今押さえておくべき、セキュリティマナーを学ぶ本連載。今さら聞きづらい、けれど知っておかなければならないアレコレを質問していきます。今回は、暗号化について。SSL化されたサイトの意外な事実、外付けドライブを暗号化する方法などについて教えていただきました。
今回の疑問
・通信が暗号化されていない。どのような危険がある?
・通信の暗号化を確認する方法は?
・Wi-Fi接続の対象アクセスポイントで暗号化を確認する方法は?
・外付けドライブを暗号化したい。方法は?
Microsoft MVP(Windows and Devices for IT)を16年連続受賞。IT著書は80冊以上、ベストセラー&ランキングトップ書籍多数。『時短×脱ムダ 最強の仕事術 1日が27時間になる一生役立つ最強スキル』『Outlook 2021 やさしい教科書[Office 2021/Microsoft 365対応]』(SBクリエイティブ)『IT担当者のためのテレワーク時代のセキュリティ対策 安全な業務環境の構築からデータを守る方法まで』(翔泳社)など。IT機器の使いこなしやWindows OSの操作、カスタマイズ、ネットワークなどをわかりやすく個性的に解説した著書が多い。震災復興支援として自著書籍をPDFで公開。Windows関連Webサイトの運営のほか、講演・講義、著者育成など多彩に展開している。
Q. Webページを見るときに通信が暗号化されていない。どのような危険がありますか?
SSL(Secure Sockets Layer)化*されていないサイトでフォームなどにデータを入力すると、通信を暗号化していない故に情報が盗み取られる危険性があります。
単に閲覧するだけであれば理論上は大きな被害は起こりませんが、「SSL化していないサイト=セキュリティに対して意識が低いサイト」ともいえるため、別のリスクが存在する可能性もあるため閲覧は推奨されません。
*データを暗号化して送受信する仕組みのひとつ
Q. 通信の暗号化(SSL化)を確認する方法は、ありますか?
Webページのデータの送受信が暗号化されているか否かを確認するには、SSL化をサイト側が行っているかを確認します。
簡単な確認方法としては、アドレスバーに「鍵マーク」があるものはSSL化されており通信を暗号化しているサイト、「セキュリティ保護なし」「保護されていない通信」などの警告表示があるものは通信を暗号化していないサイトということになります。
アドレスが「http://」で始まるURLのサイトは暗号化なし、「https://」で始まるURLのサイトはデータの送受信において暗号化しているという確認方法もありますが、「https://」で始まるURLであっても、すべてのWeb内コンテンツが暗号化しているとは限らない点に注意が必要なので、Webブラウザーのアドレスバーで確認する方法が確実です。
「暗号化しているサイト=安全なサイト」ではありません。アドレスバーで鍵マークが表示されるサイトはあくまでもデータの送受信を暗号化しているという証明であって、悪意のあるサイトでもSSL化されていれば鍵マークは表示されます。
▼SSL化されているサイト
▼SSL化されていないサイト
Webブラウザーのタイトルにもよるが、一般的にSSL化されているサイトでは、アドレスバーの先頭付近に「鍵マーク」が表示される。「セキュリティ保護なし」などと警告が表示され鍵マークが存在しない場合、該当Webページ上でのあらゆる入力を控えるのが懸命だ(通信を暗号化していないため、傍受・改ざん・漏えいが起こる可能性がある)。
Q. Wi-Fi接続の対象アクセスポイントで暗号化を確認する方法は、ありますか?
無線LAN子機(PCやスマートフォン)からみて、通信を暗号化しているWi-Fi接続一覧のアクセスポイント(SSID)の「鍵マーク」の有無を見て、暗号化を確認することができます。
鍵マークが存在しないアクセスポイントは暗号化を行っていないため、第三者が通信内容を傍受することが可能であるほか、不明なアクセスポイントの場合にはPCに対して攻撃を仕掛けてくる可能性もあります。
ビジネスで利用するPCにおいては必ず「通信を暗号化しているアクセスポイント」に接続します。
▼アクセスポイントの暗号化の有無
通信を暗号化していない無線LANアクセスポイントには鍵マークがない。実際に接続しようとすると警告が表示されるが、暗号化していないWi-Fi接続は危険でありビジネスで利用すべきではない。
▼接続の詳細を確認
ショートカットキー[ウィンドウズキー]+[X]→[W]キーで「ネットワークとインターネット」を表示すれば、現在の接続がセキュリティ保護されているか否かを確認できる。また、「プロパティ」をクリックすればセキュリティの種類の確認も可能だ(WPA2以上であることが好ましい)。
Q.外付けドライブを暗号化したい。方法はありますか?
一般的に、取り外しができる外付けドライブ(リムーバブルドライブ)をデータの持ち運びや受け渡しなどに利用することはセキュリティとしてNGの行為になります。
しかし、実際のビジネス現場ではこのNG行為が諸事情により活用されていることも事実で、禁止すべきではあるものの、結局リムーバブルドライブを用いてデータをやり取りしている場合には、せめて暗号化を適用して、盗難・紛失・情報漏えい対策を行うようにします。
Windows標準機能でリムーバブルドライブを暗号化したい場合には、「BitLocker To Go」を用いますが、BitLocker To Goの適用はWindows 11/10のエディションがPro/Enterprise/Educationに限られます。
「BitLocker To Go」を適用したリムーバブルドライブはHomeや他のPCでも利用できるので、作業環境に対応エディションがあればそのPCを用いてリムーバブルドライブに適用すればOKです(「BitLocker To Go」は「システムドライブに対するBitLocker」とは異なり、PCに紐づく暗号化ではない)。
なお、作業環境に1台もPro/Enterprise/Educationを所有していない場合には、単体で暗号化&パスワード保護できるリムーバブルドライブ購入・導入が良いでしょう。
▼BitLocker To Goによるリムーバブルドライブの暗号化
「Pro」着目
ショートカットキー[ウィンドウズキー]+[X]→[Y]キーでエディションがPro/Enterprise/Educationであることを確認する(Homeは「BitLocker To Go」に非対応)。
エクスプローラー(PC)から、「BitLocker To Go」を適用したいリムーバブルドライブ(外付けHDDやUSBメモリなど)を右クリックして、ショートカットメニューから「その他のオプションを表示」を選択のうえ(Windows 11のみ)、「BitLockerを有効にする」を選択。
任意のパスワード(英大文字・英小文字・数字・記号を含む複雑なパスワード)を設定する。ここで設定したパスワードは、以後該当リムーバブルドライブを開く際に必要になる。
「ドライブを暗号化する範囲の選択」は、必ず「ドライブ全体を暗号化する」を選択する。これにより「削除されたデータ(ファイルの痕跡)」も暗号化できるため安全性を高めることができる。
▼BitLocker To Goが適用されたリムーバブルドライブの利用
BitLocker To Goが適用されたリムーバブルドライブの内容を参照・編集するにはパスワード認証が必要になる。暗号化もされているため、パスワード/暗号化キーを解かない限り悪意あるものがデータにアクセスすることはできない。
コラム:暗号化のみに頼らず、総合的なセキュリティ対策を!
暗号化は悪意あるものに対してデータの漏えいを防ぐ手段として有効ですが、暗号化以前に「盗まれない・触れさせない・直接アクセスさせない対策」も重要です。
例えば、Wi-Fi接続(無線LAN通信)であれば暗号化により通信傍受されてもデータ漏えいを防ぐことができますが、そもそもWi-Fi接続のための暗号化キー(パスワード)が破られてしまったり、他者から漏えいしてしまったりでは意味がありません。
よって、暗号化キーを複雑な文字列に設定するほか、「暗号化キーは限られた者のみが管理する(他者からのパスワードの漏えいを避けるため)」などの対策も必要です。
リムーバブルドライブもBitLocker To Goにより暗号化+パスワード認証により安全性は増しますが、そもそも紛失や盗難を避けるために、利用を制限する(日常的にリムーバブルドライブのデータは利用しない)、バックアップ媒体などは金庫に保管するなどの管理も必要になります。
総じて「暗号化=安全」と捉えてはならず、今まで連載した各セキュリティ対策も講じて、万全を期すようにしましょう。
▼これまでの「今さら聞けないセキュリティマナー」
・OSのセキュリティはどう確保する?
・アンチウイルスとセキュリティ全般を確認するには?
・日常の情報漏えい&マルウェア対策を徹底するには?
・自宅/公衆無線LANの注意点は?
・これだけは守りたい!パスワードの基本ルール
