パソコンのパスワードは万全と言い切れるか

顧客情報の漏えいなどでたびたび問題になるのが、顧客情報などが入った業務用のノートPCを持ち出した際に、盗難にあったり紛失するといった事例である。

我々が普段使うノートPCには大抵、ログインパスワードがかけてある。しかしそれだけでは、情報漏えいを防ぐことはできない可能性が高い。

■BIOSパスワードとて解読可能!?
日経産業新聞には「BIOSパスワードを解除するツールが流通している」という記事が掲載された。

・パスワード解除ソフト流通――パソコン分解、情報流出(日経産業新聞)

BIOSとは、「Basic Input Output System」の略で、コンピュータに接続されたディスクドライブ、キーボード、ビデオカードなどの周辺機器を制御するプログラム群のことだ。これらの機器に対する基本的な入出力手段をOSやアプリケーションソフトに対して提供するものだ。

PC内の情報漏えいを防ぐ手段の一つとして、正当なユーザー以外はコンピュータを起動できないようにする、BIOSパスワード(パワーオン・パスワード)の設定がある。あらかじめBIOSセットアップ画面でパスワード文字列を指定すると、電源投入時に正しいパスワードを指定しなければシステムが起動できないという。

BIOSパスワードは、ノートPCのハードウェア自体が備えている機能を利用するため、OSに依存することなく利用でき、紛失、盗難などの場合にも、このパスワードを解除しなければ個人情報が抜き出される心配はないとして、有効なセキュリティ手段の一つと考えられている。

しかし、それでも上記のようなツールが流通していることからも(これらの解除ソフトが本当に機能するものかどうかの真偽は不明ながら)、悪意の人にとって、パスワードを解除して、ハードディスクのデータを吸い出すための抜け道は存在していると考えるのが妥当である。

■対策はあるか
このため、最近発売されるPCには、BIOSのセキュリティ機能を高めた機種も登場してきている。また、内蔵されているハードディスクにパスワードを設定できる機種もある。ハードディスクそのものにロックをかけるので、ディスクを取り出して別のコンピュータに接続してもデータを読み出すことはできないという、より強力なセキュリティ対策である。

(ただしハードディスク・パスワードをうっかり忘れてしまうと、復旧が不可能になるので注意が必要だ)

また、上記記事によれば、宅配業界などで使われるクレジット決済機能がついた業務用端末などでも、例えば松下電器産業製の端末には、端末をこじ開けたとたんに保存されている情報を暗号化する「鍵」とカード加盟店のデータが自動的に消去される「耐タンパー機能」を搭載したものがあるという。

我々ユーザーとしては、なるべく業務用のパソコンは外に持ち出さないと言いたいが、やむを得ず持ち出す場合も多いだろう。その際は、基本的なパスワード設定はもちろん、内部の情報を暗号化するといった漏えい対策を怠ってはならない。BIOSにパスワードをかけたとしても、漏えいを万全に防ぐことはできないという認識に立った上で、慎重に行動することが求められるだろう。

＜参考記事＞
・パスワード機能を過信してはいけない(ITmedia)
・BIOSパスワード／ハードディスク・パスワードを設定する(＠IT)
・BIOSとは(IT用語辞典)