セキュリティーの問題です。(頭の体操だと思って気楽にお答え下さい)


ノートPCの紛失時の漏洩に対応するために 起動時のBIOSパスワードをかけよ。という会社指示があったとします。

1.このケースに対して、『起動時のBIOSパスワード』がセキュリティーの低下に繋がるケースがあるが、どういう場合でしょうか?
2.代案としてどのような案がありますか?
3.1.2)により『起動時のBIOSパスワード』がセキュリティーの低下であると判断されたと仮定して、このようなセキュリティー向上をするつもりで、セキュリティーが低下するアイデアが、そもそも出てこないようにするためには(未然に防止される)ためにはどのような対策が社内で必要でしょうか?

回答の条件
  • 1人5回まで
  • 登録:2008/11/10 14:59:35
  • 終了:2008/11/16 02:39:35

ベストアンサー

id:rela1470 No.7

りーれ回答回数11ベストアンサー獲得回数22008/11/12 15:27:28

ポイント17pt

1.このケースに対して、『起動時のBIOSパスワード』がセキュリティーの低下に繋がるケースがあるが、どういう場合でしょうか?

BIOSパスワードはEEPROMなどを解析されると、容易に発覚する恐れがあります。

この発覚したパスワードをヒントに、XPやメールのパスワードの漏洩の可能性が高まる場合があります。

2.代案としてどのような案がありますか?

BIOSパスワードを設定する場合には、ほかのパスワードと結びつかない独自のものを利用する。

また、そのパスワードをメモする場合にはデータには残さないで、紙媒体などで管理する。

BIOSパスワードを設定しない場合には、XPのパスワードを極力長いものにする。


3.1.2)により『起動時のBIOSパスワード』がセキュリティーの低下であると判断されたと仮定して、このようなセキュリティー向上をするつもりで、セキュリティーが低下するアイデアが、そもそも出てこないようにするためには(未然に防止される)ためにはどのような対策が社内で必要でしょうか?

これが一番難しいんですが...

まず、素人考えでこのようなことを言い出さないように、専門のスタッフを雇う。

また、仕事のファイルをサーバーで一元管理するなど、パソコン本体にデータを残さないようにする。

私が思いつくのはこれくらいでしょうか?

id:kokorohamoe

1番について正解です! その通り。BIOSにパスワードを賭けた場合、漏洩の可能性が大きくなること。

人間はパスワードをダメといわれても、同じ物にしてしまう人がいるので、BIOSにパスワードをかけさせるのは

セキュリティー上やらない方がよいことに分類されます。

2.人間的な話しで、パスワードを同じ物にしてしまう人は出てしまいます。なので、別のパスワードにさせる。というのは徹底されことは期待できない事なので、BIOSにパスワードをかけていはいけない。のと同じレベルで、やってはいけない方法ですね。

3.今回はノートPCによる紛失対策ですので、シンクライアント化(これはリモートデスクトップなどを上手く使うことで無料でできます。高い製品を買わされないように注意 笑)など、セキュリティーを無視してやってしまうという人間がいても、データが守れる会社としての対策が必要です。


この問題を作ったのも、セキュリティー上 やらない方がよいことをやってしまう人がいたり、それをすすめるコンサルがいたり、無理に高い製品を買わせたり・・・セキュリティーって怖いなと思ったからです。

2008/11/16 02:04:36

その他の回答(20件)

id:seble No.1

seble回答回数4675ベストアンサー獲得回数6162008/11/10 15:29:34

ポイント11pt

起動時のbiosパスワードはマザーボードの起動を困難にするだけで、難しいとは言え解除も可能ですし、何より、データ自体はHDに格納されているために、HDを取り出し、別のデスクトップにでもつないでやれば全てのデータを抜き出せます。

難易度としては詳しい小学生か中学生レベルでしかありません。

HD単体へパスワードをかける事もできますが、これとて、パスでロックできるのはHDの基板であり、同形式のHDを調達し、基板を交換すればなんにもなりません。

これも難易度としては中学生レベル。予算1万円。

HD内部の個別データやフォルダを暗号化する事が一番堅牢です。

ただ、これも突破が不可能な訳ではないので、それほど大した事はありません。

難易度としては大学生レベルかな?

で、その手の暗号化は新しい暗号が出れば新しいハッキングツールが開発され、のいたちごっこでしかありません。

要するに、持ち歩くPCなんかに企業秘密を入れてはだめなのです。

肌身離さずならまあ大丈夫ですけど、PCは大きいのでそうもいきません。

USBメモリなどに堅牢な暗号をかけて、そこから絶対出さないくらいの配慮は当然、最低限のレベルでしょう。

メモリ自体は十分な強度のあるチェーンを溶接し、手錠で体と繋ぐ、、、w

id:kokorohamoe

難易度というだけでは、めんどくささは上がっていますが、セキュリティーが低下しているとは言えませんね。

2008/11/16 01:48:23
id:sabuibo No.2

sabuibo回答回数266ベストアンサー獲得回数202008/11/10 16:00:23

ポイント11pt

1)私の勤務先ではBIOSのパスワードを設定しています。

BIOSパスワードはブラウザなどの機能で記憶できないので、ついついスタンバイモードなどで使い続け、BIOSパスワードを使うのを避けることがあります。

2)代案として、PCにデータを持たないようにするのが有力とされており、シンクライアントの導入が検討されています。

3)罰則を厳しく規定するのが良いでしょう。機能的なセキュリティも大切ですが、最も重要なのは本人の意識と思います。

id:kokorohamoe

同じく、セキュリティーが低下している要因が記述されていませんね。スタンバイモードはセキュリティー的にはプラスマイナス0なので、低下している理由が説明されていないです。

2番は良い代案だと思います。

3番はその通りですが、それではセキュリティーが低下してしまうきがします。

2008/11/16 01:50:19
id:sankaseki No.3

酸化石回答回数2ベストアンサー獲得回数02008/11/11 17:16:44

ポイント11pt

>1.このケースに対して、『起動時のBIOSパスワード』がセキュリティーの低下に繋がるケースがあるが、どういう場合でしょうか?

『起動時のBIOSパスワード』が想像しやすく(社名の略称や、PCにシールで張ってある型番や社内管理番号など)

かつ、紛失したノートPCのセキュリティーが『起動時のBIOSパスワード』のみの場合。

簡単に言えば、

「BIOSパスワードが掛けたからもう安心」

という認識の場合ですね。

>2.代案としてどのような案がありますか?

『起動時のBIOSパスワード』以外のセキュリティーを併せて実施する。

例:『起動時のBIOSパスワード』+『HDの暗号化ツール』など

>3.1.2)により『起動時のBIOSパスワード』がセキュリティーの低下であると判断されたと仮定して、このようなセキュリティー向上をするつもりで、セキュリティーが低下するアイデアが、そもそも出てこないようにするためには(未然に防止される)ためにはどのような対策が社内で必要でしょうか?

「攻撃者の視点で、今のセキュリティーが安全かどうかを検証する。」

というのはどうでしょう?

id:kokorohamoe

それはセキュリティーレベルが高くないというケースで セキュリティーが低下してしまう要因ではないかなと。

併せて実施したばあい、1の理由によりセキュリティーが低下してしまうかと思います。

検証するのレベルが、個人なのか、会社なのかがわからないですー。あくまでも、会社としての対策ですからー

2008/11/16 01:52:05
id:EdgarPoe No.4

EdgarPoe回答回数266ベストアンサー獲得回数462008/11/11 18:46:10

ポイント11pt

初めまして。E.A.Poe(知のくずかご)と申します。


主題1:パスワードが覚えられない人がでてきてしまいパスワードの意味をなさなくなるかも知れない



--

BIOSパスワードの解除の方法についてですが、一応ドライバーで分解する等でできる場合があることを存じていますが、一般の場所で公表するのはちょっとためらわれるのでいったん置いておきます。


そこで、ヒューマンエラーの可能性とその対策を考えてみました。

#この方が、BIOSパスワード以外にも応用できるかな、という欲張った面もあります(笑)。



--

こんなことは考えられないでしょうか?


1:全社員に「自分のPCに(BIOS)パスワードをかけろ」と指示が出る。

2-1:「1234」とかの覚えやすいが推測されやすいパスワードにする人がでてくる

2-2:セキュリティ対策部門が「推測されにくいが覚えにくいパスワード」を一人一人に配布する

3:パスワードが覚えられず、パスワードを書いた紙をPCに貼り付ける人がでてくる

4:パスワードの意味をなさなくなる


小生が以前いた会社では、実際にこのようなことがありました。実はWindowsの起動パスワードを「1234」にしてあり、

#例えばの話です。実際は「abcd」だったか「qwerty」だったかはご想像にお任せします(笑)

しかも、ご丁寧にそれを紙に書いてモニターに貼ってあるという事態でした。



--


主題2:代案として「作りやすくて覚えやすくて推測されにくいパスワードの作り方」を研修で教える


こういう事態を回避するために、まず「セキュリティの重要性」研修を全員に受けさせて、その際に「作りやすくて覚えやすくて推測されにくいパスワードの作り方」まで教育してしまうのはどうでしょう?


--

小生はこんな方法を使っています。

1:好きな映画の題名を決める(ジャッキー・チェンのポリス・ストーリー)

2:誕生日か携帯の番号か、とにかく4桁の数字を決める(12月31日生まれとして1231)

3:題名を分解してアルファベットにする(ジャッキー=J・チェン=C・ポリス=P・ストーリー=S)

4:一桁ずつ合成する(J1C2P3S1)

5:声を出さないで読み上げる練習をする(ジャッキー1・チェン2・リス3・トーリー1)

6:覚えられた!


これは小生の例ですので、応用はたくさんあると思います。「羊たちの沈黙」が好きなら「羊=H・たちの=T・沈黙=T」とか、読み上げやすいように「羊=HI・たちの=TA・沈黙=TI)にして「アルファベット2文字+数字1文字の組み合わせ」でもイイと思います。


他にもいろいろなパスワート作成法があると思いますが、とりあえずこんな例を示してみて、全員の反応を見てみてはいかがでしょうか?



--

主題3:

id:kokorohamoe

1番は、人の行動に着目した点は◎だとおもいますが、セキュリティーが向上していないだけで、低下している要因と、あくまでも紛失対策という点がちょっとオシイ感じです。

2番はパスワードの限界を感じます。

2008/11/16 01:54:09
id:naporicross No.5

ナポリクロス回答回数5ベストアンサー獲得回数02008/11/11 23:06:52

ポイント11pt

1.BIOSパスワードが、PC内で使用されているパスワード(ログインパスワードなど)と同一。

2.パスワードをそれぞれ異なるものにする。

3.暗号化、パスワードの設定の社内マニュアルを作成する。

id:kokorohamoe

お! BIOSパスワードが、PC内で使用されているパスワード(ログインパスワードなど)と同一 だと、実はセキュリティーが 全体として低下し、最悪、社内の全てのデータが盗まれてしまう可能性までありますが、その理由まで、書いて頂けたら完璧でした!

2 それぞれ異なるものにする というのは、それを同じ物にしちゃう人がいるから1が起きる。という人間学的なセキュリティー低下要因を指摘しているので、対策になっていません。

2008/11/16 01:55:36
id:kskmeuk No.6

kskmeuk回答回数16ベストアンサー獲得回数02008/11/12 01:13:45

ポイント11pt

BIOSパスワードのバックドアクラックとか、CMOSクリアとかは既出と思うので、気楽に変なの書いてみますね。

1.BIOSにロックがかかっていたことで、頭にきてノートPCからHDDを取り出してしまうケース。HDDの中身は見えてしまいます。

2.HDDには暗号化を実施する。FileVaultとか。

3. テクニカルなことよりも、精度として会社と個人を完全に切り離すのがよいと思います。

17時になったら絶対に帰る。仕事もそれ以上しない。続きは明日やる。PCであれ、紙であれ、持ち帰らない。仕事も持ち帰らせない。極力持ち出させない。

それから、個人使用のPCや携帯やらは、持ち込み可能にする。PCだって正直手帳のようなものだし、自分の手帳でスケジュール管理してるその手帳をなくしたって漏洩なのですから。

意外とこれで、会社マシンでWinny とかのどうしようもないケースは減らせるのかなと...。

ただし、会社のネットワークには接続しない。個人情報を保存しない、などなど。違反時には厳罰は必須ですね..。

本当は漏洩した方よりも、悪用する方を取り締まる方が正しい気がしますが...

id:kokorohamoe

1はセキュリティ低下リスクではなく、BIOSパスワードによってはセキュリティーは向上しないという説明ですね。

2番はセキュリティー低下への対策案ではなく、セキュリティー向上案ですね。

そろそろ してきますと、BIOSパスワードは、場合によってはBIOSのパスワードのエンクリプションレベルが低い場合、CMOSからデータを抜き出して、高速なパソコンでパスワード解析することでパスワードが解析できてしまう。という状況が発生するケースがある。という事です。この場合、パスワードが漏洩していますので、

すでに出たケースのようにBIOSパスワードとその他のパスワードを同一物にしていた場合、暗号化はなんのセキュリティー対策にもならず、全てのデータが漏洩することになってしまいます。

また、HDDの暗号化はWindowsなどには標準で付いているので、なんで外部ソフトを導入するんでしょうねw


3番については、シンクライアント化など、データを個人のPCに入れさせないなど 、セキュリティーに疎い人がいても、データを守れる会社としての仕組みの提案が必要かと。

2008/11/16 02:00:07
id:rela1470 No.7

りーれ回答回数11ベストアンサー獲得回数22008/11/12 15:27:28ここでベストアンサー

ポイント17pt

1.このケースに対して、『起動時のBIOSパスワード』がセキュリティーの低下に繋がるケースがあるが、どういう場合でしょうか?

BIOSパスワードはEEPROMなどを解析されると、容易に発覚する恐れがあります。

この発覚したパスワードをヒントに、XPやメールのパスワードの漏洩の可能性が高まる場合があります。

2.代案としてどのような案がありますか?

BIOSパスワードを設定する場合には、ほかのパスワードと結びつかない独自のものを利用する。

また、そのパスワードをメモする場合にはデータには残さないで、紙媒体などで管理する。

BIOSパスワードを設定しない場合には、XPのパスワードを極力長いものにする。


3.1.2)により『起動時のBIOSパスワード』がセキュリティーの低下であると判断されたと仮定して、このようなセキュリティー向上をするつもりで、セキュリティーが低下するアイデアが、そもそも出てこないようにするためには(未然に防止される)ためにはどのような対策が社内で必要でしょうか?

これが一番難しいんですが...

まず、素人考えでこのようなことを言い出さないように、専門のスタッフを雇う。

また、仕事のファイルをサーバーで一元管理するなど、パソコン本体にデータを残さないようにする。

私が思いつくのはこれくらいでしょうか?

id:kokorohamoe

1番について正解です! その通り。BIOSにパスワードを賭けた場合、漏洩の可能性が大きくなること。

人間はパスワードをダメといわれても、同じ物にしてしまう人がいるので、BIOSにパスワードをかけさせるのは

セキュリティー上やらない方がよいことに分類されます。

2.人間的な話しで、パスワードを同じ物にしてしまう人は出てしまいます。なので、別のパスワードにさせる。というのは徹底されことは期待できない事なので、BIOSにパスワードをかけていはいけない。のと同じレベルで、やってはいけない方法ですね。

3.今回はノートPCによる紛失対策ですので、シンクライアント化(これはリモートデスクトップなどを上手く使うことで無料でできます。高い製品を買わされないように注意 笑)など、セキュリティーを無視してやってしまうという人間がいても、データが守れる会社としての対策が必要です。


この問題を作ったのも、セキュリティー上 やらない方がよいことをやってしまう人がいたり、それをすすめるコンサルがいたり、無理に高い製品を買わせたり・・・セキュリティーって怖いなと思ったからです。

2008/11/16 02:04:36
id:akiyan No.8

akiyan回答回数13ベストアンサー獲得回数02008/11/12 16:47:06

ポイント17pt

1.このケースに対して、『起動時のBIOSパスワード』がセキュリティーの低下に繋がるケースがあるが、どういう場合でしょうか?

・起動時のBIOSパスワードを、他のサービスやシステムのパスワードと同じにしている場合。

・BIOSパスワードをかけたことで安心し、重要なファイルをPC内に保存してしまう場合。


2.代案としてどのような案がありますか?

起動時のBIOSパスワードは唯一にする。

セキュリティは多少上がったとしても、保存するファイルの重要度は変えない。


3.1.2)により『起動時のBIOSパスワード』がセキュリティーの低下であると判断されたと仮定して、このようなセキュリティー向上をするつもりで、セキュリティーが低下するアイデアが、そもそも出てこないようにするためには(未然に防止される)ためにはどのような対策が社内で必要でしょうか?

パスワードは唯一にしておく。

社外へ持ち出せるPC内に、データが漏えいした際に会社的に損失が大きいもの(顧客情報、取引先情報、社内会計など)を保存しない。

id:kokorohamoe

1番 正解!

特にBIOSにパスワードをかけたことで、安心してしまうと言うのは、人間工学的なセキュリティーの観点としてはVery Goodだと思います。

2番 については、同じく人間工学的に、やってしまう人が出る点で、会社としてできるセキュリティではありません。セキュリティの考え方は人間を信用しない。ミスが出ても会社としてフォローができる。です。なので、人にXXを求めるというのは、基本的にとってはいけない方法だと思います。

3番については上で言ったことと異なりますが、保存しないでは、会社としての方式ではないので、保存させない。また、それだけではなく、保存しなくても業務上 効率が悪化しない(これ重要。セキュリティーのために業務効率を悪化させる人が多い!)の提案と。

ならんで、BIOSにパスワードをかけるとパスワードが多いからセキュリティー向上などと素人考えを言ってしまう人がちゃんと、教育される必要がありますね。

2008/11/16 02:07:56
id:iwyoshi No.9

iwyoshi回答回数1ベストアンサー獲得回数02008/11/12 22:03:33

ポイント17pt

1.BIOSパスワードとその他ログインパスワードが同じ。

2.USBキーを利用する。鍵と同じように使えるので意外に便利。

3.パスワードで管理するなら,一定期間でパスワードの変更を義務化。同じパスワードを過去何回分は使えないようにする。

id:kokorohamoe

1番 正解です。

2番も 良い答えだと思います。IBMや富士通製のマシンには指紋認証などがついていたりしますので、こういうものを使うのは良いと思います。 また、証明書認証による認証方式で証明書をUSBや非接触カードに容れておくというのは良い考えだと思います。

3  それは 紛失した場合のデータ漏洩には役立たないかと思います。

2008/11/16 02:09:24
id:m72 No.10

m72回答回数506ベストアンサー獲得回数262008/11/12 23:06:49

ポイント11pt

そもそもBIOSパスワードなんてもんは

CMOSクリアしてしまえば一緒にクリアされるので大した問題ではない

CMOSクリア以外なら

HDDを他のマシンから読み出せば

BIOS関係なくデータ取り出せますしね


低下に繋がると言えば、"パスワードがある"って薄っぺらい安心感でしょうか



2.代替案

BIOSがだめなら、ログインパスとの2重化でどうだ!→ログインパスを破るフリーソフトがあります・・・


http://www.nclc.co.jp/product/infosec/winmagic/index.html

> SecureDocは何を暗号化しているのですか?

> SecureDocはOSやシステムファイルを含むHDDを丸ごと暗号化します。

こういったHDD"全体"を暗号化するのが、他の方法と比べて一番安全かと


3.そもそもどうするか・・・

うーん・・・MTGを繰り返す

もしくは

http://pc.security-otoiawase.jp/

こういったエージェント系でも利用して、そういったセキュリティに強い会社を紹介してもらう等でしょうか

社内にそういったことに詳しい人がいれば楽なんですけどね

id:kokorohamoe

1番ですが、そうですね。 BIOSパスワードは役に立たない。という説明はその通りです。

しかし、上記のようにその後段にひかえている WindowsやネットワークへのログインのパスワードをBIOSと同じにする人がいるために、セキュリティーが低下してしまうというリスクが発生します。

2番は暗号化されていても、パスワードが漏れてしまっていては・・・仕方がありません。

暗号化強度が低いパスワードは使わずに、暗号化強度が高いパスワードのみを使うという点が今回の重要点です。

代案として、シンクライアントのように落としてもよくする。という案もあります。

3はそうですね。社内に詳しい人がいない場合には、外部の会社に頼る必要があります。

そのさいに、わざと今回のようにBIOSパスワードをかけたいのだが。と相談し。

猛烈にやめるべきだと行ってこない会社は、・・・なので、ちゃんとコンサルしてくれる会社を探して下さい。

2008/11/16 02:12:29
id:pinohira No.11

pinohira回答回数2ベストアンサー獲得回数02008/11/12 23:20:23

ポイント17pt

1.BIOSの意味が分からず。Windowsのパスワードを「BIOS」と設定する人が出てきそう。いや絶対出る!

2.PC支給時にあらかじめパスワード設定

3.個人情報をPCに入れてもらって他の社員にセキュリティを破ってもらうのがいい

id:kokorohamoe

1番はおもしろい!。 たしかに、セキュリティーが低下しています。しかも何万人も従業員がいる大会社でおじいちゃんはやりそう!。

2番は、それはセキュリティーが低下しています。 役員などの決裁パスワードを 決裁権が低いネットワーク管理者が発行することは 会社のセキュリティー上 やってはいけないこと。です。

3番は・・・破れなかったからと言って、セキュリティーが高いとは言えないことが問題ですねー

2008/11/16 02:14:04
id:yo-net No.12

yo-net回答回数265ベストアンサー獲得回数212008/11/13 14:03:45

ポイント11pt

BIOSパスワードが有効的に働く条件は以下と考えられます。

a.該当パソコンがその場所から動かせない事

b.該当パソコンの利用者が限られている(一人が理想)

 

その前提で各回答は

1.BIOSパスワードはBIOSを起動時するときに有効であり、ハードディスクの中身には関係ありません、よって盗難時には全く意味をなさい、またBIOSパスワードが共有の時はパスワードがばれて、他のパソコンのBIOSパスワードのセキュリティが意味を成さなくなる。

2.ハードディスク全体に暗号化して、USBキーとかが無いと暗号が解けない様にする。

3.PCとデータを別管理して、経営者にPCとデータの違いを説明する。

id:kokorohamoe

1番は、かなり丁寧な説明ですね。そうです ノートPCの紛失 の場合 BIOSはBIOSのデータが外部からのぞけてしまうだと、それは、設置型PCのみなんだよ。という説明はとても良いと思います。

2番のUSBなどの物理キーをつかい、かつ物理キーにあるキーが十分な長さというのは良いと思います。

3番は説明という観点はとてもよいですが・・・セキュリティーが向上する保証がないところが悲しいです。

2008/11/16 02:16:17
id:ymlab No.13

ymlab回答回数506ベストアンサー獲得回数332008/11/13 21:48:57

ポイント11pt

>1.このケースに対して、『起動時のBIOSパスワード』がセキュリティーの低下に繋がるケースがあるが、どういう場合でしょうか?

BIOSパスワードをかけることで、セキュリティの向上につながる可能性は高くなりますが、

BIOSパスワードをかけることで、OS上でのセキュリティの意識は低くなる可能性が高くなります。

一方、BIOSパスワードをかけたとしても、ノートパソコンを複数の人間で利用する場合は、

紙に書いたりメールに書いたりすることが増えます。その分セキュリティは低くなると考えられます。

>2.代案としてどのような案がありますか?

ノートパソコンに限らずデータはその場に保存するのではなく、ファイルサーバを用意して

サーバで一元管理をする。電源を再起動したらそのパソコンは初期化されるとか。[インターネットカフェとかはそうですね。

そうすると、セキュリティの意識はサーバに集中できます。

>3.1.2)により『起動時のBIOSパスワード』がセキュリティーの低下であると判断されたと仮定して、このようなセキュリティー向上をするつもりで、セキュリティーが低下するアイデアが、そもそも出てこないようにするためには(未然に防止される)ためにはどのような対策が社内で必要でしょうか?

なんといってもリテラシーの向上だと思います。うちでは、データをUSBに保存してパソコンに保存しないとか

指導を受けているのですが、そもそもUSBを落とす可能性の方が高いと思うのですが・・・。

id:kokorohamoe

1番は、PCを解体してROMから直接データを抜いてパスワードを解析ソフトに賭けるとパスワードがばれてしまう。可能性について、ふれられていないのが残念です。


2番はサーバーで管理しても、ノートPCにコピーしちゃう人が出る。というのは、パスワードをBIOSとWinodwsとネットワークなどで同じにしてしまう人が禁止しても出てしまう。というのとおなじ理由でセキュリティー上問題ですね。

3番は、シンクライアント化や 暗号化ソリューションと物理デバイスとの組み合わせがあるとよかったと思います。

2008/11/16 02:19:02
id:kuverawalk No.14

kuverawalk回答回数11ベストアンサー獲得回数02008/11/14 05:29:32

ポイント11pt

1)物理的にHDDを取り外された場合、内部のデータが暗号化されていないノートPCがまだ多い。この場合、BIOSパスワードを過信してデータ自体の暗号化を怠りやすい。

2)HDD自体の暗号化を検討する。

3)ノートPCに限らず、漏洩すべきでない情報は、持って歩ける状態にしない。

  あるいは、ペアで紛失しない限りその情報の価値がない状態を作るなど、データを分散させる。

  メールアドレスの紛失を恐れたある会社は、例えばドメイン @docomo.ne.jp を @__5621__ と表記して持ち歩いてたりする。

id:kokorohamoe

怠りやすいも確かに問題ですが、パスワードが漏洩して、暗号化も破られてしまう事がBIOSパスワードの最大の危険性かと思います。

2 パスワードが漏洩していると暗号化の意味がありませんし、暗号化してもパスワードがないと・・・のぞかれちゃいますよね。その辺をもうすこし、詳しく説明してくれるとよかったかと思います。


3番は・・・どうやって、持ち歩ける状態にしないか?というのが大事ですね。人間は 会社の命令を無視する生き物ですので、いわれていたけどやっちゃった という人対策のために、それを自動化するソフトなどがあると良かったです。


セキュリティー上もっとも重要なのは、人間が ついついやってしまう、穴を ハッキングする人は狙ってくるので。

人間がついついやってしまうことをどうやってシステムでフォローするか です。

2008/11/16 02:21:49
id:ravenz No.15

ravenz回答回数37ベストアンサー獲得回数32008/11/14 10:47:50

ポイント16pt

1.BIOSのパスワードは分解して解析が可能です。

そこからほかの(Windowsにログイン等の)パスワードが推測されてしまう恐れがあります。

BIOSとログインパスワードを別々した場合、パスワードをメモ書きする人も増えるでしょう。

そうなると更に流出の危険性が増します。

2.代案としてはWindowsXP以降であれば、

XPの暗号化と、ログインパスワードを大文字小文字英数字の8文字以上に設定する事が、

パスワードの数は少なくなりますが流出の危険性は少なくなると思います。

3.勉強会を開いて社員全員の知識を向上。

資金が出れば、その勉強会にセキュリティのコンサルを呼んでもいいと思います。

そういう案を出すのは大抵あまり知識のない管理職だったりするので、管理職は絶対参加で。

私の経験では上のことが思い浮かびました。

何かの参考になれば幸いです。

id:kokorohamoe

1番は、はいその通りです。

2番は、確かにBIOSパスワードよりかは暗号化強度が高いです。 上記で出ているような、シンクライアントや物理デバイスと組み合わせた方式があると、もっと良かったかと思います。


パスワードと物理デバイスUSB等を鍵にする。の差分ですが、パスワードは物理デバイスと違って無くしても気が付かないおじいちゃんがいるが、USBなどは無くせばわかる。(少なくとも会社としてチェックできる)という事です。

ただ、今回は紛失対策という事ですので、シンクライアント化がオススメソリューションではあります。

はい、勉強会はとても大切ですね。それも重要です。

しかし、セキュリティーリスクとしては、それと平行で、会社としての施策も必要かと思います。

ただ、一人ひとりがセキュリティーについて高度な知識があれば会社としては何もしなくても良いというのも真です。

2008/11/16 02:24:58
id:infograve No.16

Infograve回答回数47ベストアンサー獲得回数22008/11/14 13:11:33

ポイント16pt

1.

・各自にパスワード管理を任せた場合、それは共通のパスワードになる率が高い

・EP-ROM内のBIOSデータは単純な暗号化をされている事が多く、複合化ソフトが流通している

よって、本来の持ち主の全権限が奪われる可能性がある。

2.

・定期的なパスワードの堅牢性チェック

・ThinkPad等のBIOSパスワードとして生体認証が可能なものを導入する。

3.

・各種セキュリティに関する知識を持つ。

・統合セキュリティ対策についての知識を持つ。

・攻撃手法についての知識を持つ。

・これらの知見を常に更新する。

id:kokorohamoe

1番 正解です。

2番も 良いと思います。

3番はとてもよいですが、コストパフォーマンスが見合うか?というのと、おじいちゃん社員ができるか?というのが心配です。

2008/11/16 02:25:56
id:mitu0 No.17

mitu0回答回数15ベストアンサー獲得回数22008/11/14 16:29:44

ポイント10pt

1.起動時にパスワードが掛かっているので、起動できる人間は自分しかいないと考え

  起動後に必要になるものに関してはなんの対策もしない

  (オンラインバンクのID/PASSなどをまとめた重要なファイルをデスクトップに普通においておくとか)

2.情報漏えいしては困るものをノートPCにいれない、そもそも持ち歩かない

3.間違ったアイデアが浮かんでこない事って無いと思うので

  浮かんだアイデアを自分で実際に実行してみてメリット/デメリットを把握してから周知するとかかな

id:kokorohamoe

1番は、言い観点ですね。 ただ、物理的なパスワードの漏洩も心配して欲しかったです。

2番は よいですが、パスワードを共有にしてしまう人が出るのと同じ理由で、ノートPCにデータを入れられる人がでてしまいますので、問題かとー

2008/11/16 02:26:54
id:atmarkbienna No.18

atmarkbienna回答回数61ベストアンサー獲得回数32008/11/14 19:15:01

ポイント10pt

①BIOSレベルでパスワードを掛けられているのを把握した時点で俺だったら余計なことを考えるのをやめ、HDを抜き取る。

このことから、スキを見せないことによって失うものがあり、スキのありそうなセキュリティにあえてすることで得るもの(通報プロセスの実行)を失っているといえる。


②よって、実際の侵入者を想定した柔軟なセキュリティが必要といえる。

(EX)あえてOSのパスワードだけにしておいて、その代わりに正規のログイン手段ではありえないような処理を行われた場合に、自分で重要データを破壊するようなプログラムを組むなど


③対処療法的な発想にならないよう、セキュリティのような相手(敵)が存在する議題の場合は常に問題の本質を捉えた対応を検討し、それ以外はおこなわない。

id:kokorohamoe

1番は はい。 BIOSパスワードはセキュリティーにはあまり効果がありません。 ただ低下という単語にはパスワード漏洩という回答が欲しかったです。ただ、それも、セキュリティーリスクです。

2番は 良い案だと思いますが、操作ミスで大事なデータが無くなったときの、金銭的損失が怖いですね。

3 はい、それは本質ですが、今回の問題については、どのようにという具体的な方法論を書いて欲しかったです。

2008/11/16 02:28:54
id:iroiroattena No.19

iroiroattena回答回数17ベストアンサー獲得回数12008/11/14 23:31:31

ポイント10pt

なんだか自分の会社で起きた出来事のような気がしてならないんですが・・・

答1.起動時のBIOSパスワードに頼っているので、起動後のセキュリティが甘くなってしまったり、スリープなどの復帰からパスワードを要求されない為、紛失後の事を考えても必ずパスワードがある状態ではない事もある。又、起動のたんびにパスワード要求される為、面倒がって簡単なパスワードにする事も。そして、どうしても自分のPC以外からアクセスする必要性が出てしまって、他人のPCから起動したりしてからログインする為に知人のBIOSパスワードを教えてもらったりする事も。BIOSパスだけなら気軽に教えあったり、本体に書いてる人も。

答2.セキュリティに完全は無いので・・・ネタみたいな話を1つ。各自のPCの内部に所有者の個人情報を削除できない形で入れておく(他人に知られたくない情報をたくさん)。PCを紛失したらその所有者の個人情報も公開されるリスクがあるので、所有者は通常の会社のノートPCよりもとても大切に扱うようになる。

答3.ひたすら担当者の教育。もしくは専門業者への相談。

id:kokorohamoe

1 それもリスクですが、パスワードが解析されて漏洩されるという点がもっとも怖いかと思います。最悪そのパスワードがVPNなどのパスワードと同じだと・・・本社へ侵入されてデータごっそり。というのもあり得ます。

2 おもしろいですが・・・流出した場合の被害は個人より、会社の方が大きいかと。あと、パスワードを同じにしてしまうという人が出るのと同じ理由で、そのデータを消してしまう人がいるかと。

3 は 重要だと思います。専門業者への相談。 

2008/11/16 02:31:11
id:takashiba No.20

takashiba回答回数1ベストアンサー獲得回数02008/11/15 01:06:43

ポイント10pt

1.BIOSパスワードでは別のPCにハードディスクを接続するなどの方法で中身を見ることが出来ます。

  BIOSパスワードを解除する方法は他にもいろいろあるかと思います。

    http://www.geocities.co.jp/SiliconValley-Sunnyvale/4291/password...

2.BIOSでハードディスクにパスワードを設定するのが良いかと思います。

  これであれば一般ユーザでの解除は非常に困難になります。

  別のPCに接続してもパスワードを入力しないと認識されなくなります。

  行っている業者もありますが、一段ハードルは高いかと。

    http://www.m-genfactory.com/pass.html

3.基本的に抜け道がある方法は問題があると言わざるを得ません。

  他にコメントで書かれていた方がいましたが、覚えられないからと言って全て同じパスワードに

  されてしまうのは防げませんね。。。

  生体認証を使うのも手ですが、まだ認識率が高くないのが課題かと思います。

id:kokorohamoe

今回はセキュリティー低下なので、パスワードの解析をされてしまうというのが、一番のリスクですね。


認識率はそうですが、セキュリティーを考えると、生体認証なり、シンクライアント化と物理デバイスによるパスワードド認証はそろそろ流行しても良いと思うのですが。

2008/11/16 02:33:19
id:un0 No.21

un0回答回数651ベストアンサー獲得回数322008/11/15 16:31:32

ポイント10pt

1.安心から重要な情報をノートPCに保存してしまう。

例)起動時のBIOSパスワードあっても内蔵HDDを取り出し他のPCの外付けHDDとして認識させれば情報を読み取られてしまう。

2.

・ノートPCに重要な情報を保存しない

・HDDのアクセスパスワード

・HDD全体の暗号化



3.

ノートPCに重要な情報を保存しない

ノートPCのシンクライアント化

id:kokorohamoe

ノートPCのシンクライアント化はよいですね。

パスワードの解析による流出にふれられていると良かったと思います。

2008/11/16 02:34:04
  • id:EdgarPoe
    すみません、回答を書いている途中でうっかり「回答する」ボタンを押してしまいました。尻切れトンボになっていますので、質問者の方が小生の回答を開いた時点で、続きをコメントに書きます
  • id:kokorohamoe
    >EdgarPoeさん
    一人当たりの回答数を5回までに拡張してみました。
  • id:KuroNeko666
    #回答になってないのでコメント。
    CMOSクリアで BIOS パスワードを初期化できたような気もします。
    できなくても、有償修理くらいで解除してもらえるような…できないかな?

    ユーザ毎のパスワードは、ネット上で拾えるツールでバイパスできますし、個人的には、気休め程度な感覚ですね~。

    Google 広告が情報漏えい対策とは何なのかを物語ってるかもw
  • id:infograve
    >CMOSクリアでBIOSパスワードを初期化
    クリアするとかもったいない。読み込んだほうが何倍もお得。
    ネットワーク管理者が自分のPCからサーバのRootパスワードまで同じの使ってた所とかあるし。
  • id:kokorohamoe
    今回の問題は

    セキュリティーというのは人間によって低下が起きる。
    普通は各種パスワードを別な物にしてあれば、BIOSパスワードが流出しても問題ないが
    人間は、同じパスワードにしてしまう人が出る。その場合で
    さらに本社へのVPNなどがパソコンに仕掛けてあり、各種パスワードがBIOSと同じ場合。
    とんでもない量のでデータが流出してしまう可能性があります。

    したがって、少なくともBIOSにはパスワードかけない。HDDを暗号化する。ログインに生体認証や物理デバイスを併用する。シンクライアント化を取り入れる。などの回答があると良かったと思います。


    また、今回のキーポイントは、人間が会社の言いつけを破ってXXしてしまう。という点がキーポイントになっていますので、教育するなどは、履行されない可能性について言及されていると良かったと思います。


    以上、頭の体操でしたー。 ちなみに、他にももっと答えはあるかと思います。
  • id:YUUH32
    問い3の正解が今ひとつわからないのですが。
    「アイデアが、そもそも出てこないようにする」方法を教えてください。
  • id:kokorohamoe
    >YUUH32 さん
    補足にもありますが、アイデアがそもそも出てこない。は不可能なので()にあるように出てきても未然に防ぐ。
    かと思います。ただ、そもそも出てこないとしたのは、上記の回答の中にもありますが、ちゃんとセキュリティーの教育をしようね。
    という意味を含めました。

    1. アイデアの匿名化と審査
     まずこのようなアイデアが出て、しかも、通ってしまう理由の一つに、組織的なポジションの問題があるかと思っています。
     上部組織に通りの良い、『人』なり『上司』なりが会議に通して、規格を『説得』して通してしまう。
     という人としての組織構造に問題があるかと思っています。
     こういった事を防止するために、セキュリティー強化時には 誰が発言したのか?というのをブラックボックス化する仕組みと
     それを同様にブラックボックスとして審査する仕組みが必要かと思います。
     上記のように、組織内には、たいていBIOSパスワードが役に立たない、漏洩する可能性がある。というのを知っている人がいます。
     そういった、広く匿名で審査される仕組みが1つは必要かと思います。
     匿名にすることで、XXさんがいっているから通そう。XXさんがいってるから本当じゃない。という刷り込みを回避する事が重要かと思います。
     言い方を変えると、上司や社長・経営者はセキュリティーの専門家ではないので、自分が思ったアイデアを思いこみで採用せず、自分以外の誰かの意見を聞いて(しかも、同じ経営者仲間ではなく)ちゃんと、レビューしてもらわないと危険という事です。
    2.専門家を使う場合は、クロスで使う
     複数の専門家に平行して審査してもらう。かつ審査した専門家をブラックボックス化する。仕組みが必要かと思います。
     また、外部の専門家を使う場合は、複数社を使い、匿名かつクロスでお互いを評価させ、信頼度を高め、足きりをして数社を入れ替える
     などの仕組みが重要かと思います。ここも大切なのはXX社がいっているから、言うとおりにした方がよい。など、特定の会社を盲目的に信じることは危険かと思います。

    というあたりが基本的にやった方がよい施策かと思います。BIOSパスワードを未然に防げない組織というのは、おおよそこの辺に問題があるんじゃないかなと思っています。

  • id:YUUH32
    「専門家を使う場合は、クロスで使う」はコストがかかります。
    ずいぶん余裕がないと無理かも。

    それで1つ思い出しました。前に関わった事案で面白いのがあったんですが。

    とある専門家が「Windowsのドメイン名に会社名を使っちゃダメだ」というのです。
    パソコンを紛失した時、会社名がバレるから、だそうです。

    ホントかよ!?と思いましたが、専門家が言うなら・・・とその提案は通りました。

    でもね、笑っちゃうのは、パソコンに備品管理シールが張ってあるんですが、そこにばっちり会社名書いてあるんですよ。
    「○○社備品 管理番号:12345」って。

    専門家っていったい・・・。
    セカンドオピニオンが欲しいですね。
  • id:kokorohamoe
    >Windowsのドメイン名に会社名を使っちゃダメだ

    を進言した専門家と

    >「○○社備品 管理番号:12345」

    を提案した事務方
    がうまく結びついていないというか・・・

    専門家の指摘は正しいと思いますが、
    会社に訪問して詳しく確認しない契約だったんでしょうねーと。

    でも、ノートから会社名がわかるものを取り外すというのは、良いアイデアだと思います。
    さっそく弊社もやりましょう。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません