個人情報を護るには、HDDの丸ごと暗号化

この記事は約6分で読めます。

個人情報を護るにはHDDに鍵をかけるのが楽

またまた昨日の続きです。

私自身は、データ管理のライフサイクルとして以下の4つを行っていますが今日は最後の2つについて記します。

  • 保全: HDDの健康状態の確認
  • 保全: バックアップ(通常、世代、オフサイト、クラウド)
  • ウイルス対策: HDDのアンマウント
  • 情報漏洩対策、廃棄対策: 暗号化

ウイルス対策: HDDのアンマウント

 ここ数年、ランサムウェアが猛威を振るっています。自PC内のドライブだけではなく、割り当てられたネットワークドライブ上のファイルもターゲットですし、ネットワーク上の共有フォルダを探してファイルを勝手に暗号化してしまうタイプも登場しています。

 先日、投稿しましたが、当家ではホームネットワークやワークグループを構築しない理由がこれです。家庭内のお互いのデバイスが見えないことは横感染の抑止となるはずです。

 あくまでも個人の憶測ですが、ウイルスのタイプにもよるでしょうが、同じような理屈で、自PC内のドライブも、できるだけ見えない(マウントされていない)ことが防衛の一助となると思っています。

 私のメインのWindows-PCは自作機ですが、HDDやSDDを4台搭載しています。複数のパーティションを作成し、ドライブレターはCドライブ、D、E、X、Y、Zがあります。(XとYは、それぞれDとEのバックアップ用ドライブです) 基本は、使うときだけマウントし、使い終わるとアンマウントしています。したがって、最初にWindowsを起動した状態ではCドライブしか見えません。通常のメールやブラウザ利用などは、OSの格納されたCドライブだけで事足ります。マルウェアにもよるでしょうが、確率的にはドライブ(=感染対象)が見えている時間が短いほうが予防になると思っています。

マウント用バッチコマンド処理

 ドライブレターを割り当ててマウントしたり、ドライブレターを削除してアンマウントするには、管理者ツールを使わずとも、diskpart コマンドを使った簡単なBATファイルを作れば、どちらも1動作で可能です。

ドライブレターを作成したり削除するバッチコマンド例

 ※私はプログラムが下手なので、上手なdiskpartの使い方は、ネット等を参照ください。

PCを起動した直後のドライブ状態

PCを起動した直後のドライブリスト

マウント用のBATファイル(Dドライブ、Xドライブ)をWクリックしたら

ドライブXをマウントするためのBATファイル

DとXドライブがマウントされて、使えるようになります。

マウントされたDドライブとXドライブ

逆に、アンマウントBAT(Dドライブ、Xドライブ)をクリックしたら

アンマウント用のBATファイル

また、ドライブは見えなくなります

PCを起動した直後のドライブリスト

情報漏洩対策: HDDのまるごと暗号化

 昨年末、ブロードリンク社で社員による内部犯行が発覚しました。社内でハードディスクを3年間も窃盗しつづけ、内部データを抹消しないまま、約8000台をメルカリ等で転売したとのことです。きちんと廃棄代金を支払ったのに、引き取った産廃業者が不法投棄をしていたようなものでしょうか? いえいえ、HDDの場合は、「モノ」としてではなく、重要データが詰まっているのでより深刻です。

通常、HDD内部のデータ抹消処理をするのは、2つ方法があると思います。

  • ソフトによる削除: 単純に01010101などの無効なデータをHDD一杯に2~3度上書きして書き込む方法。自分でも作業可能ですが、最近のHDDは容量が大きいので非常に時間がかかります。
  • 物理的な破壊: 専用器具を用い、強力な磁気で記録内容を無効かするか、ドリル等で数カ所、穴を開けるなど。

 通常、企業で使うPCの場合は、リース扱いが多いため、エンドユーザーが勝手に壊すことはできません。しかし、リース会社とて金融機関ですから、ブロードリンク社のような専門業者に依頼してHDDのデータ消滅処理を行っていることでしょう。

 今回の事件では、日本中の企業やリース会社にとって、PC、スマホ、タブレット、外付けHDDのデータ処理実態の確認が求められ、購買や管理担当者は大変な目にあったはずです。

IDEMA JAPAN(日本HDD協会)によると、1年間のHDD出荷台数は3~4億台/年

一般社団法人電子情報技術産業協会によると、1年間のパソコン出荷台数は700万台

 はたして、毎年3億台以上のHDDが出荷され、ほぼ同数のHDDが廃棄対象となるであろうなか、どれほどきちんとデータ抹消されているかと考えると不安です。しかし、個人でも同じようなリスクはあります。

自宅での物理的なデータ抹消方法

 デスクトップ、またはノートPCから、苦労してHDDを取り出し、ドライバーやトンカチで破壊する方法です。私も何度もやってきましたが、正直、楽ではありません。キツいです。

自宅でのソフトでのデータ抹消方法

 今時の企業では、社外持ち出しPCには、必ずHDDの丸ごと暗号化を義務づけているはずです。後々のリース返品処理を考えると、物理的な破壊はできないので、おそらく唯一解だと思います。 個人においても、最近のPCは4年後でも残存価値があり、転売や譲渡することもあるでしょうから、私もこれが最適解だと思います。 

HDDをまるごと暗号化するソフト

 HDDを丸ごと暗号化するソフトには、CheckPoint、Bitlocker、Truecryptなどいくつか有名ソフトがあります。またHDD製品を扱っているベンダーの独自ソフトもあります。

 私自身は、CheckPoint、Bitlocker、Truecryptすべてを使ったことがありますが、お勧めとしては、MS純正製品のBitlockerだと思っています。内蔵HDD以外に外部接続HDDも暗号化する必要がありますし、暗号化されたHDDの上位層でOSは動きますのでWindows OSとの相性やパッチ更新にも即時追従する必要があります。

 無料のTureCryptも長年使ってきましたが、脆弱性があるということで数年前に開発が止まりました。その後、VeraCrypt等が出ているようですが、HDDの暗号化は暗号強度だけではなく、ドライバーとの相性やパフォーマンスに影響します。OSS(Open Source Software)はやはり信頼性、サポート継続、永続性に不安があります。

 結局、Windowsを使うので、Windows 10 Pro 付属機能であるBitlockerを利用しています。私の場合、Bitlockerのために多少高くてもProを買っているようなものです。パフォーマンスへの影響は、1割以下と公表されており、昨今のCPUやSSDやHDDでは体感上、わからないレベルだと思います。廃棄するとき何も考えずにそのままPCをリサイクルに出せます

Bitlockerを解錠してマウントされた状態(Eドライブ、Yドライブ、Zドライブ)

 Bilockerで暗号化したドライブは、ドライブレター操作によるマウント&アンマウントはしていません。ドライブレターを削除しなくても、施錠状態に戻せば、丸ごと暗号化されていますのでウイルス感染からは防御されます。解錠されたドライブを暗号化状態に戻す作業も、BATファイルで簡単に操作可能です。(例:manage-bde -lock E:)

※上記内容は私個人の見解と思索にすぎません。 [Finchley 0015]

タイトルとURLをコピーしました