PCの普及とともに負の側面として、情報の漏洩や流出が多々、発生している。外部からの不正アクセスやうっかりミス(置き忘れなど)もあるが、内部不正も原因の1つとなっている。では、どのように内部からの情報流出を防ぐか。今回紹介するライフボートのUSB HardLocker 5(以下、UHL 5と略記)は、USB機器を鍵とし、PCをロック(操作不能に)する。Windowsには、もともとパスワードなどの保護機能がある。しかし、管理者権限でパスワードなしで使用するユーザーは少なくない。UHL 5では、ユーザーごとに鍵を作成し、それぞれのWindowsアカウントにログインするといったことも可能である。

  • 「USB HardLocker 5」を試す - データ流出を防止するUSB鍵作成ソフト

    図1 USB HardLocker 5のパッケージ

以下では、UHL 5の基本機能を紹介したい。

インストールから初期設定まで

まずは、システム要求であるが、Windows OSが動作する環境であれば、問題ない(詳細はライフボートWebページを参照)。CD-ROM版の場合、インストールメニューが表示されるので、[インストール]を選ぶ。

  • 図2 インストールメニュー

あとは、画面の指示に従うだけだ。図3で完了となる。

  • 図3 インストール完了

[完了]を選び、セットアップを終了する。UHL 5を有効にするには、再起動する必要がある。

  • 図4 再起動の確認

再起動後、初期設定になる。UHL 5では、必ず管理者鍵が1つは必要となる。まずはその作成となる。USBメモリを接続しておく。

  • 図5 初期設定ウィザード

まずは認証方法であるが、USB、パスワード、USB×パスワードの3種類がある。認証に何を使うかであるが、USD機器のみが無難であろう。当然だが、2重の認証設定をすれば、よりセキュアになる。パスワードのみというのが、不思議に感じられるかもしれない。後述する合鍵では、この設定も意味がある。USB、USB×パスワードを選んだ場合、USB機器の選択となる。

  • 図6 USB機器の選択

ここでは接続したUSBメモリを選ぶ。注意すべきは、シリアル番号の有無である。マウスやキーボードでは、シリアル番号がないことが多い。

  • 図7 マウスにはシリアル番号がない

シリアル番号がないと、同じ型番のデバイスはすべて同じ鍵と認識されてしまい、鍵として意味をなさない。したがって、鍵にはUSBメモリがもっとも無難な選択となる。鍵の種類では、管理者を選ぶ。

  • 図8 鍵の種類

もう1つは、利用者鍵となるが、管理的な設定操作ができない設定もできる(管理者が設定する)。次いで、秘密領域(鍵がないと利用できない暗号化された領域)の設定となる。1つの鍵に対し、1つの秘密領域が設定できる。ここでは、設定しない。

  • 図9 秘密領域

鍵をWindowsユーザーと関連付けるには、[サインインする]にチェックを入れ、ユーザー名とパスワードを入力する。

  • 図10 Windowsユーザーと関連付け

最後に、設定する鍵の名前を入力する。

  • 図11 名前の入力

ここまでの設定内容が表示される。

  • 図12 設定内容の確認

これでよければ、[完了]をクリックする。これで、管理者鍵が作成された。スタートメニューのユーティリティを起動すると、図13のように、管理者鍵が作成されているのがわかる。

  • 図13 ユーティリティ

USB鍵がない状態では、図14のように、スクリーンロックがかかり、一切の操作が不可能となる。

  • 図14 スクリーンロック

下にある[終了]ボタンは、シャットダウンする。

合鍵の作成

次にやっておきたいのは、合鍵の作成である。図13のユーティリティから、[プロパティ]を選び、[認証方法]タブを表示し、[追加]をクリックする。

  • 図15 [認証方法]タブ

図5と同じ画面になるので、認証方法を選ぶ。まずは、別のUSBメモリを合鍵にする。図6と同じ画面になるので、USBメモリを選ぶ。追加された鍵が[認証方法]タブに表示される。

  • 図16 合鍵が追加

同じく、[追加]を選び、今度は認証方法でパスワードを選択する。この設定であるが、USBメモリなどは便利ではあるが、なくしやすい。また、破損も考えられないこともない。複数の合鍵を作れば、その可能性は低まるが、安全性が問題となる。そこで、パスワードのみで、図14のスクリーンロックを解除できるようにするためである。ライフボートによれば、USB鍵の紛失やパスワード忘れには、対応できないとのことだ。

  • 図17 パスワードの入力

[認証方法]タブに、パスワードが追加される。

  • 図18 パスワードが追加

鍵が追加変更されると、図19が表示される。

  • 図19 許可リストの更新

図14のスクリーンロックを解除するには、【Ctrl】+【Shift】+【マウス左ボタン】を押すと、パスワード入力画面が表れる。

  • 図20 パスワード入力画面

USB鍵を使用しないと、UHL 5関連の操作のたびに、パスワード入力が求められる。あくまで、避難的な措置と考えたほうがよいだろう。

利用者鍵を作成し、Windowsに自動ログオン

次いで、利用者鍵を作成し、Windowsに自動ログオンできるようにしてみよう。図13のユーティリティから[作成]を選ぶ。初期設定の時と同じような画面となる。

  • 図21 作成

図6と同じく、USBメモリを選択する。鍵の種類では[利用者]を選ぶ。

  • 図22 鍵の種類

ここでも[サインインする]にチェックを入れる。ユーザー名は、プルダウンメニューで選択可能なアカウントが表示される。適切にユーザー名とパスワードを入力する。

  • 図23 Windowsユーザーと関連付け

管理者鍵の作成と異なるのは、

  • スクリーンロックの解除の可否
  • ストレージ追加禁止の解除の可否
  • ネットワークロックの解除の可否

の設定が可能な点である。管理者は解除可能なので設定する必要がなかった。利用者には、適切に操作ポリシーを設定できる。

  • 図24 スクリーンロックの解除

管理者鍵同様、ユーザー名を入力し、内容を確認すると、ユーティリティに新たな利用者鍵が追加されている。

  • 図25 利用者鍵を追加

さらに、自動ログオンをする場合は、ユーティリティの[設定]の[サインイン]で、オプション設定が可能となる。

  • 図26 サインインのオプション設定

基本的にデフォルトで問題ない。上の[Windowsのサインイン画面で…]は、サインイン方法をUHL 5の鍵装着に限定する。下の[鍵が取り外された時…]は、UHL 5のスクリーンロックと同時にWindowsのロックも行われる。複数のユーザーが共用するPCなどで設定するとよいだろう。

これで、Windowsのサインイン画面で、USB鍵を装着すると、指定されたユーザーでログオンするようになる。

USBメモリやスマートフォンの利用制限

UHL 5では、利用者鍵ユーザーが許可されていないUSBメモリやスマホが接続してもPCをロックし、取り外すまで操作ができないようにできる。管理者鍵を装着し、図13のユーティリティから、[設定]の[ストレージ追加禁止]を選ぶ。

  • 図27 ストレージ追加禁止

この機能を有効にするには、[ストレージ追加禁止を使用する]にチェックを入れる。その下に3つのオプションがある。[ストレージ以外のUSB機器も禁止する]はスマホなど、ドライブレターが割り振られない機器の接続を禁止する。USB機器とドライブの追加禁止は、そのままの意味である。USBメモリや外付けドライブを追加しても利用できない。 そして、この状態でUSBメモリなどを接続すると、自動的に許可リストに登録される。ユーティリティの[許可されたUSB機器]を選ぶと、そのリストが表示される。

  • 図28 許可されたUSB機器

利用者鍵ユーザーに使用を許可しない場合には、「すべてのユーザー」を「管理者のみ」に変更する。同様に[許可されたドライブ]でも、「管理者のみ」に変更する。

  • 図29 許可されたドライブ

ここではFまでしかないが、ネットワークドライブも使用禁止にするには、X、Y、Zなどのドライブレターも追加設定する。ストレージ以外のUSB機器も禁止にして、許可されていないUSBメモリを接続すると、図30のようにロックされる。

  • 図30 ストレージ追加禁止ロック

装着されたUSBメモリを検知している。さらに、USBポートに接続されたBlueToothレシーバーも認識している。情報流出を防ぐには、かなり有効な手立てとなるだろう。

ログの収集と管理

最後にUHL 5のログについて紹介しよう。図13のユーティリティの[ログ]を選ぶと、その時点までのログが表示される(デフォルトでログ収集は有効になっている)。

  • 図31 ログ

デフォルトではメッセージ形式で、暗号化されている。したがって、ユーティリティ以外からは見ることはできない。デフォルトで収集される項目は、図32の通りである。

  • 図32 ログ取得機能

キーボードとファイルアクセス以外が設定されている。個々の項目はさらに細かく設定可能である。たとえば、ファイル操作では、図33の通りである。

  • 図33 ファイル操作の取得機能

また、除外するフォルダも設定可能である。

  • 図34 除外フォルダ

収集されたログは暗号化されているが、エクスポートでテキストにすることができる。

  • 図35 テキスト化されたログ

全体的な設定は、ユーティリティの[設定]の[ログファイル]から行う。

  • 図36 ログファイル

収集をしない、タイミング、形式、保存先など細かく設定できる。上述の収集項目と合わせ、かなり柔軟な設定が可能である。ログの形式では、CSV形式も選択できるので、複数のPCに導入してログを管理する場合はCSV形式を選択すると便利である。 インシデント発生時には、このログを分析することで、原因究明に役立てることができる。ただし、注意しなければならないのは、こういったログは膨大になることだ。収集項目なども必要に応じて減らすことも考慮すべきだ。

また、本稿で紹介できなかった機能もある。このあたりはマニュアルなどを参照してほしい。

紹介できなかったが、法人向けにボリュームライセンスも用意されている。詳しくは、冒頭のライフボートのWebサイトを参照してほしい。