情報あれこれ(コンピュータ関係)
17.パソコンのセキュリティ その1
パソコンが一般的になってきた半面,悪さをする人間も……やっぱり増えて来てますね。現実問題として。
そんなわけで,多少でも予防策になれば,ということで,セキュリティに関して,自分が思いつくかぎり,または実践している手段についてまとめてみました。
目的別の分類というようなことはどうもうまくできなかったので,一切やっていません。
その意味ではまとまりに欠けてしまっていますが,ご容赦下さい。
注意事項
それぞれの手段についての解説は,基本的に全て私個人の経験とそれに基づく推測であり,確実性を保証するものではありません。また,ここに紹介した手段により,100%の安全性を保証するものでもありません。誤解されることのないようにお願いいたします。
・パワーオンパスワード
<概要>
例えば,私が所有しているノートパソコン『PC−9821Nr300』の本体に装備されている機能です。
電源投入時にパスワードが要求され,正しいパスワードを入力しないと使用できない。というものです。
ちなみに,パスワードを忘れてしまった場合,メーカー(NEC)に申し込んで,有償で解除してもらうことになりますが,本来の所有者であることを証明するもの − 保証書の写しなど − がないと受け付けてもらえないので,万が一,本体の盗難にあっても,まったくの無防備というわけではなくなります。
<弱点>
後述の,セットアップパスワードとセットで利用しないと,効果は事実上無くなってしまいます(セットアップで解除されてしまうので)。
また,致命的ではありませんが,ハードディスクそのものに対するセキュリティではないので,ハードディスクを取り出して,別のパソコンに接続した場合には,中のデータを保護することはできません。
もっとも,PC−98シリーズではハードディスクの論理的な管理手段がDOS/V機とは異なるので,DOS/Vマシンにそのまま接続しても正常に認識できなかったハズですが……。
ただし,当然ながら同じPC−98シリーズに接続された場合は(BIOSのハードディスク容量の問題さえなければ),全くの無防備になってしまいます。盗んだ犯人がそこまでやるかどうかは別ですけどね。
<対応>
セットアップパスワードも設定する。
ハードディスクを別マシンに接続することへの対応となると……ファイル単位でパスワードを設定するのが一番簡単な手段……ではないでしょうか。対応したアプリケーションが必要ですけど。
OSとしてWindowsNT/2000を利用するのも方法ですが,ハードディスクを別のマシンに接続された場合にはそこにインストールされているOSそのものの機能はあてにはしないほうがいいでしょう。ファイルシステムをNTFSとしておいた場合,FATのように接続したらそれだけで問題なく認識できるような単純なものかどうかは知りませんので,何とも言えませんが……。
・セットアップパスワード
<概要>
これまたNr300本体に装備されている機能です。
NECのPC−9801シリーズの後期から,本体の設定を行うディップスイッチがソフトウェアでのものに変更され,それに付随する形で本体の動作を設定するセットアップメニュー(DOS/VのBIOSセットアップメニューのようなものと思ってよい……ハズ)が設けられましたが,このパスワードは,そのセットアップを保護するためのものです。
セットアップは,電源投入時に[HELP]キーを押しておくことで起動しますが,このパスワードを設定しおくと,その段階でパスワードが要求されます。
セットアップパスワード,パワーオンパスワードともに(使用のオン/オフ切り換えを含めて)このセットアップの中で設定するので,このセットアップ画面で設定をしておかないとパワーオンパスワードだけでは事実上効果はないと言えます。
PC−98シリーズの場合,セットアップ画面でシリアルポート(RS−232C),フロッピーディスクへのI/O制御などもできますので,不特定多数が利用する環境で,利用者に勝手に環境を変えられたくないような場合に利用するのが適当でしょう。
<弱点>
セキュリティとしての弱点はちょっと思いつきません。
パスワードそのものを知られてしまったら意味がないのはパスワードを利用するセキュリティ全てに共通ですけれど……。
・ファイルのパスワード
<概要>
アプリケーションによってはデータファイルにパスワードを設定することができるものもあります。
ビジネス用途のワープロ,表計算,データベースなどに多いですね。
ファイルを開く段階でパスワードを要求し,パスワードが一致しないとファイルが開けない。というのが多いように思います。
例えば『Excel』では,「読み取りパスワード」と「書き込みパスワード」が別個に設定できるようになっていて,書き込みパスワードを入力しないと,中を見ることはできるけれど,保存(上書き保存)ができない。というようになっています。
また,『桐』では,「定義」,「更新」,「参照」の3段階が用意されています。
| 段階 | 許可されている処理 |
|---|
| 定義 | データ構造の定義,内容の更新,内容閲覧 |
|---|
| 更新 | 内容の更新,内容閲覧 |
|---|
| 参照 | 内容閲覧のみ |
|---|
<弱点>
セキュリティの明らかな弱点としては,たとえ読み取り専用であっても,ファイルを開くことができてしまえば,その内容をコピーすることで,パスワードの設定されてないデータファイルとして新規に保存することができてしまう。ということがあげられます。
これは,パスワードの問題点ではなく,アプリケーションでそのデータファイルを開くことができる限り,不可避の問題です。従って,その弱点を理解した上で利用することが必要です。
<対応>
たとえ読み取り専用のものであっても,パスワードの管理を厳重にする。
他人への参照用として公開するのであれば,Adobe社のAcrobatを利用して,PDF形式のデータとして公開するのも一つの方法です。
Acrobatが安いとは言いませんが……。
・利用環境のカスタマイズ(その1)
<概要>
例えば,こんなデスクトップ&スタートメニューです。
注:16色に減色しています。
実は,私のデスクトップ&スタートメニューです(笑)。
ごらん頂ければ分かるように,スタートメニューにも,デスクトップにもアプリケーションのショートカットはまったくありません。
Internet Explorerのアイコンすらないってあたり,そこまでやるか。な感じですが……。
まぁ,さすがに自分自身の使い勝手はある程度確保したいので,スタートメニューにランチャーとして利用している『プログラムマネージャー』など最低限のショートカットは作成してありますが。
どうせなら,『プログラムマネージャー』なんかも完全に削除して,使用する時にはその都度ファイル名を指定して実行し,終了前にタスクバーで履歴を全てクリアしておくようにすれば,完璧かも知れません。
個人的には,『使い勝手プロテクト』などと呼んでいます(笑)
要するに,『とにかく自分さえ分かればいい!!』という感覚で,好き勝手に環境を構築して,他の人が「こんなもん使えるかぁぁ!!!」という状態を作り出してしまおうという代物です。
全くの私見ですが,Win95以降からパソコンを使い出した,初級レベルのユーザー相手なら,かなり強力なガードになります。
<弱点>
そもそも自分が分からないと話にならないのが最大の弱点です。
なにしろ,ある程度中級以上のユーザーでなければ,そもそもそう言った環境が構築できませんから。例えば,プログラムマネージャーを扱おうとすると……Win3.1以前からのユーザーでないと難しいかも知れません。ついでに言えば,デフォルトでスタートメニューに登録されるアプリケーションのショートカットの登録し直しの作業は……結構手間が掛ります。
というか,ショートカットについて基本的なことを理解していないとできません。
また,セキュリティ専門のソフトを利用しているわけではないので,かなり穴はあります。例えば,データファイルを見つけられてしまえば,そのアイコンをダブルクリックすればアプリケーションが起動しますから,後はどうにも防ぎようがありません。
それから,当然ですが,スタートメニューやデスクトップのショートカットがなくても,直接アプリケーションを起動する方法は幾らでもありますので……念の為。
データファイルを探し出す方法も……
<対応>
見た目がどうであっても,OSそのものは同じなのでどうしようもありません。
まぁ,本格的なセキュリティというよりも,5分10分程度,余分に時間をかけさせることができるかもしれないという程度のものと思って下さい。
・利用環境のカスタマイズ(その2)
<概要>
Windows環境下で,最も多用されているソフトは何かと聞かれたら,私の場合は「日本語入力IME」と答えます。
ワープロだろうが,掲示板,チャットの利用だろうが,日本語を扱うためには必須のものであることは異論がないでしょう。
PC−98時代の『一太郎』シリーズの成功を受けた「ATOK」と,現時点でのOS標準添付品という優位点をもつ「MS−IME」。この2つが,まぁやっぱり標準。ということになるでしょう。
カナ変換や,アルファベット変換,半角変換などの基本的なキーアサインも結構共通点もありますから(違いも結構ありますけど),この両者の間であれば,さほど問題なしに扱えるような感じがします。
……ところが,そのキーアサインをちょっと変えるだけで,他のユーザーには結構な障害となります。実は。
例えば,『漢字変換』は通常スペースキーに割り当てられていますが(ATOK,MS−IMEのデフォルト),それを他のキー,PC−98ならXFERあたりに割り当て直します。勿論,スペースキーの側は割り当てを削除しておきます。そうすると……たったこれだけのことですが,知らない人に取っては極端に使えない環境になってしまいます。
そもそも,他のキーに割り当て直せるということ自体知らないので,他のキーを押してみるということすら思いつかないようです。
その意味では,これら以外の日本語入力IMEを標準にしておくだけでもかなり効果があります。
<弱点>
自分が「ATOK」,「MS−IME」以外を使えないのでは,そもそもこの手段が使えません。
また,自分のマシン以外で作業をしなければいけないとき,現実問題として入力作業の効率が落ちます。当たり前ですが,違いが大きければ大きいほど。
事実,「松茸」を標準で使用している私にとっては,「ATOK」も「MS−IME」も使いづらいです。特に,ローマ字規則の違い,変換時のキーアサインの違いと2重に違いますから,相当に……。
<対応>
……慣れる以外に無し。
もしくはOSをWindowsNT/2000にして,パスワード管理を厳重にする……くらいではないかと……。
・パスワード
<概要>
セキュリティのための,個人認証の手段としてはかなり古くから存在する手段です。OSやアプリケーションレベルでも対応しているものが多いので,そのようなソフトを利用している場合,追加投資なしでセキュリティを確保することができるのは,何よりのメリットではないでしょうか。
インターネットにおいても,(インターネットに接続するために)プロバイダにアクセスする段階,メールサーバーからメールを受信する場合などで多用されています。
<弱点>
運用側の意識が低い場合,意味をなさないことが多い。
よく知られている原則として,「文字数が長くなれば安全性は高まる」ということがありますが,同時に「文字数が長くなれば,覚えにくくなる」ということもあります。
覚えやすいから,ということで「生年月日」,「電話番号」,「自家用車のナンバー」などを利用する人は多いですが,これらは「解読されやすいパスワード」の代表例でもあります。
また,「長いパスワードにしたけれど,覚えられないのでメモ用紙に書いておいて,それをパソコンの側に置いている」のでは意味がありません。これも結構あるようです。
解読されにくい(推察されにくい)パスワードとして推奨されているものに,「8文字以上,アルファベットと数字のランダムな組み合わせで,アルファベットの大文字小文字を区別するもの」があります。
個人的な経験から言えば,プロバイダから割り当てられたアカウント,メールアカウントのパスワードは,基本的にこの条件で生成されていることが多いようです。字数は8文字になっていますけれど。
因みに,8文字限定として,アルファベットの大文字小文字を区別した場合,区別しない場合に比べて,利用できるパスワードの種類は77倍あまりになります。つまり,解読のされにくさがそれだけになる。ということです。
<対応>
どうしても,『そんなややこしいパスワードは覚えられない』という場合には,短期間 − どの程度が適当かは判断がしにくいですが − でパスワードをこまめに変更するという方法があります。
プロバイダのパスワード変更は手続の関係もありますから,そうそう簡単に変更はできないかもしれませんが。
あるいは,パスワードの長さと覚えやすさを両立させる例として,「英文の単語の頭文字を並べる」という手段はいかがでしょうか。
例えば,「Born from an egg on the mountain top.」から「bfaeotmt」と綴るようなものです。
ことのついでに,1文字ごとに数字を1から順に入れて行くだけでも文字数は倍になります。この例なら「b1f2a3e4o5t6m7t8」となりますね。
また,1文字ごとに大文字小文字を入れ替えるだけでも2通りのバリエーションが考えられます(「BfAeOtMt」,「bFaEoTmT」)。つまり,破るのは難しくなります。
外には,o(オー)を0(ゼロ)に置き換えるとか,I(アイ 大文字)やl(エル 小文字)を1(イチ)に置き換えるようなことをするだけでも結構難しくなります。