(Accessnow:security help line)ディスク全体の暗号化―フルディスクエンクリプション(FDE)

Categories
< Back
You are here:
Print

(Accessnow:security help line)ディスク全体の暗号化―フルディスクエンクリプション(FDE)

以下は、AccessnowのDigital Security Helplineの記事からディスク全体の暗号化について、デバイスごとの対処法について記述したものを訳しました。(2022/6/28)


ディスク全体の暗号化(FDE)
ディスク全体の暗号化で機密情報を保護する

課題
デバイスに保存されている個人情報や機密情報を、不正なアクセスから保護する必要がある。

解決方法
警告

  1. フルディスク暗号化を行う前に、クライアントはデバイスのルート認証情報を取得し、すべてのデータのバックアップをとっておく必要があります。
  2. クライアントにリスクを認識させる。以下の懸念事項に注意してください。

●マルウェアは、起動後に復号化パスワードを入力するまでファイルをコンピュータからコピーするのを待つことで、暗号化を破ることができることを念頭に置いておく必要があります。

●暗号化されたデータは、コンピュータの電源が切れているときのみ保護されます。もし敵がコンピュータの電源が入っているとき、スリープモード、または休止状態のコンピュータにアクセスした場合、データを抽出するためにいくつかのテクニックが使用可能性です。

●暗号化の効果は、暗号化パスワードに依存します。攻撃者がユーザーのデバイスを手に入れ、暗号化パスワードを試す時間が十分にあることを自覚してパスワードを設定すべきです。

●暗号化することで、通常よくあるアクセスを防ぐことができますが、クライアントは、物理的なアクセスを防ぐためにデータを隠したり、より安全なマシンに格納したりして、本当に機密性の高いデータを保持する必要があります。クライアントは、暗号化されたマシンを過信してはいけません。

以下は、フルディスク暗号化ツールのリストをデバイスの種類とオペレーティング・システムごとにリストアップしています。

Windows

BitLocker

Windows VistaとWindows 7のUltimateとEnterpriseエディション、Windows 8とWindows 8.1のProとEnterpriseエディション、Windows Server 2008、Windows 10以降に含まれるオプションです。

Windows 7

Windows 8

Windows 10

Security in a Boxのガイド

デバイスの暗号化

Windows 8.1およびWindows 10のWindows Homeエディションで、TPM 2.0およびモダンスタンバイ(コネクテッドスタンバイ、InstantGoとも呼ばれる)ハードウェアをサポートするデバイスに含まれるオプションです。Device EncryptionはBitlockerと同じですが、ユーザーが設定するオプションがないことと、起動前認証がないという制限があります。

Windows 10
BitLocker Device Encryption は自動的に有効になり、デバイスは常に保護されます。このページでは、この仕組みの概要を説明します。

BitLockerおよびDevice Encryptionは、すべてのWindowsバージョンで利用できるわけではありません。クライアントのオペレーティングシステムで実行されているバージョンにBitLockerまたはDevice Encryptionが含まれていない場合、VeraCrypt [日本語 Linux版日本語]で機密ファイル用の暗号化フォルダを作成するか、 Article #78: FDE with DiskCryptor on Windowsの説明に従ってDiskcryptorを使用するように提案することが可能です。

macOS

FileVault 2

Mac OS X Lion 以降に含まれるオプションです。詳細とエンドユーザーガイドへのリンクは、  Article #104: Full-Disk Encryption on Mac with FileVault 2  をご覧ください。

旧バージョン(Mac OS X LeopardおよびMac OS X Snow Leopard)では、クライアントはFileVaultを使用することができます。

Linux

フルディスク暗号化は、通常、システムのインストール時に有効にすることができるオプションです。

クライアントがUbuntu(または他のDebianベースのディストリビューション)を使用していて、インストール時にフルディスクの暗号化が有効になっていない場合は、Article #77: Ubuntu – Linux – FDE after OS installationでインストール後のディスク暗号化に関する推奨事項をご確認ください。

アンドロイド

Android 10以降を搭載した新しいデバイスは、フルディスク暗号化ではなくファイルベースの暗号化を使用しています。

Android 6から9では、フルディスク暗号化はデフォルトで有効になっています。フルディスク暗号化が有効になっていることを再確認するには、古いAndroidバージョンで以下の手順を実行してください。

ファイルベース暗号化(FBE)とフルディスク暗号化(FDE)の違いについては、こちらの記事で解説しています。

Android 4.0 Ice CreamからAndroid 5.0 Lollipopでは、デバイスの暗号化はオプションです。有効にするには、次の手順に進みます。設定] -> [個人] -> [セキュリティ] -> [暗号化]。ただし、デバイスの暗号化を有効にする前に、スクリーンロックのパスワードが設定されている必要があります。

注:暗号化プロセスを開始する前に、携帯電話が完全に充電され、電源に接続されていることを確認してください。

iOS

パスコード

iOS 8以降のiPhoneはデフォルトで暗号化されていますが、クライアントは心配な場合、それが有効になっているかどうかを再確認することができます。

暗号化はiOS 4からiOS 7を搭載したデバイスで利用可能なオプションですが、デフォルトでは有効になっていません。有効にするには、次の手順に従います。

  1. 設定] > [パスコード (または Touch ID とパスコード)] > [パスコードを有効にする] をタップします。
  2. プロンプトに従ってパスコードを作成します。
  3. パスコードが設定されたら、画面を下にスクロールして、「データ保護が有効になっています」というフレーズを探します。
  4. 同じウィンドウから、「パスコードを要求する」オプションを「直ちに」に設定し、使用していないときにデバイスのロックが解除されないようにする必要があります。

クライアントがiTunesオプションを使ってデバイスをコンピュータにバックアップしている場合、iTunesのデバイスの「サマリー」タブで「バックアップを暗号化」オプションを選択する必要があります。すべてのデータは、コンピュータに保存される前にiTunesによって暗号化されます。

Appleによると、クライアントがiCloudにバックアップする場合、データは暗号化されます。暗号化キーはAppleが保有しています。データを保護するために長いパスフレーズを使用し、そのパスフレーズを安全に保管してください。

最後に、ユーザーがデバイスに重要なデータを持っており、紛失や盗難が心配な場合、パスフレーズに10回失敗するとすべてのデータを消去するようにデバイスを設定することも、データのリモート消去と同様に選択肢の一つです。この場合、自動バックアップオプションを有効にする必要があります。

コメント

この投稿で、Bruce Schneierは、Bitlockerを使用することがWindowsで合理的な解決策である理由を説明しています。

関連記事
Article #104: Full-Disk Encryption on Mac with FileVault 2
Article #77: Ubuntu – Linux – FDE after OS installation?
Article #78: FDE with DiskCryptor on Windows

出典:https://communitydocs.accessnow.org/166-Full-Disk_Encryption.html

Tags:
Table of Contents