|||||||||||||||||||||

なんぶ電子

- 更新: 

落とした時の為にUSBメモリを暗号化

部外秘のデータやプライベートなデータの入ったUSBメモリを無くして肝を冷やしたことや、もはやどんなデータが入っていたかも忘れてしまったので何か重要なデータが入っていたのではと気に病んでいる、といったことありませんか。

ここではUSBメモリやSDカードの紛失に備えて中のデータを事前に無料アプリで暗号化しておく方法や、そもひとつまえに立ち戻って、大事なデータをどのように取り扱えばいいかというヒントを書きたいと思います。

WindowsPCを持っていることを前提にしています。

重要なファイルにパスワードをかける

USBメモリやSDカードに他人には見られてはいけないデータがある場合、万が一に備えて行う対策にはファイルにパスワードをかけるという方法があります。その方法をいくつかご紹介します。

アプリのパスワード機能を使う

アプリでパスワード機能が提供されていればそれを使うのが最も手っ取り早い方法です。Microsoft Officeや、Libre Officeにはファイルにパスワードをかける機能が備わっています。

Microsoft Officeでパスワードをかける場合は、「ファイル」→「名前を付けて保存」で名前を入力する段階で、ボタンのとなりにある「ツール」タブの「全般オプション」から「読み取りパスワード」を設定します。

MSOfficeパスワード設定

Libre Officeでは「ファイル」→「名前を付けて保存」で「パスワード付で保存する」のチェックボックスにチェックを入れて保存ボタンを押すと、パスワードの設定画面に移ります。

Microsoft Officeでのパスワード設定画面で気になる一文を見つけました。

「パスワードは覚えやすいもものを使って大文字小文字が区別されることにも注意してください」

通常パスワード管理では、推測されない長いパスワードが推奨されますがここでは反対のことを言っているようにも受け取れます。なぜでしょうか。パスワードを忘れるとファイルを二度と読み出すことができないからです。インターネット上のサービスで運用されているログインパスワードは「リセット」ができることが多いですが、これには「リセット」というものがありません。パスワードが他人に推測されないようにするのに加え、この点にも注意してパスワードを決めてください。

圧縮アプリを使う

ファイルを圧縮するアプリには展開用のパスワードをつけられるものがあります。たとえばzipという圧縮形式にパスワードを付ける機能があります。アプリ側でパスワードが提供されていない、画像ファイルやテキストファイルはこの方法を使って暗号化することができます。

筆者がよく使う圧縮アプリに7zipがあります。ただこちらを利用するためにはインストールが必要です。USBメモリやSDカードを持ち運んで使用した場所でzip圧縮展開のアプリがあるとは限らないとおもいますので、持ち運びができる圧縮展開アプリpeazip_portable(ピアジップポータブル)をダウンロードして一緒に持ち運ぶと安心です。

紹介したページよりpeazip_portableをダウンロードしたら、展開したフォルダよりpeazip.exeを実行するとプログラムが起動されます。まずはpeazipを日本語化しましょう。

まず、上部タブ「Options」「Localization」を選択します。表示されたより「ja.txt」を選択すると日本語化されます。

peazip_portable日本語化

peazip.exeを起動すると、エクスプローラに似た画面が出ますので、圧縮の際は対象のファイルを選択して「追加」を押します。次の画面のそのまま「出力」の欄に保存先のファイルのパスを入力するか選択します。「パスワード/キーファイル入力」の部分をクリックするとパスワードが設定できます。パスワードを設定したら「OK」を押します。

peazip_portable圧縮

展開の際は、対象のzipファイルを選択した状態で「解凍」を押します。次の画面の「出力」の欄に保存先のフォルダを入力するか選択します。「パスワード/キーファイル入力」の部分をクリックするとパスワードを指定できます。「OK」を押すと展開が始まります。

peazip_portable展開

これはアプリというかPCの事情かもしれませんが、piazip portableには64bit版と32bit版があります。近年32bitのPCは少なくなりましたが、アプリを持ち運ぶ場合は念のため両方のバージョンを保存しておきましょう。

この方法を使った場合のデメリットは、圧縮するたびにファイルができてしまうということです。そうしてできた複数の圧縮ファイルの管理を怠って、古いデータを新しいファイルの上に展開してしまうという事故が起こりかねません。

また圧縮する際、元のファイルは残されるのが普通なのでそちらの管理を忘れて、だれでも見られる状況で原本が存在するということもありえます。

パスワード忘れに関してはこの方式でも「リセット」というものは存在しません。

暗号化アプリを使う

USBメモリやSDカードだけでなく、使っているPCのディスクを含めて丸ごと暗号化できるアプリもあります。

今回はVeraCryptを紹介します。コンテナと呼ばれる領域をつかいディスクの一部を暗号化できます。コンテナは仮想のディスク空間といった感じで、USBメモリやSDカード、ハードディスクの一部にファイルと同様の扱いができるコンテナを作成しそこを暗号化ディスクとして使います。

こちらのページよりVeraCrypt Portableをダウンロードします。

ダウンロードしたら、そのまま実行することでファイルが展開されます。展開されたフォルダの中からVeraCrypt.exeを起動してください。

まず日本語化します。上部タブの「Settings」から「Language」を選択して、そこから「日本語」を選択してください。

VeraCrypt日本語化

日本語化されたらコンテナを作っていきます。ボリュームの作成を押して作成を開始します。

ウイザードを「暗号化されたコンテナを作成」→「VeraCrypt標準ボリューム」→「ボリュームの位置」まで進みます。

VeraCrypt暗号化

コンテナファイルを作成する場所を入力してください。存在しないファイルを指定する必要があります。

次の暗号化アルゴリズムはそのままで次のページへ行ってください。

暗号化ボリュームのサイズを聞かれます。暗号化したいファイルより大きな量を指定してください。あまり大きくなると、暗号・復号の際に時間がかかりますので環境にあわせて最適なサイズを選択してください。

そのあとにパスワードを入力します。こちらのアプリもパスワードのリセットは存在しませんので忘れないように注意してください。

次のボリュームフォーマットでは「フォーマット」を押せば開始されます。「フォーマット」ボタンを押す前にマウスを動かせば動かすほど安全になる仕組みになっていますが、それほど気にする必要はありません。

VeraCrypt暗号化

フォーマットが終わったら、作成された「コンテナ」を暗号化された仮想ディスクとして扱えるようになります。ディスクをオープンするには、最初のページで「ファイルの選択」から「コンテナ」(ファイル)を選択して、空いたドライブレターにマウントします。

通常の場合は、USBメモリ等を差し込むとそのディスクをF:¥やG:¥等のドライブレターに割り当ててマウントする(ディスクを使えるようにする)作業を、Windowsが自動でやってくれています。それと同様のことを手動で行うようになります。

ドライブF:¥にUSBメモリをマウントして、その中のコンテナファイルをZ:¥にマウントすることを図式化すると次のような感じです。

VeraCryptコンテナイメージ

暗号化されたコンテナファイルを入力して、上部のウインドウからマウントするドライブレター(D~ZのうちDVDドライブ等で使用していないもの)を選択して、「マウント」を押します。

パスワードを聞かれるので設定したパスワードを入力します。受け付けられると、指定したドライブレター内の領域が使えるようになります。

VeraCryptマウント

そこから先は通常通り使えますが、すべての編集が終わったら「アンマウント」をする必要があります。「アンマウント」せずにUSBメモリやSDカードをPCから外すようなことをすると、編集が反映されないことがあります。また、コンテナが壊れてしまうことも考えられますので注意してください。「全てをアンマウント」のボタンを押すとアンマウントできます。アプリを一度閉じてしまったら、再度アプリを立ち上げなおすか、通常は在駐していますのでタスクバーから右クリックでも再表示できます。

注意点としては、VeraCryptは起動時に管理者権限を求められますので、会社のPCでは権限が得られず使用できないことがあるかもしれません。

BitLocker

Windows10のPro版ではBotLockerというディスク暗号化機能が利用できます。これでUSBドライブを暗号化できます。暗号化されたドライブの復号(利用)はHomeバージョンでも可能です。

ディスクを暗号化する方法ですが、コントロールパネル→システムとセキュリティ→BitLockerドライブ暗号化と進みます。

そのあと暗号化したいディスクのところに行き、「BitLockerを有効にする」を選択します。このあと次のような項目の確認が求められます。

  • パスワード
  • 回復キーのバックアップ方法
  • 暗号化の範囲の選択
  • 暗号化モード

この中で一番重要なのは「回復キーのバックアップ」です。ここではファイルに保存しました。作成されたファイルに、装置を識別するためのIDと回復キーが記述されています。このキーがあればパスワードを忘れても読み取ることができます。またDebian等のLinuxからもdislocker等のアプリを使って読み取ることができます。Micorsoftアカウントなど、安全で失われない場所に保存しておくのがベストです。

BitLocker回復キーの保存

他の方法を考える

そもそも持ち運びを前提としているポータブル媒体に重要なデータを入れずに済む方法はないか考えてみます。

紛失の観点からだけでなく、メモリの故障も考えるとバックアップは必要です。バックアップを考えると今度はファイル管理の手間も増えます。使用しているファイルとバックアップファイル常に同じになるように気を配らなければなりません。

それらの問題を解決するサービスのひとつにMicrosoft One Driveがあります。これはいわゆるクラウドストレージなのですが、One DriveにはVault(和訳:金庫室)というセキュリティレベルの高いフォルダが提供されています。

これはアクセスする際に再度認証が必要な領域で、しかも20分操作がないと自動的に閉じられます。

クラウドサービスに関しては時折セキュリティ事故のニュースを見聞きしますが、Microsoftのこのサービスを信じるのなら紛失やバックアップの心配なく重要なファイルを管理できます。

One DriveのVault

パスワードについて

今回紹介したアプリは適切なパスワードを利用することを前提に作られています。ですので最後にパスワードに関して少しだけ書きます。理想的なパスワードは次の通りです。

  • ランダムな英字(大小を含む)、数値、記号の羅列

    意味のある言葉は、覚えやすいですが、意味のないパスワードに比べて強度が弱くなります。不正にパスワードを利用する側が「覚えやすいパスワードにしているだろう」という推測のもと意味のある言葉を優先的にパスワード推測の際に利用するためです。

    また、英字の小文字だけでなく大文字・数値・記号と増やすことで、文字を総当たり的に試していく不正利用に対抗します。使う文字種が多ければ多いほど組み合わせが多くなり強度が上がります。

  • 最低でも8文字以上

    VeraCryptでは20字以上を推測しています。これも総当たりに対する対策です。コンピュータの進化によりこの数値は増える傾向にあります。

  • パスワードを使いまわさない

    パスワードを使いまわしていると、フィッシング詐欺やソフトウェアの脆弱性によりパスワードが漏れた場合の被害が大きくなります。

ログインIDとパスワードのセットが多く必要とする今の世の中ではこれらの理想をすべて実現することは難しいと思います。

すべのIDとパスワードのセットを管理するために導入した管理アプリに脆弱性がありすべてが漏れてしまったなどという事だって起きないとは言えません。

写真に写ったVサインから生体認証用の指紋を抜き取られたという話もあります。

考えだせばきりがありませんが、クレジットカードの登録があるといった重要なIDパスワードと、そうでないものに分けて考えてみると管理は少し楽になると思います。

筆者紹介

自分の写真
がーふぁ、とか、ふぃんてっく、とか世の中すっかりハイテクになってしまいました。プログラムのコーディングに触れることもある筆者ですが、自分の作業は硯と筆で文字をかいているみたいな古臭いものだと思っています。 今やこんな風にブログを書くことすらAIにとって代わられそうなほど技術は進んでいます。 生活やビジネスでPCを活用しようとするとき、そんな第一線の技術と比べてしまうとやる気が失せてしまいがちですが、おいしいお惣菜をネットで注文できる時代でも、手作りの味はすたれていません。 提示されたもの(アプリ)に自分を合わせるのでなく、自分の活動にあったアプリを作る。それがPC活用の基本なんじゃなかと思います。 そんな意見に同調していただける方向けにLinuxのDebianOSをはじめとした基本無料のアプリの使い方を紹介できたらなと考えています。

広告

プライバシーポリシー