暗号化によるセキュリティ対策
1 はじめに
教育現場での情報化が進み,授業や校務でコンピュータが欠かせないものになっています。
それに伴い,各学校における個人情報の管理がますます重要になっています。愛知県の県立学校では,愛知県立学校情報セキュリティポリシーにおいて,情報資産の重要性に従って,暗号化やパスワードの設定,個人情報の匿名化,アクセス制限等により,厳重に管理することが定められています。
情報資産を保存するUSBメモリやハードディスクなどの記録媒体には,ファイルの暗号化/復号するセキュリティソフトウェアが添付されている物もありますが,全ての記録媒体で利用できるわけではありません。
そこで,情報資産を保存する記録媒体のセキュリティを高める方法の一つである暗号化について研究をしました。
2 ソフトウェア「VeraCrypt」の概要
暗号化をするソフトウェアとして,今回は,フリーソフトウェアの「VeraCrypt」を利用します。「VeraCrypt」は,簡単に利用でき,ユーザが操作を意識することなく,高機能で安全にデータを保護することができます。暗号化された仮想ドライブを作成しておき,そのドライブにデータを保存することで,安全性の確保が図られるセキュリティソフトウェアです。
ファイルの読み書きを行うだけで,その場で暗号化・復号が行われ,アクセスの度に暗号化などの操作を行う手間が省けます。
また,Microsoft Wordなど一般的によく用いられているソフトウェアにも暗号化の機能がありますが, 一つ一つのファイルに対して暗号化するため,複数のファイルをまとめて暗号化することはできません。
「VeraCrypt」では,仮想ドライブを利用するだけではなく,ドライブやパーティションの全体も暗号化ができ,パソコン全体での安全性を向上させることもできます。ノートパソコンやUSBメモリなど,記録媒体全体をまとめて暗号化し,データを保護することもできます。
3 インストール方法
ソフトウェアは公式サイトからダウンロードが可能です。
インストールには管理者権限が必要となります。
なお,インストールをするときは英語のみでの表記になりますが,インストールした後に,日本語も含めた言語に変更することができます。
(1) 使用許諾書の確認
ダウンロードした「VeraCrypt」の実行ファイルをクリックすると,インストールが始まります。
インストールが始まると,最初に使用許諾書の確認画面が表示されます。
図1 使用許諾書の確認事項
同意できれば,チェックボックスにレ点を入れて[Next>]で処理を進めます。
図2 使用許諾書の確認処理
(2) インストール方法の設定とインストール
システムのインストール方法の設定を行います。
パソコンへインストールして利用する方法と,USBメモリなどの外部記録媒体にインストールして利用する方法が選択できます。
USBメモリなどの記録媒体にソフトウェアをインストールして利用する方法なら,ソフトウェアを持ち運んで利用することができ,「VeraCrypt」がインストールされていないパソコンでも,この記録媒体があれば「VeraCrypt」を利用することができるようになります。
ア パソコンへのインストール手順
(ア) インストールモードの指定
ラジオボタンで[Install]を選択します。
図3 インストールモードの指定
(イ) セットアップオプションの確認
標準のインストールでよければ,そのまま[Install]をクリックしてインストールします。図4に,それぞれのオプションについて説明していますので,必要がなければチェックを外します。
図4 セットアップオプションの確認
(ウ) セットアップの完了
インストール終了のメッセージが表示されるので[OK]をクリックします。
図5 セットアップの完了
イ USBメモリなどの外部記録媒体にインストールする手順
(ア) インストールモードの指定
ラジオボタンで[Extract]を選択します。
図6 ウィザードモード(Extractモード)の確認
(イ) セットアップモードの確認
システムの利用方法が[portable mode]であることの確認画面が出ますので,そのまま[OK]をクリックします。
図7 セットアップモードの確認
(ウ) セットアップの完了
外部記録媒体のインストール完了のメッセージが表示されるので[OK]をクリックします。
図8 セットアップの完了
(3) 日本語の表示設定
インストールされたソフトウェアを起動すると図9のように,英語で表示された初期画面が表示されます。
図9 初期状態の画面
メニューバーより[Settings]→[Language...]の順にクリックすると図11の言語選択画面が表示されます。
図10 設定項目のメニュー
[日本語]を選択し,[OK]をクリックすると,日本語表示に変更されます。
図11 言語選択
日本語で表示されるようになりました。
図12 日本語表示となったメイン画面
4 暗号化ドライブの作成
まず,暗号化する領域を設定します。ハードディスクやUSBメモリ,パーティション全体を暗号化する方法と,ハードディスクやUSBメモリ等の空き領域の一部を暗号化する方法(ファイルコンテナの作成)があります。
暗号化された領域は使用中の一つのファイルとして認識されますが,「VeraCrypt」で復号すると,一つのドライブとして利用することができるようになります。
(1) USBメモリやハードディスクなどの外部記録媒体全体を暗号化ドライブにする方法
ア 「VeraCrypt」を起動
USBメモリやハードディスクなど,暗号化する記録媒体をパソコンに接続して,「VeraCrypt」を起動します。
「VeraCrypt」を起動すると,図13の画面が表示されます。画面の中ほどにある[ボリュームの作成(C)]ボタンをクリックします。
図13 ボリューム作成ウィザードの起動
イ ボリューム作成ウィザード
「VeraCrypt」ボリューム作成ウィザードが起動しますので,[非システムパーティション/ドライブを暗号化]を選択し,[次へ(N)>]をクリックします。
図14 「VeraCryptボリューム作成ウィザード」
ウ ボリュームタイプの確認
ボリュームタイプとして,[VeraCrypt標準ボリューム]を選択し,[次へ(N)>]をクリックします。
図15 「VeraCryptボリューム作成ウィザード」(ボリュームタイプ)
エ ボリュームの位置を確認
暗号化するUSBメモリを指定します。[デバイスの選択(E)]を選択し,作業を進めます。
図16 「VeraCryptボリューム作成ウィザード」(ボリュームの位置)
暗号化したいUSBメモリやパーティションを選択し,[OK]をクリックします。USBメモリであれば,[リムーバブルディスク]表示された部分が該当します。ここでは,例として,リムーバブルディスク1:の[¥Device¥Harddisk
1¥Partition 1 F:]を選択しています。
図17 「VeraCryptボリューム作成ウィザード」(デバイスの選択)
管理者権限のアカウントかを確認するメッセージが表示されますので,[OK]をクリックします。
図18 「VeraCryptボリューム作成ウィザード」(管理者権限の確認)
暗号化したいパーティションが表示されていることを確認して,[次へ(N)>]をクリックします。
図19 「VeraCryptボリューム作成ウィザード」(ボリュームの位置の指定)
オ ボリューム作成モードの確認
[暗号化ボリュームを作成してフォーマット]を選択し,[次へ(N)>]をクリックします。
なお,[パーティションをその場で暗号化]をクリックすると, 選択されたパーティションにある全てのデータが暗号化されます。つまり,そのパーティションに保存されているデータは削除されずに,そのまま暗号化されます。ただし,時間がかかりますので,空のUSBメモリやパーティションを使う場合や,データを全て削除してもよい場合は,[暗号化ボリュームを作成してフォーマット]を選択してください。
図20 「VeraCryptボリューム作成ウィザード」(ボリューム作成とフォーマット)
カ 暗号化オプションの確認
[暗号化オプション]として[暗号化アルゴリズム]を変えることができますが,ここではそのまま[次へ(N)>]をクリックして作業を進めます。
[暗号化アルゴリズム]はセキュリティレベルに応じて選択することができます。
図21 「VeraCryptボリューム作成ウィザード」(暗号化オプション)
キ ボリュームのサイズの確認
指定したUSBメモリやパーティションの全容量が表示されます。
ここでは,4GBのUSBメモリを例として表示しています。容量に問題がなければ,[次へ(N)]をクリックします。
図22 「VeraCryptボリューム作成ウィザード」(ボリュームのサイズ確認)
ク ボリュームのパスワードの設定
復号する際に入力するパスワードを設定します。
画面の説明にあるように,「質の良いパスワード」を決めて入力し[次へ(N)]をクリックします。
図23 「VeraCryptボリューム作成ウィザード」(ボリュームのパスワード)
図24のように文字数が短いパスワードなどを入力すると,図25のように警告が表示されます。「いいえ」をクリックし,再度パスワードを設定します。
図24 「VeraCryptボリューム作成ウィザード」(短いパスワードを設定)
図25 「VeraCryptボリューム作成ウィザード」(パスワードの安全性への警告)
ケ ボリュームのフォーマットの設定
作成する暗号化ボリュームのフォーマットを指定します。Windowsで利用するには,[FAT]若しくは[NTFS]を選択します。ここでは[FAT]を設定します。
また,このオプションではマウスの動きから生成された値を暗号鍵に利用します。この設定画面内でマウスをランダムに動かすことで,暗号鍵の強度を大幅に上げられます。適度にマウスを動かした後に,[フォーマット(F)]をクリックします。
図26 「VeraCryptボリューム作成ウィザード」(フォーマットオプション)
管理者権限のアカウントかを確認するメッセージが出ますので,[OK]をクリックします。
図27 「VeraCryptボリューム作成ウィザード」(管理者権限の確認)
フォーマットを続けてよいか確認のメッセージが出ますので,問題がなければ,[はい]をクリックします。
暗号化ボリュームの作成とフォーマットが始まります
図28 「VeraCryptボリューム作成ウィザード」(フォーマットの実行確認)
コ ボリュームのフォーマット
フォーマットが終わると,利用に対しての注意事項等のメッセージが出ますので,確認して作業を進めます。
USBメモリをフォーマットが完了したら,[OK]をクリックします。
図29 「VeraCryptボリューム作成ウィザード」(注意事項)
フォーマットが終わり,ボリュームの作成に成功したメッセージが表示されます。[OK]をクリックします。
図30 「VeraCryptボリューム作成ウィザード」(ボリューム作成の成功)
ボリューム作成完了のメッセージが表示されます。
更に新しいボリュームを作成する場合は,[次へ]をクリックしてください。 ここでボリューム作成の作業を終える場合は,[終了[をクリックしてください。
図31 「VeraCryptボリューム作成ウィザード」(ボリュームタイプ)
(2) USBメモリやハードディスクの空き容量の一部を暗号化ドライブにする方法
ファイルコンテナ機能を使うと,記録媒体の空き容量の一部を暗号化ドライブとして利用することが可能です。
この機能を利用すると,空き容量の中で暗号化ドライブとして利用してもよい容量を設定することができ,一般的なファイルなどと暗号化ファイルが同じ記録媒体の中で管理でき,重要度に応じたデータの扱いが可能となります。
ア ソフトウェアを起動直後の画面
画面の中ほどにある[ボリュームの作成(C)]ボタンをクリックします。
図32 ボリューム作成ウィザードの起動
イ ボリューム作成ウィザード
「VeraCryptボリューム作成ウィザード」より,[暗号化されたファイルコンテナを作成]を選択し,[次へ(N)>]をクリックします。
図33 「VeraCryptボリューム作成ウィザード」
ウ ボリュームタイプの確認
ボリュームタイプとして,[VeraCrypt標準ボリューム]を選択し,[次へ(N)>]をクリックします。
図34 「VeraCryptボリューム作成ウィザード」(ボリュームタイプ)
エ ボリュームの位置を確認
[ファイルの選択(F)]を選択し,ファイルコンテナを作成したいUSBメモリなどの記録媒体と保存するフォルダを指定して,ファイルコンテナに付けるファイル名を入力します。
図13(b)では,例として,Fドライブとして認識しているUSBメモリに「vera」フォルダがあり,そのフォルダに「crypt_file.vera」という名前でファイルを作成するように設定しているところを表示しています。
作成したいコンテナのファイル名と位置を入力したら,[次へ(N)>]をクリックします。
図35 「VeraCryptボリューム作成ウィザード」(ボリュームの位置)
オ 暗号化オプションの確認
[暗号化オプション]として[暗号化アルゴリズム]を変えることができますが,ここではそのまま[次へ(N)>]をクリックし進めます。
[暗号化アルゴリズム]は,セキュリティレベルに応じて選択します。
図36 「VeraCryptボリューム作成ウィザード」(暗号化オプション)
カ ボリュームのサイズの確認
暗号化するファイルコンテナの容量を指定する画面が表示されます。
ここで,指定した記録媒体の空き容量が表示されますので,作成したいファイルコンテナのサイズを指定します。図37では,例として200MBのファイルサイズを指定しています。
[次へ(N)]をクリックします。
図37 「VeraCryptボリューム作成ウィザード」(ボリュームのサイズ確認)
キ ボリュームのパスワードの設定
復号する際に入力するパスワードを指定します。
画面の説明にあるように,質の良パスワードを決めて入力し[次へ(N)]をクリックします。
図38 「VeraCryptボリューム作成ウィザード」(ボリュームのパスワード)
文字数が短いパスワードを入力すると警告が出ます。「いいえ」をクリックし,パスワードを決定します。
図39 「VeraCryptボリューム作成ウィザード」(パスワードの安全性への警告)
ク ボリュームのフォーマットの設定
作成するファイルコンテナのフォーマットを指定します。一般的には,[FAT]若しくは[NTFS]を選択します。ここでは[FAT]を設定します。
また,このオプションではマウスの動きから生成された値を暗号鍵に利用します。このウィンドウ内でマウスをランダムに動かすことで,暗号鍵の強度を大幅に上げられます。適度にマウスを動かした後に,[フォーマット(F)]をクリックします。
図40 「VeraCryptボリューム作成ウィザード」(フォーマットオプション)
ケ ボリュームのフォーマット
フォーマットが終わり,ボリュームの作成に成功したメッセージが表示されます。[OK]をクリックします。
図41 「VeraCryptボリューム作成ウィザード」(ボリューム作成の成功)
ボリュームが作成されたメッセージが表示されます。
更に新しいボリュームを作成するのであれば,[次へ]をクリックしてください。ここでボリューム作成の作業を終える場合は,[終了]をクリックします。
図42 「VeraCryptボリューム作成ウィザード」(ボリュームタイプ)
5 暗号化されたデータの使い方
暗号化した領域は,そのままでは利用することができません。「VeraCrypt」を使って,復号して,暗号化された領域をドライブとして認識させることが必要です。
ここでは,ディスク全体を暗号化した場合と,ディスクの空き容量の一部を暗号化した場合の2通りについて説明します。
(1) USBメモリやハードディスクなどの外部記録媒体全体を暗号化したドライブの復号
ア 暗号化した領域の割り当て
暗号化したUSBメモリやハードディスク(パーティション)を接続します。「VeraCrypt」を起動します。
起動画面には,暗号化ドライブを割り当てることができるドライブの一覧が表示されます。その中から,割り当てて利用したいドライブ名をクリックして指定します。ここでは,例として,暗号化した領域をGドライブに割り当てます(復号します)。
[デバイスの選択]をクリックします。
図43 割り当てるドライブを選択
「パーティションまたはデバイスの選択」画面が表示されます。復号するドライブを指定して,[OK]をクリックします。
※ ここでは,例として,[¥Device¥Harddisk1¥Partition1 F:]を指定します。
図44 マウント(デバイスの選択)
指定したパーティションがボリューム欄に表示されていることを確認して,[マウント(M)]をクリックします。
※ ここでは,例として,Gドライブを指定します。
図45 マウント(割り当て先とデバイスの指定)
イ パスワードの入力
パスワードの入力画面が表示されます。4(1)クで設定したパスワードを入力し,[OK]をクリックします。
図46 マウント(パスワードの入力)
暗号化ドライブとして利用するためのマウント処理中の画面です。
図47 マウント(マウント処理中)
ウ 暗号化されたパーティションのマウント
暗号化されたパーティションがマウントされた様子です。
図48 マウント(マウントされた様子)
Gドライブがローカルディスクとして認識されています。
図49 マウントされたマイコンピュータのドライブ割り当て
ここでは,例として,USBメモリを暗号化しましたが,USBメモリもFドライブとして認識されています(図49)。しかし,暗号化されたFドライブにアクセスしようとしてもエラー画面(図50)が表示されます。
図50 ドライブアクセス時のエラー
暗号化されたドライブ(パーティション)はGドライブとしてマウントしたので,Gドライブにアクセスすることで,ファイルやフォルダなどのデータを読み込んだり書き込んだりできるようになります。
(2) USBメモリやハードディスクの空き容量の一部を暗号化したドライブの復号(ファイルコンテナとして作成した場合)
ア 暗号化した領域の割り当てを指定
「VeraCrypt」を起動すると,割り当てが可能なドライブの一覧が表示されます。その中で,割り当てて利用したいドライブ名を指定します。ここでは,例として,暗号化された領域をGドライブとして復号します。
図51 Gドライブを選択
[ファイルの選択]をクリックし,コンテナファイルを指定します。
指定したパーティションがボリューム欄に表示されていることを確認して,[マウント(M)]をクリックします(図52は,例として,4(2)において「F:¥vera¥crypt_file.vera」というファイル名で暗号化した領域を復号することを想定しています)。
図52 マウント(割り当て先とデバイスの指定)
イ パスワードの入力
パスワードの入力画面が表示されます。
ファイルコンテナを作成する際に設定したパスワードを入力し,[OK]をクリックします。
図53 マウント(パスワードの入力)
暗号化ドライブとして利用するためのマウント処理中の画面です。
図54 マウント(マウント処理中)
ウ 暗号化された領域のマウント
暗号化された領域がドライブとしてマウントされた様子です。
図55 マウント(マウントされた様子)
ドライブの一覧で指定したGドライブがローカルディスクとして認識されています。
図56 マウントされたマイコンピュータのドライブ割り当て
暗号化されたコンテナファイルはGドライブとしてマウントしたので,Gドライブにアクセスすることで,ファイルやフォルダなどのデータを読み込んだり書き込んだりできるようになります。
(3) 復号したドライブをアンマウント(ドライブ認識の解除)させる方法
ここでは,「VeraCrypt」の画面で,復号したドライブの認識を解除する方法を説明します。
「VeraCrypt」を起動すると,ドライブの一覧が表示されます。割り当てられた仮想ドライブ(Gドライブ)をクリックして選択し,左下の[アンマウント(D)]をクリックすれば,マウントが解除され,アクセスすることができない状態に戻ります。
図57 アンマウント
6 まとめ
「VeraCrypt」は,暗号化された領域をあらかじめ作成しておき,その領域を復号しデータを保存することで,安全性が確保できるセキュリティソフトウェアです。
パソコンにソフトウェアをインストールせずに,USBメモリにファイルを展開して使うこともできます。USBメモリを利用する感覚で,ファイルの読み書きを行えば,その場で暗号化・復号が行われ,アクセスのたびに暗号化などの操作を行う手間が省けます。
また,ノートパソコンやUSBメモリなどのドライブやパーティション全体も暗号化できるため,装置全体をまとめてデータ保護することもできます。パソコン全体で安全性を向上させることにより,情報機器の盗難などによる情報漏えいのリスクを減らすことができます。
7 おわりに
「VeraCrypt」を利用することで,ファイルを開く度に行うパスワード設定などの煩わしさが解消されます。
USBメモリ全体を暗号化した仮想ドライブにすることで,セキュリティ対策になります。また,ファイルサーバに重要性が高いデータを保存している場合でも,フォルダを暗号化しておけば,安全性を高めることができます。
さらに,パソコン本体に「VeraCrypt」をインストールせずに,「VeraCrypt」をインストールしたUSBメモリを復号の鍵として利用すれば,USBメモリを持っている場合のみ復号できるようになります。
8 参考文献について
- 「VeraCrypt」暗号化・仮想ドライブ作成ソフトウェア(公式ホームページ)
URL:https://veracrypt.codeplex.com/