暗号化したWindows PC で、スリープを使っていませんか?

(Windows10 の電源管理で、休止状態はデフォルトではありません。)

 

スリープを使っていると、「ディスク暗号化とTPM(セキュリティ考察)」で投稿した

「BitLocker をTPM のみで構成してしまうと、PC の電源投入後、認証を必要とせずにTPM 内の鍵が自動で使われ、そのままWindows が起動します。これでは、鍵に錠を挿したままと同じです。」

と同じようなことが起こります。

 

コンピューターがスリープ状態になると、ID やパスワードといった認証情報によって復号化したKEK(Key Encryption Key)(BitLocker の場合は、VMK(Volume Master Key)も、他の情報と同じようにランダムアクセスメモリ(RAM)に留まります。
プリブート認証を必要とする構成であったとしてもスリープからの復帰時にプリブート認証を必要としないのは、このためです。

ノートPC のカバーを開けた時に、それがスクリーンロック状態だとしてもWindowsは起動している(復号化されている)ので、安全な状態とは言えません。
攻撃者によって、スリープ状態のコンピュータからKEK(VMK)を抽出される恐れがあります。
また、外出時にノートPC を置いたまま席を離れた際に、悪意のある者からコールドブート攻撃を受けると、スリープ状態のPC から企業のネットワークへのアクセス資格情報などを盗まれる恐れがあります。

これらのセキュリティリスクを避けるためには、プリブート認証を必須とするようにデバイスを設定したうえで、PC を使用しないときには完全に電源を落とすことです。
しかし、それを社員に徹底させることは、なかなか難しいため、コンピューターを一定時間使用しない時にはスリープではなく休止状態になるようにする設定が必要です。

 

TCGや暗号化ベンダーは、スリープの使用を推奨していませんが、電源管理については、見落としがちです。
使い方を正しく理解していないと、暗号化してあるから安心とは言えないのです。

 

SecureDoc で、出来ること。

  • プリブート認証及び、プリブートネットワーク認証
    ID 及びパスワード誤入力の許容回数を設定できます。
    許容回数を超えると、ロックアウトされます。
  • TCG Opal(自己暗号化ディスク)に、SecureDoc をインストールすると、自動で「スリープ」が無効になります。
    (設定変更により、TCG Opal でもスリープを使用できますが、推奨されません。)