2007-05-29 [長年日記]
_ [Security] もしパソコンが盗まれたら... / si votre PC est volé...
先日、ある人が車で高速道路を走っていたら車を止めさせられて、ノートパソコンなど載せてある荷物を全部強奪された、という話を聞きました。
そこで、仕事のデータであれ、プライベートなデータであれ、何らかの「流出したら困る」データのあるパソコンが、誰にいつ盗まれてもそれなりに大丈夫、という安心のためには、どれくらいの対策が必要なのか、と考えてみました。 ただし、いつ盗まれても、といっても、本当に使っている真っ最中にいきなり襲われる、というのは除外します。 相手がその気なら、その場でデータを完全に取り出せるまで脅迫できるでしょうから。 でも、盗む人はこちらのデータに興味がある人を想定するとします。
まず、起動時のセキュリティを考えると...
- BIOSのパスワードを設定
- ブートローダのパスワードを設定(シングルモードでの起動や、init=/bin/shでの起動を防ぐ)
起動中に席を外したり、サスペンドやハイバネートしている間に盗まれたら、と考えると...
- スクリーンセーバの解除にパスワードをかける
- サスペンドやハイバネートの際にロックがかかるようにする
でも、分解してHDDをとりだされると無防備なので、そのへんを考えると...
- loop-AESやdm-cryptなどでパーティションを暗号化
- encfsなどでディレクトリを暗号化
↑このあたりは、「Open Tech Press|ファイルシステムごと暗号化する方法」が詳しい。
これくらいしておけば、それなりに安心して眠れるのでしょうか?
あと、パーティションやディレクトリを暗号化した場合、一つでも開いているファイルがあればアンマウントできません。 なので、/home全部みたいな単位で暗号化すると、それなりに不便というか、普段はマウントしっぱなしにしてしまいそうで、そうなるとやっぱり通電中やサスペンド中の盗難にやや弱い気がします。
みなさんのご意見をお聞かせくださると幸いです。m(_ _)m
[]
あらゆるデータをネットの向こう側に置けばいいんじゃね?
いやー,うちにいいソリューションがありますよ.<br>紹介しますよ!
盗まれるかもしれないPC上に流出しては困るデータを置かない、のが一番簡単で効果があるような気がしますねぇ。
サスペンド中に盗まれても、復帰するのにパスワードが必要ならファイルシステムにはアクセスできないんでは?
> たださん<br>ネットの向こうをどれだけ信頼できるかっていうのも気になります。ネットの向こうでは盗難のリスクは想定されているのでしょうか? 関係者による流出の方が可能性高そうな気もしますが。
> kitajさん<br>フランスまで営業に来て〜 :)
> h_nakamuraさん<br>確率の差はあっても、どこかにデータを置く以上は盗難のリスクはあって、しかもクラッシュに備えてバックアップをとればそれだけリスクが高まるのが気になるのです。
> smbdさん<br>確かにそうですね。ただ、BIOSパスワードってそんなに強固なのか、ちょっと心配です。<br>http://labmice.techtarget.com/articles/BIOS_hack.htm<br>でも、↑とか見ると、ノートパソコンの場合はBIOSパスワードをかけるとHDDにも細工したりするのかな?
とどのつまりは、盗む価値 << 盗む手間 にしとけばいいのだけれど、盗む価値は、盗む側によって決定されるので、盗まれる側は予測することしかできません。<br>専用金庫室の中にデータを置いて、そこでしか作業しない、とかまでしても、相手にとって十分な価値があれば、金庫室ごと持っていく、という荒技もあるわけで。
BIOS パスワードは全然駄目でしょう。破るツールも出回ってるようですし。<br>サスペンドから復帰する時に聞くパスワードは、BIOS パスワードではなく、OS 側で設定してあるパスワードでは? そちらは OS のもよるでしょうが、十分強力にできるはずです。<br>マウントされたままであっても、パスワードが破れなければ電源を落す以外の操作はできないはずですし、電源を強制的に落せば、当然アンマウントされますから問題ないのでは?
メーカー製のノートパソコンだと、BIOSにメンテナンス用の共通パスワードが存在すると聞いたことがあります。ある会社のとある型番のノートパソコンだと全部共通という罠なわけです。当然メンテナンス用のBIOSパスワードを知ってる人間じゃないとダメですが。