第209回
PCを携帯するなら気を付けたい“データ盗難”
~セキュリティ高める指紋認証デバイスの使い勝手



ThinkPad T40

 今年4月にお仕事用PCとしてThinkPad T40を導入した、という話を以前にここで書いたことがある。T40を選んだ理由はいくつかあるが、そのうちのひとつはセキュリティチップを搭載したPentium Mマシンが、T40とX31しか当時存在していなかったことである。

 近年、バッテリ持続時間が長くなり、プロセッサパワーやハードディスク容量も上がり、PCを携帯することによる利便性も上がってきた。僕も出かけるときには、必ずPCをカバンの中に入れている。しかし、あらゆる情報が詰め込まれたノートPCを持ち歩くようになると、その中にあるデータが盗まれる危険性も大きくなる。企業の機密データなどはもちろんだろうが、ちょっとした個人データにしても盗まれたくないものは多いのでは?

 たとえば手帳の場合、その中のメモは不完全で他人が見るとさっぱりわからないものも多いだろうし情報の量も知れているだろう。しかし、それでも紛失するととても困る上、偶然に知られたくない人に知られたくない情報が伝わってしまう可能性が高い。ましてや、より大量の、しかも完全な形の情報が保存されているノートPCが、情報ごと盗まれてしまう、あるいは知らないうちに身近なところから盗まれるかもしれないといったことを考えると……。

 軽量化、薄型化、バッテリ持続時間の延長など、PCの携帯性の向上は、情報漏洩の危険性を増やしてしまう。モバイルPCの発展とセキュリティの向上は、セットで考える必要があるだろう。そこで、セキュリティ対策の現状を体感する上でも、自分の使うPCをセキュリティチップ搭載機にしようと思ったわけだ。

 もっとも、“セキュリティチップ”といっても、それがどのように使われ、使い方がどのように変化するのか、具体的には知らない人も多いだろう。最近のThinkPadシリーズにはセキュリティチップが標準搭載されているが、ソフトウェアはプリロードされていない(インストールもされていなければ、インストールイメージも添付されていない)ため、セキュリティチップを自ら積極的に使おうという人以外は、その機能が活かされることはないからだ。

 また、興味を持ってセキュリティチップの機能を利用するソフトウェアをインストールしたとしても、長いパスフレーズの入力をいちいち行なうのはイヤだと感じる人も多いハズ。セキュリティを高める上で、どこかに個人認証を行なう手間は増えてしまうものだ。

 高いセキュリティレベルは維持しながら使い勝手を向上させるためには、どうすれば良いのか? その答えのひとつが、指紋センサによる個人認証だ。

●ハイセキュリティなThinkPad用のミドルウェアだが……

 さてIBMが搭載しているセキュリティチップだが、正式にはTPM (Trusted Platform Module)という名前が付いている。実物は小指の爪よりも小さなチップで、その中にプロセッサ、メモリ、秘密鍵の保存機能などがある。

 TPMはそれが取り付けられているハードウェアやBIOSが正しいか否かも自ら判断する。たとえば、TPMのモジュールをハードディスクと一緒に持ち出し、別のThinkPadに取り付けても、暗号化されたファイル読み出すことはできない。

 また、2,048bitのRCA暗号化処理、乱数発生、ハッシュ関数処理を行なう機能をハードウェアで搭載。たとえばセキュリティ上、絶対に漏らしてはならない秘密鍵をTPM内の不揮発性メモリに保存しておけば、暗号処理がTPM内で完結するため、PC内部(つまりTPMの外)に秘密鍵が漏れ出すことはない(通常はシステム内の記憶装置、たとえばハードディスク内に秘密鍵を置くため、他のソフトウェアから鍵を盗まれる危険性を避けられない)。このあたりのTPMに関する話は、IBMのWebサイトにさらに詳細な説明があるので、興味のある人はそちらを参照してほしい( http://www-6.ibm.com/jp/pc/security/css/chip.html )。

 さて、秘密鍵の安全な保存や暗号処理を行なうセキュリティ専用プロセッサとも言えるTPMだが、搭載されているだけでは意味がない。そこで用意されているのが、「Client Security Software」というIBM開発のミドルウェアだ。

 Client Security Softwareは、セキュリティチップに保存・保護する秘密鍵の生成と管理を行ない、同チップの機能を用いてユーザー認証やデータ暗号化、電子証明書の保護、IEEE 802.1xなどを安全に行なう。

 具体的にはWindowsのログオンダイアログを、TPMを利用したユーザー認証プログラムに置き換え、パスワードよりも長いパスフレーズを用いてログオンさせるようにする。他にもサスペンドからの復帰、スクリーンセーバーパスワードの処理も置き換えられ、Client Security Softwareに登録したパスフレーズを入力しないとPCを利用できなくなる。PC本体を盗まれることと共に、離席中にPCを盗み見される可能性をグンと低くできるわけだ。

 Client Security Softwareにはアドオンのソフトウェアとして、Webサービス利用時のIDとパスワードを一元管理するPassword Manager、ファイルの暗号化を行なうFile&Folder Encryptionといった追加モジュールも利用可能だ。中でもPassword Managerは非常に便利なツールだ。Client Security Softwareのパスフレーズを入力するだけで、登録したすべてのWebサービスに自動的にログオン可能となる。複数のIDとパスワードを管理する煩わしさから解放される。

 そのほか、Outlook、Outlook Express、Netscape Messengerのメール暗号、電子署名、Internet Explorer、Netscape NavigatorのSSL、Entrust EntelligenceのPKIなどの暗号化処理を、TPM内でセキュアに実行することが可能だ。

デフォルトのパスフレーズポリシーはかなり厳しく、入力はどうしても面倒になりがち

 もっとも、Client Security Softwareを本当に安全に使うためには、パスワード代わりのパスフレーズに、数字とアルファベットを組み合わせた長い文章を指定する必要がある。たとえば隣の席の人に、常にパスフレーズを入力するところを見られ続けると、パスフレーズを類推される可能性が高くなってくる。わかりにくいパスフレーズを使う手もあるが、メモを取らなければ忘れそうなほど長いフレーズだからといってメモを本当に取ってしまうとセキュリティの強度が下がってしまう。

 そもそも、わかりにくいパスワードほど、通常の単語を入力する場合とは運指と異なることもあって入力しにくいものだ。つまり、わかりにくい複雑なパスフレーズは入力がしにくい。あまりに頻繁に入力を求められるようだと、使う側はうんざりしてしまう。Client Security Softwareは、携帯するPCのセキュリティを高めるために絶好の製品ではあるが、セキュリティが高いが故に不便な部分も残る。

●指紋認証デバイスを使えば一発で認証が可能に

 企業内で義務づけられている場合は、会社としてのセキュリティポリシーがあるならば、少々面倒でも従わざるを得ない。しかし、個人の持ち物となると「面倒すぎる設定はイヤ」となってしまい、セキュリティが甘くなりがちだ。

 たとえばスクリーンセーバパスワードやサスペンド/レジュームパスワードなどをかけている個人ユーザーは、滅多に見かけることがない。自分自身のことを考えても、これらのパスワードをいちいち入力するのは面倒だと思うし、長いパスフレーズとなるとなおさらだ。とはいえ、短いパスワードだと指の動きで単語などを察知されやすい。

 セキュリティの高さと使い勝手は、互いにトレードオフの関係にあると言えるが、両者の距離を出来る限り近づけなければ、個人が持つモバイルPCの安全性を高めることは非常に難しい。ポイントはパスワード/パスフレーズを入力しなくとも、簡単に、そして安全に個人の確認を取れる仕組みを作ることだ。

 今回のタイトルとした指紋認証デバイスは、まさに手軽に個人を特定するための解決策といえる。Client Security Softwareはいくつかの本人認証デバイスに対応しているが、その中のひとつにTargus(モバイルPC向けバッグやACアダプタで知られる、あのTargusだ)のDEFCON Authenticator Fingerprintがある。ノートPC向けにはPCカード版、デスクトップPC向けにはUSB版がある。今回はThinkPad X31にPCカード版の指紋認証デバイスを取り付け、利用してみた。

TargusのDEFCON Authenticator Fingerprint。指紋センサーはPCカード内に納められており、利用時にポップアップさせて利用する

 このカードにはOmniPassという、TPMには依存しない指紋認証によるログオン、暗号化などを行なうミドルウェアが付属しているため、単にログオンパスワードやスクリーンセーバパスワード、レジュームパスワードを指紋認証で行ないたいだけならば、TPM搭載のThinkPadを使う必要はない。どんなパソコンでも利用可能だ。ただしTPM内蔵ThinkPadと組み合わせて利用すると、Client Security Softwareの持つTPMを利用したセキュリティ機能を指紋認証と組み合わせて活用可能になる。

 システム起動時、最初の認証プロセスでは指紋とパスフレーズの両方を求められるが、一端ログオンしてしまえば、ファイルとフォルダの暗号化、Password Managerの利用、あるいはスクリーンセーバパスワードやレジュームパスワードの代わりに、指紋一発で認証される。

 同様に個人認証デバイスとして指紋を利用するNTTドコモのF505iの場合、指紋センサーが小さすぎるためか認証に失敗することも少なくないが、おおよそ1cm角程度のセンサーを用いたTargusのPCカードの場合は、ほとんど失敗なく認証される。もちろん、複数の指を同時登録しておくことが可能だ。なお、指紋認証デバイスを置き忘れた場合などは、パスフレーズで鍵を解除することもできる。

 この2週間ほど、指紋認証デバイスとClient Security Softwareの組み合わせで使い続けているが、認証の手間はほとんどなく、Client Security Software+パスフレーズで感じた面倒さはほとんど感じない。全くセキュリティ対策を施していない場合に比べれば、一手間増えていることは確かだが、自分が管理する情報がすべて詰まったPCを携帯することの危険性と天秤にかければ、トレードオフとしての分は決して悪くない。

 ただ企業向けの厳密な情報流出防止策ではなく、個人向けの手軽な“手軽な鍵”として考えるならば、TPMとClient Security Softwareは必須ではないとも思う。DEFCON Authenticator FingerprintにバンドルされているOmniPassでも十分だろう。TPMを内蔵していないユーザーも、OmniPassの利用を前提に検討してみてはいかがだろうか。

指紋登録のダイアログ。左右の各指をそれぞれ登録可能 TargusのDEFCON Authenticator Fingerprint。指紋センサーはPCカード内に納められており、利用時にポップアップさせて利用する

●パーソナル向けの手軽なセキュリティソフトウェアを望む

 個人的には指紋認証デバイスを、この先もしばらく使っていこうと思っているが、PCカードスロットを1本占有してしまう点を嫌う人もいるだろう。さらに、指紋認証デバイスの有効性については理解できるが、いざコストを支払うとなると躊躇する人は多いものだ。今後は個人認証のためのデバイスを標準装備することが望まれる。また、個人向けにもっと手軽なソリューションが欲しいという向きもあるかもしれない。

エスコンピュータの「ピピッと携帯パソコンロック」

 有限会社エスコンピュータの「ピピッと携帯パソコンロック」という製品は、携帯電話を鍵としてPCのロックを解除するソフトウェアだ。携帯電話には赤外線ポート付きのiアプリ対応機が、PCにもIrDAポート付きの製品が必要となる。同社のウェブサイトではNTTドコモの504および505シリーズのみサポートと掲載されているが、手元のFOMA端末(F2102V)でも問題なく利用可能だった。ベンダー側では未検証だが、2051シリーズ以降のFOMA端末でも利用できるようだ。価格も3,980円と安く、14日間無料で利用可能なお試し版もある。

 この製品を利用すると、ログオン時をはじめとしてパスワード認証時、携帯電話のみでログオンが可能となる。エスコンピュータによると、電子証明書の交換などは行なっておらず、技術的に認証コードを全く盗めないわけではないとのことだが、手軽な錠前としては十分に機能してくれるだろう。問題はIrDAを装備する携帯電話は増える傾向にあるが、PC側はサポートする機種が減少する傾向にあることだろうか(PCに取り付けるIrDAアダプタもあるが)。

 同社では将来は電子証明書を用いた認証やBluetoothへの対応なども行ないたいとのことだ。現時点では個人向けのセキュリティ製品は大きな市場となっていないが、モバイル指向の強い製品が増えていくに従って、手軽に利用できるセキュリティ製品へのニーズも高まってくるのではないだろうか。

□DEFCON Authenticatorの製品情報
http://www.targus.co.jp/accessories/pa470b.htm
□ピピッと携帯パソコンロックの製品情報
http://www.escom.co.jp/pclockk/index.html
□関連記事
【7月10日】エスコンピュータ、携帯電話を利用したセキュリティソフト
http://pc.watch.impress.co.jp/docs/2003/0710/escom.htm

バックナンバー

(2003年7月17日)

[Text by 本田雅一]


【PC Watchホームページ】


PC Watch編集部 pc-watch-info@impress.co.jp 個別にご回答することはいたしかねます。

Copyright (c) 2003 Impress Corporation All rights reserved.