暗号化したWindows PC で、スリープを使っていませんか?
(Windows10 の電源管理で、休止状態はデフォルトではありません。)
スリープを使っていると、「ディスク暗号化とTPM(セキュリティ考察)」で投稿した
「BitLocker をTPM のみで構成してしまうと、PC の電源投入後、認証を必要とせずにTPM 内の鍵が自動で使われ、そのままWindows が起動します。これでは、鍵に錠を挿したままと同じです。」
と同じようなことが起こります。
コンピューターがスリープ状態になると、ID やパスワードといった認証情報によって復号化したKEK(Key Encryption Key)(BitLocker の場合は、VMK(Volume Master Key)も、他の情報と同じようにランダムアクセスメモリ(RAM)に留まります。
プリブート認証を必要とする構成であったとしてもスリープからの復帰時にプリブート認証を必要としないのは、このためです。
ノートPC のカバーを開けた時に、それがスクリーンロック状態だとしてもWindowsは起動している(復号化されている)ので、安全な状態とは言えません。
攻撃者によって、スリープ状態のコンピュータからKEK(VMK)を抽出される恐れがあります。
また、外出時にノートPC を置いたまま席を離れた際に、悪意のある者からコールドブート攻撃を受けると、スリープ状態のPC から企業のネットワークへのアクセス資格情報などを盗まれる恐れがあります。
これらのセキュリティリスクを避けるためには、プリブート認証を必須とするようにデバイスを設定したうえで、PC を使用しないときには完全に電源を落とすことです。
しかし、それを社員に徹底させることは、なかなか難しいため、コンピューターを一定時間使用しない時にはスリープではなく休止状態になるようにする設定が必要です。
TCGや暗号化ベンダーは、スリープの使用を推奨していませんが、電源管理については、見落としがちです。
使い方を正しく理解していないと、暗号化してあるから安心とは言えないのです。
SecureDoc で、出来ること。
- プリブート認証及び、プリブートネットワーク認証
ID 及びパスワード誤入力の許容回数を設定できます。
許容回数を超えると、ロックアウトされます。 - TCG Opal(自己暗号化ディスク)に、SecureDoc をインストールすると、自動で「スリープ」が無効になります。
(設定変更により、TCG Opal でもスリープを使用できますが、推奨されません。)
