 パスワードの総当りによって解読される危険性あり 4000円程度から
指紋認証+暗号化機能付き 保存したデータを自動的に暗号化。データの復号には指紋認証が必要 比較的安全性が高い 少々高価 1万4000円程度から
主なセキュリティ機能付きUSBメモリのメリット/デメリット

 このようなセキュリティ機能付きのUSBメモリを利用することで、「USBメモリの紛失・盗難」が起きても、内部のファイルが漏えいする危険性は大幅に軽減できる。しかしUSBメモリ内部で暗号化されていても、USBメモリからローカル・コンピュータにファイルをコピーすると、データは復号されてしまう。こうして復号されたファイルが、コンピュータのウイルス感染などによって外部に漏えいする危険性が残る。つまり「USBメモリの紛失・盗難」による情報漏えいは防げても、「USBメモリを介してコピーされたファイルが流出する」のは防げないので注意が必要だ。

アプリケーション・ソフトウェアの保護機能を利用する方法

 似たような考え方で、アプリケーション・ソフトウェアが備えるパスワード設定機能・暗号化機能・そのほかの保護機能を利用する方法もある。

 例えば、Microsoft Officeであれば、Office 2003以降は上位エディションに限り、DRM(Digital Rights Management)機能を使ってユーザーごとの権利制限を設定できる。つまり、ファイルの読み取り/書き込み/印刷を特定のユーザーにだけ認める機能だ。ただし、DRMのためにサーバ環境を整えなければならないので、それなりに費用と手間はかかる。

 また、ExcelやWordであれば、ファイルにパスワードを設定する機能は古くから存在するし、Office XP以降は暗号化機能も加わっている。後者は、ファイル・ダンプによる内容解析を阻止するのが狙いだ。



 INDEX
  [運用] 企業におけるUSBメモリ活用ガイドライン
    1.増え続けるUSBメモリによる情報漏えいを防ぐには
    2.Windowsの設定でUSBメモリを使用不可能にする
    3.Windowsの設定でUSBメモリへの書き込みを不可能にする
  4.暗号化機能付きのUSBメモリなどを利用する
    5.ファイルの移動などが禁止できるセキュリティ機能付きUSBメモリを利用する

 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間