情報漏えい対策、「モバイルデバイス」でできること：セキュリティ強化塾（2/3 ページ）

　方法は簡単だ。Officeのファイルタブから「情報」を選択し、文章の保護から「パスワードを使用して暗号化」をクリックしてパスワードを設定することで個別の書類を暗号化できる。もし社外の組織に、個人情報など漏えいしてはならない情報を含むドキュメントを送る必要がある場合、この方法でパスワードロックをかけることでリスクを下げることができる。

　ただし、このようなメールを頻繁に送る必要があるならば、ファイル暗号化ソリューションやメール誤送信防止ソリューションの導入を強くお勧めする。文書のパスワードロックは抜本的なソリューションが導入されていない環境での回避策として捉えておきたい。

ローカルドキュメントを「画面ロック」で守る

　もう1つ重要な設定を紹介したい。それはPCの「画面ロック」だ。USBメモリやファイル単位の漏えいよりも、現在では「ノートPCそのもの」の紛失リスクが無視できない。これまではノートPCの持ち出しを禁止するという方法で保護していた企業も多いが、働き方改革により「禁止するタイプのセキュリティ」の実施はもはや難しい。そのため、まずはノートPCの画面ロックを徹底したい（デスクトップPCでも同様だ）。

　こちらも設定は簡単だ。離席時に必ず「Windowsキー＋L」を押すことを習慣づけよう。PC内に含まれるデータは、画面ロックを解除できるあなたにしか操作ができなくなるはずだ。ノートPCであれば、PCを閉じると同時にスリープや画面ロックにするように設定すべきだ。

　画面ロックから解除する手間を考え、Windowsに6桁程度の「PIN」を設定しておけばより便利になるだろう。マイクロソフトが公開した「PINがパスワードより安全な理由（Windows 10）」を参照してほしい。

　さらに画面ロックを解除するためのパスワード入力回数の制限も設定しておきたい。万が一デバイスを盗まれたとき、ロックを解除しようとパスワード入力を試行し、失敗の回数が一定回を超えるとロックアウトするものだ。

　スタート画面で「secpol.msc」と入力して開かれるローカルセキュリティポリシーの「アカウントポリシー」→「アカウントのロックアウトのしきい値」を設定することで可能だ。これを3回程度に設定しておくとよいだろう。これを0から変更することで、ロックアウトカウンターのリセットおよびロックアウト期間も自動でセットされる。

図3　アカウントロックアウトポリシー。アカウントロックアウトポリシーを設定することで、パスワードを強引に破る攻撃にも一定の耐性を得ることが可能だ

　ただし画面ロックだけでは、ノートPCを丸ごと奪われた場合のリスクが無視できない。中にあるHDDやSSDを取り出し、他のデバイスにつなげて読み取ることができてしまうためだ。

　ノートPCの内蔵ストレージに対しても「BitLocker」でディスク全体を暗号化しておこう。「4GWAN内蔵PC」であれば、紛失後即座にリモートワイプを行える機能もある。画面ロックとディスク暗号化だけではリスクをカバーできないという企業は、リプレース時にWAN内蔵の端末を導入することも検討したい。