Windowsパソコンを紛失した場合に備えて、リモートワイプやリモートロックについて調べていると、色々な対処方法があったりして混乱しました。
結局どういったセキュリティがWindowsでベストなのかを考えてみます。
Windowsでも「Macを探す」みたいな機能があればいいと思って始めた調べ物ですが、そんな機能は役にたたないという現実を思い知ったのも含めて見ていきましょう。
目次
Macを探すの機能について
まずはMacの標準機能である「Macを探す」って何ができるのか?
iCloudの機能で紛失したMacの「位置情報を取得」「サウンド再生」「リモートロック」「データを消去」することができます。
でもこれは本当に活用できるのか?と考えるとそうも言えません。
「Mac を探す」で Mac を見つけるには、目的の Mac が既知の Wi-Fi ネットワーク経由でインターネットに接続されていなければなりません。Mac が Ethernet ケーブルでインターネットに接続している場合は、「Mac を探す」で Mac を見つけることはできません。
iCloud:「iPhone/iPad/iPod touch/Mac を探す」のトラブルシューティング – Apple サポート
ちょっと知識のある人がMacを拾って早々にWifiに繋げることは少ないでしょう。
Mac がシステム終了していたりオフラインの場合はどうなりますか?
Mac がシステム終了している場合やオフラインの場合でも、「Mac を探す」を使って、位置が確認できた時点で通知を受け取ったり、Mac をリモートからロックしたりデータを消去したりするようリクエストできます。次に Mac がオンラインになったときに、これらの操作が実行されます。問題の Mac がオフラインのときに「Mac を探す」から Mac を削除すると、リクエストはキャンセルされます。
Mac が紛失した、または盗難に遭った場合 – Apple サポート
つまり全てオンラインになった場合で初めて有効となるわけですね。
やはり拾得者がネットにいきなり繋げるとは考えられません。むしろオフラインの状態で情報を抜き出される方が圧倒的に可能性は高まります。
リモートワイプの成功率
とても興味深い内容で、実際の運用実績からリモートワイプの成功率が発表されています。
なんと95%で失敗しているという現状が報告されています。
「リモートワイプって殆ど効かないんですよね」
ある大手SI企業の女性システム管理者が言っていた言葉です。
その会社では1000台ほどの携帯電話を会社端末として提供しているそうです。
月に平均すると2件ほどの紛失が発生すると。そしてリモートワイプをかける。
「4年間やっていて、本当にデータ消去が成功したのは2件でした」
計算すると2÷48ヶ月=約5%。ものすごく低い成功率です。
逆算すると、95%のケースで失敗しているわけです。
「リモートワイプは約95%失敗した」とのある会社の4年間の運用実績:坂本史郎の【朝メール】より:ITmedia オルタナティブ・ブログ
さらに裏付ける内容として、米国のジュニパーネットワークスグローバル脅威センターから以下のような内容が公表されました。
「デバイスの紛失時にリモートワイプが成功しデータをロック・消去できたケースはわずか7%」
ジュニパーネットワークス、モバイル端末のセキュリティ動向に関する2011年度調査結果を発表
ないよりはあったほうがいいですが、対策としては不十分だと言わざるを得ない結果になっています。
Windowsを探す
AppleのMacを探すと同等の「Windouwsを探す」を無料で提供してくれていたトレンドマイクロのリモートアラームがストアから提供を終了しました。
Windows ストアアプリについて | サポート Q&A:トレンドマイクロ
無料ということも手伝って、利用していたユーザーも多いのではないでしょうか?
終了で次の同等サービスを探している人もいるかと思います。
しかし、信頼できるサービスほど有料のものが多く、5%程度の成功率のセキュリティにお金を払うのもバカらしくもなってしまいます。
「Windowsを探す」を実現するのは簡単ですが、有料版が多いのが現状です。
そんな中で「スーパーセキュリティZERO」が高機能で使えますね。Windowsのサポートが終了するまで更新料が不要でリモートロック・リモートワイプに対応するだけでなく様々なセキュリティ対策に万能な仕上がりになっています。
なによりコスパがやばいぐらい安いので導入へのハードルもかなり低い製品です。
他にもWindowsのリモートロックでPreyというソフトが有名ですが、紛失したパソコンが「電源ONである」「ログオンされている」「ネット接続済」という3段階をクリアしないと使い物にならないという仕様です。
最早何を守りたくて何を隠したくて何をしたいのかわからないソフトという印象ですが、人によっては使い道もあるのでしょうか?
デバイスを諦めてデータを守る
上記までのリモート系セキュリティはハードを取り戻すことを前提として、遠隔でデータの消去を行えればラッキー程度の機能でした。
だったら、常にデータを暗号化すればいいじゃないかという結論に。
そこでWindows標準機能としてあるBitLockerを利用しましょう。
BitLockerを有効化
BitLockerは、SurfaceではデフォルトでONになっている、ドライブ暗号化の機能です。
拾得者がHDDやSSDからデータを解析しようとしても暗号化のためにデータを読み取れなくしてしまいます。
それに、Windowsログイン画面でパスワードを一定回数失敗すると一定期間ロックされる機能も働いてくれます。
セキュリティレベルも高く、最も現実的な対処方法とも言えます。
コントロール・パネル → 「システムとセキュリティ」 → 「BitLockerドライブ暗号化」
有効化して生成された回復キーは厳重に保管しましょう。
Microsoftアカウントに保存すれば、OneDrive上でいつでも確認できるようになります。
https://onedrive.live.com/recoverykey
TPMというセキュリティチップが利用できれば、普段通りのパソコンとして意識せずに利用ができるので、特に理由がなければBitLockerを有効化しておくことをおすすめします。
ただし、ユーザー名とパスワードさえ分かれば暗号化されていない状態となってしまいますので、完璧とは言えません。
もちろんディスク自体を取り出された場合には暗号化されているのでデータを取られる心配はありませんが。
TPMとPINを同時に利用する
BitlockerのPINを設定することで、PINを入力しないとOS自体起動できない状況にできます。
ここまでしておけばかなりセキュアな環境が構築できると思います。
TPMと同時にPINコードでのロックも行う設定を行います。
グループポリシーの変更
まずは一度Bitlockerを解除しておきます。
「ファイル名を指定して実行」で「gpedit.msc」を開きます。
「コンピュータの構成」「管理用テンプレート」「Windowsコンポーネント「BitLocker ドライブ暗号化」「オペレーティング システムのドライブ」を開きます。
右ウィンドウの「スタートアップ時に追加の認証を要求する」の項目を開きます。
ラジオボタンを「有効」にします。
互換性のある TPM が装備されていない BitLocker を許可する(USB フラッシュドライブでパスワードまたはスタートアップキーが必要)のチェックボックスを外します。
TPM スタートアップ PIN の構成を「TPM でスタートアップ PIN を要求する」に変更します。
次に「コマンドプロンプト(管理者)」を選択します。
今回はCドライブを暗号化のために指定します。
manage-bde -protectors -add c: -tp
パラメータは「 管理 bde.exe パラメーターへの参照」を参考に。
そして「ボリュームを保護するために使用する PIN を入力します」と表示されるので4桁以上20桁以下で入力します。
まとめ
まず、Macを探すを含めて、位置情報やリモート系のツールには過度な期待はできないという事実です。というか5%程度の成功率を考えるとセキュリティとしては最低レベルと言えます。いつでも探せると思ってセキュリティを疎かにしていませんか?そのセキュリティだけでは危険ですよ。
そしてWindowsの暗号化技術がここまで進化していたのにも驚きました。手軽でセキュリティ対策としても高レベルなので、間違いなく利用すべき機能ですね。
今日も知識欲は止まらない。
