2. 機密情報はPGP-diskドライブに詰め込もう
PGPには、ハードディスク(HDD)の暗号化領域作成ツールとして「PGP disk」が付いています。これがとんでもない優れものなのです。個人情報保護法の施行により、個人情報取扱事業者には、漏えいなどがないよう安全管理措置義務(法20条)が課されています。まさに、この安全管理措置義務(法20条)の為の中小企業の救世主のようです。 「PGP disk」を使うと、パソコンの中に暗号化された領域を作ることが出来ます。その暗号化された領域を見るためのパスワード(パスフレーズ)を設定し、必要なときだけパソコンに出現させ(マウント)、機密情報をここに整理すれば、不用意に他人に見られることも、持ち出されることも回避できます。また逆にこのパスワード(パスフレーズ)をグループで共有し、機密を保持しつつ共同作業もかなうものとなるのです。
●「PGP Disk」の便利な点をまとめると
<1>PCの紛失・盗難などによる個人情報・機密情報漏洩の回避措置
…………… 外部に持ち出すメディア、PC のハードディスク暗号化領域作成
<2>日常業務におけるアクセス制限実施
……………社内でもごく一部の人だけが閲覧できる領域の作成
<3>個人情報・機密情報の保管管理体制の整備支援
……………社外秘などの極秘ファイルを集めた暗号化領域の作成
なんと頼もしいPGPでしょう。それも無料で可能なのです。 さぁー、「PGP Disk」を作りましょう!
PGPディスクの作り方
| タスクトレイもしくはスタートボタン→すべてのプログラム→PGP→“PGP disk” で下記の“PGP disk”を起動させ、新規ボタンをクリックします。すると、“PGP disk”作成ウィザードがスタートします。“PGP disk”の保存場所と、ファイル名を選択するため、“次へ”を押してください。 |
|
|
|
| この例では、マイドキュメントにデフォルトのまま「New PGP disk . pgp」としました。 実際作成する場合は、名前はあまり秘密めいた名前は避けたほうがよいでしょう。 |
|
| 次は、“PGP disk”のサイズとそのドライブのドライブ文字を決定します。 この“PGP diskドライブ文字”でお分かりように、他のCドライブ、Aドライブと同様 独立したドライブとして機能します。 パスフレーズ(パスワード)が決まりましたら、“次へ”をクリックしてください。 |
|
パスフレーズは、アルファベットとそれ以外の文字をあわせて最低8文字以上として下さい。文字数が多い方が機密性は高まります。画面にあるパスフレーズの質とは「解読の困難さ」を表すバロメーターです。
|
|
|
※ここでの注意点 1 このパスフレーズは、絶対紙やパソコンのどこかに書き留めない。 2 このパスフレーズは、自分の秘密鍵用のパスフレーズと同じものとしない。 ここで、“次へ”を押し、ウィザードに従って作業を進めます。その間は、マウスを動かしてください。 |
|
|
|
| “PGP disk”のマウントが終了しましたら引き続き、フォーマットを行います。ハードディスクやフロッピーディスクのフォーマットと同じ方法です。 フォーマットが終了すると“PGP disk”の完了です |
|
PGPディスクの使い方
“PGP disk”を使うとき、おぼえなければならない言葉に“マウント”“アンマウント”という言葉があります。 “PGP disk”を使用するとき、“PGP disk”を“マウント”し、“PGP disk”を使わないときは“アンマウント”します。その操作は下記の“PGP diskウィンドウ”のボタンを使って行います。 
|
|
| マイコンコンピュータが上図のようになっているものとして、ここで、右図のような“PGP diskウィンドウ”の「マウントボタン」を押します。 |
|
| 選択画面が出ますので、目的の“PGP disk”を選択し、“開く”を押します。 |
|
| “PGP disk”作成のときのパスフレーズを入力してください。 これで、“PGP disk”がマウントされ、使用可能な状態になります。 |
|
下記のマイコンピュータには、先ほど見えなかった“ローカルディスク(H)”が出現しました。これが“PGP disk”がマウントされた状態で、他の“ローカルディスク(C)”“ローカルディスク(D)”と同様に使用することが可能となりました。 “PGP disk”がマウントされた状態で、この“ローカルディスク(H)”へ何かファイル・データを放り込めさすれば、すべて許可されたものしかアクセスできないように暗号化されるのです。
|
|
| 作業が終わり、その“ローカルディスク(H)”を閉じて、“PGP disk”を表示させずに、許可されないものがアクセスできないようにするためには“PGP disk”“アンマウント”しなければなりません。 その操作は、“PGP diskウィンドウ”の“アンマウントボタン”を押し、“アンマウント”したいディスクを選択して下さい(本例の場合では“ローカルディスク(H)”)。 |
|
| なお、表示されている“ローカルディスク(H)”を右クリックしても“アンマウント”は可能です。 |
|
PGPディスクの諸設定
“PGP disk”を使用するに当たって、事前に設定しておくと便利な機能を紹介します。
| まず、“PGP diskウィンドウ”の“設定”ボタンをします。“設定ウィンドウ”が現れ、 「自動アンマウント」と「アンマウントホットキー」という2つのタグが見えます。 |
|
| ■自動アンマウント この“自動アンマウント”というのは、例えば席を離れるなどをして、パソコンの操作が[XX]分間無かったら、自動的にアンマウントするように設定するものです。セキュリティの関係からも自動アンマウントをしたいとのですが、無料のPGP6.5.8の場合、Windows2000以降のOSでは自動アンマウントは出来ません。(PGP Diskの設定から自動アンマウントを選択したいのですが、チェックボックスが選択できません。下記のように文字全体が灰色のままです)ですので、どうしても自動アンマウント対応でとなるとPGP8以降を使うしかありません。 |
|
| しかし、次のチェックボックスの“コンピュータがスリープモードになったらアンマウントする ”にチェックしておけば、パソコンがスリープモードに入る時に自動的にアンマウントしますので、“自動アンマウント”の機能は代替できるでしょう。 |
|
| ■アンマウントホットキー アンマウントホットキーを有効にしておくと、たとえばESCキー・backspaceキーのみで素早く“アンマウント”出来ますので、急に離席しなければならない時など便利でしょう。 |
|
| ■パスフレーズの追加/変更 その“PGP Disk”を扱うことが出来るパスフレーズを増やし、また追加されたパスフレーズの使用者の権限を制限し、“PGP disk”の運用をきめ細かく行うように設定が出来ます。 | |
| まず、“PGP diskウィンドウ”の“パスフレーズの追加”を選択します。すると、“マスターパスフレーズ”の画面がでます。 |
|
| “マスターパスフレーズ”内に“PGP disk”作成時に設定したパスフレーズを入力します。これが正しくない場合、次へ進めません。 |
|
| 新しいマスターパスフレーズを入力し、上下に同じものを入れます。 “読み取り専用”にチェックを入れると、このパスフレーズでマウントした場合は ドライブが読取専用として取り扱わることになります。 |
|
■公開鍵パスフレーズ利用によるアクセス制限
“PGP disk”用に公開鍵を追加したり、削除することができます。その鍵のパスフレーズを知っている人が、そのパスフレーズを使って“PGP disk”をマウントできるようになります。この設定によって、この“PGP disk”へのアクセス制限が公開鍵を介して、きめ細かな設定が可能となります。 まず、目的の“PGP disk”がマウントされていないことを確めてください。マウントされていれば、公開鍵の追加はできません。事前にアンマウントしてください。
| まず、「ファイル(F)」メニューから「公開鍵を追加/削除(K)」を選びます。次に「PGP disk 選択」画面で目的の“PGP disk”を選びます。パスフレーズ入力の画面が表示されます。ここで 正しいパスフレーズが入力されないと次へ進めません。 |
|
| 「受信者の選択」画面が表示されます。 →画面の上部から下部へ鍵をドラッグします。 →「OK」をクリックします。 |
|
| これで選択されたならば、その鍵のパスフレーズを知っている人が、そのパスフレーズを使って“PGP disk”をアクセスできるように “マウント”できるようになります。 | |
鍵束(公開鍵束・秘密鍵束)を、パソコンから隔離して使用したい/USBメモリーに格納したい。
デフォルトのまま、PGPで新しく鍵を作ったならば、 C:\Documents and Settings\Administrator\Application Data\PGP\PGP Keyrings(↓下図上赤い円)というフォルダー内に格納されます。 (本例では使用パソコンの構成上Dドライブになっているが、通常はCドライブとなります)
別のウィンドウでは、下図のように表示されます。
これらの鍵束(上図波線箇所)の意味は、次のとおりとなります。
● pubring.pkr → 「公開鍵束」
● secring.skr → 「秘密鍵束」
デフォルトならパソコンの中にこのように格納される鍵束も、もしUSBメモリーのようなパソコンから分離して持ち歩けるものに格納できれば、もし、パソコンを盗難で失くしても、ノートパソコンをどこかに置き忘れたとしても、パソコンの中の情報を他に利用される危険率が相当低くなると思われます。
鍵束の格納場所を、USBメモリーへ移動する作業
| 1- 鍵情報をUSBメモリーへコピー C:\Documents and Settings\Administrator\Application Data\PGP\PGP Keyrings の中身を、USBメモリーへコピーします。 その際、この元フォルダーPGP Keyringにはバックアップファイルも残っているので、バックアップがコピーしないようにします。 | |
| 2-鍵格納場所の変更設定 PGPkeysを起動させ、オプションを選択します。 |
|
| PGPオプションの“ファイル”の公開鍵リングファイル・秘密鍵リングファイルの格納場所を、右の参照ボタンをクリックして、目的の外部記憶機器のフォルダーを選択します。 下記はUSBメモリ(この場合Fドライブと認識されています)に中に鍵束を格納するように設定を変更したものです。 |
|
3-パソコン内の秘密鍵情報等を完全消去(PGPの完全削除(ワイプ)機能)
コピーし終わったら、今後はパソコンの鍵情報を完全に消去しなければならなりません。 通常の削除より、より完全にデータを消去する機能がPGPにはあります。このPGPの完全削除(ワイプ)機能を使い、古いPGP Keyringsフォルダを選んで右クリックすると、「PGP」という欄があります。その中から「完全に削除」を選択、完全抹消します。このPGPの秘密鍵情報が残骸といえども、復元の可能性を可能な限り消去させることは、今後の情報保護実施に極めて有益です。
|
|