セキュリティーの問題です。（頭の体操だと思って気楽にお答え下さい）

起動時のbiosパスワードはマザーボードの起動を困難にするだけで、難しいとは言え解除も可能ですし、何より、データ自体はHDに格納されているために、HDを取り出し、別のデスクトップにでもつないでやれば全てのデータを抜き出せます。

難易度としては詳しい小学生か中学生レベルでしかありません。

HD単体へパスワードをかける事もできますが、これとて、パスでロックできるのはHDの基板であり、同形式のHDを調達し、基板を交換すればなんにもなりません。

これも難易度としては中学生レベル。予算1万円。

HD内部の個別データやフォルダを暗号化する事が一番堅牢です。

ただ、これも突破が不可能な訳ではないので、それほど大した事はありません。

難易度としては大学生レベルかな？

で、その手の暗号化は新しい暗号が出れば新しいハッキングツールが開発され、のいたちごっこでしかありません。

要するに、持ち歩くPCなんかに企業秘密を入れてはだめなのです。

肌身離さずならまあ大丈夫ですけど、PCは大きいのでそうもいきません。

USBメモリなどに堅牢な暗号をかけて、そこから絶対出さないくらいの配慮は当然、最低限のレベルでしょう。

メモリ自体は十分な強度のあるチェーンを溶接し、手錠で体と繋ぐ、、、ｗ

1)私の勤務先ではBIOSのパスワードを設定しています。

BIOSパスワードはブラウザなどの機能で記憶できないので、ついついスタンバイモードなどで使い続け、BIOSパスワードを使うのを避けることがあります。

2)代案として、PCにデータを持たないようにするのが有力とされており、シンクライアントの導入が検討されています。

3)罰則を厳しく規定するのが良いでしょう。機能的なセキュリティも大切ですが、最も重要なのは本人の意識と思います。

>１．このケースに対して、『起動時のBIOSパスワード』がセキュリティーの低下に繋がるケースがあるが、どういう場合でしょうか？

『起動時のBIOSパスワード』が想像しやすく（社名の略称や、PCにシールで張ってある型番や社内管理番号など）

かつ、紛失したノートPCのセキュリティーが『起動時のBIOSパスワード』のみの場合。

簡単に言えば、

「BIOSパスワードが掛けたからもう安心」

という認識の場合ですね。

>２．代案としてどのような案がありますか？

『起動時のBIOSパスワード』以外のセキュリティーを併せて実施する。

例：『起動時のBIOSパスワード』＋『HDの暗号化ツール』など

>３．１．２）により『起動時のBIOSパスワード』がセキュリティーの低下であると判断されたと仮定して、このようなセキュリティー向上をするつもりで、セキュリティーが低下するアイデアが、そもそも出てこないようにするためには（未然に防止される）ためにはどのような対策が社内で必要でしょうか？

「攻撃者の視点で、今のセキュリティーが安全かどうかを検証する。」

というのはどうでしょう？

初めまして。E.A.Poe（知のくずかご）と申します。

主題1：パスワードが覚えられない人がでてきてしまいパスワードの意味をなさなくなるかも知れない

--

BIOSパスワードの解除の方法についてですが、一応ドライバーで分解する等でできる場合があることを存じていますが、一般の場所で公表するのはちょっとためらわれるのでいったん置いておきます。

そこで、ヒューマンエラーの可能性とその対策を考えてみました。

＃この方が、BIOSパスワード以外にも応用できるかな、という欲張った面もあります(笑)。

--

こんなことは考えられないでしょうか？

1：全社員に「自分のPCに（BIOS）パスワードをかけろ」と指示が出る。

2-1：「1234」とかの覚えやすいが推測されやすいパスワードにする人がでてくる

2-2：セキュリティ対策部門が「推測されにくいが覚えにくいパスワード」を一人一人に配布する

3：パスワードが覚えられず、パスワードを書いた紙をPCに貼り付ける人がでてくる

4：パスワードの意味をなさなくなる

小生が以前いた会社では、実際にこのようなことがありました。実はWindowsの起動パスワードを「1234」にしてあり、

＃例えばの話です。実際は「abcd」だったか「qwerty」だったかはご想像にお任せします(笑)

しかも、ご丁寧にそれを紙に書いてモニターに貼ってあるという事態でした。

--

主題2：代案として「作りやすくて覚えやすくて推測されにくいパスワードの作り方」を研修で教える

こういう事態を回避するために、まず「セキュリティの重要性」研修を全員に受けさせて、その際に「作りやすくて覚えやすくて推測されにくいパスワードの作り方」まで教育してしまうのはどうでしょう？

--

小生はこんな方法を使っています。

1：好きな映画の題名を決める（ジャッキー・チェンのポリス・ストーリー）

2：誕生日か携帯の番号か、とにかく4桁の数字を決める（12月31日生まれとして1231）

3：題名を分解してアルファベットにする（ジャッキー＝J・チェン＝C・ポリス＝P・ストーリー＝S）

4：一桁ずつ合成する（J1C2P3S1）

5：声を出さないで読み上げる練習をする（ジャッキー1・チェン2・ポリス3・ストーリー1）

6：覚えられた！

これは小生の例ですので、応用はたくさんあると思います。「羊たちの沈黙」が好きなら「羊＝H・たちの＝T・沈黙＝T」とか、読み上げやすいように「羊＝HI・たちの＝TA・沈黙＝TI）にして「アルファベット2文字＋数字1文字の組み合わせ」でもイイと思います。

他にもいろいろなパスワート作成法があると思いますが、とりあえずこんな例を示してみて、全員の反応を見てみてはいかがでしょうか？

--

主題3：

１．BIOSパスワードが、PC内で使用されているパスワード（ログインパスワードなど）と同一。

２．パスワードをそれぞれ異なるものにする。

３．暗号化、パスワードの設定の社内マニュアルを作成する。

BIOSパスワードのバックドアクラックとか、CMOSクリアとかは既出と思うので、気楽に変なの書いてみますね。

1.BIOSにロックがかかっていたことで、頭にきてノートPCからHDDを取り出してしまうケース。HDDの中身は見えてしまいます。

2.HDDには暗号化を実施する。FileVaultとか。

3. テクニカルなことよりも、精度として会社と個人を完全に切り離すのがよいと思います。

17時になったら絶対に帰る。仕事もそれ以上しない。続きは明日やる。PCであれ、紙であれ、持ち帰らない。仕事も持ち帰らせない。極力持ち出させない。

それから、個人使用のPCや携帯やらは、持ち込み可能にする。PCだって正直手帳のようなものだし、自分の手帳でスケジュール管理してるその手帳をなくしたって漏洩なのですから。

意外とこれで、会社マシンでWinny とかのどうしようもないケースは減らせるのかなと...。

ただし、会社のネットワークには接続しない。個人情報を保存しない、などなど。違反時には厳罰は必須ですね..。

本当は漏洩した方よりも、悪用する方を取り締まる方が正しい気がしますが...

１．このケースに対して、『起動時のBIOSパスワード』がセキュリティーの低下に繋がるケースがあるが、どういう場合でしょうか？

・起動時のBIOSパスワードを、他のサービスやシステムのパスワードと同じにしている場合。

・BIOSパスワードをかけたことで安心し、重要なファイルをPC内に保存してしまう場合。

２．代案としてどのような案がありますか？

起動時のBIOSパスワードは唯一にする。

セキュリティは多少上がったとしても、保存するファイルの重要度は変えない。

３．１．２）により『起動時のBIOSパスワード』がセキュリティーの低下であると判断されたと仮定して、このようなセキュリティー向上をするつもりで、セキュリティーが低下するアイデアが、そもそも出てこないようにするためには（未然に防止される）ためにはどのような対策が社内で必要でしょうか？

パスワードは唯一にしておく。

社外へ持ち出せるPC内に、データが漏えいした際に会社的に損失が大きいもの（顧客情報、取引先情報、社内会計など）を保存しない。

１．BIOSパスワードとその他ログインパスワードが同じ。

２．USBキーを利用する。鍵と同じように使えるので意外に便利。

３．パスワードで管理するなら，一定期間でパスワードの変更を義務化。同じパスワードを過去何回分は使えないようにする。

そもそもBIOSパスワードなんてもんは

CMOSクリアしてしまえば一緒にクリアされるので大した問題ではない

CMOSクリア以外なら

HDDを他のマシンから読み出せば

BIOS関係なくデータ取り出せますしね

低下に繋がると言えば、"パスワードがある"って薄っぺらい安心感でしょうか

2.代替案

BIOSがだめなら、ログインパスとの2重化でどうだ！→ログインパスを破るフリーソフトがあります・・・

http://www.nclc.co.jp/product/infosec/winmagic/index.html

＞ SecureDocは何を暗号化しているのですか？

＞ SecureDocはOSやシステムファイルを含むHDDを丸ごと暗号化します。

こういったHDD"全体"を暗号化するのが、他の方法と比べて一番安全かと

3.そもそもどうするか・・・

うーん・・・MTGを繰り返す

もしくは

http://pc.security-otoiawase.jp/

こういったエージェント系でも利用して、そういったセキュリティに強い会社を紹介してもらう等でしょうか

社内にそういったことに詳しい人がいれば楽なんですけどね

1.BIOSの意味が分からず。Windowsのパスワードを「BIOS」と設定する人が出てきそう。いや絶対出る！

2．PC支給時にあらかじめパスワード設定

3．個人情報をPCに入れてもらって他の社員にセキュリティを破ってもらうのがいい

BIOSパスワードが有効的に働く条件は以下と考えられます。

a.該当パソコンがその場所から動かせない事

b.該当パソコンの利用者が限られている(一人が理想)

その前提で各回答は

1.BIOSパスワードはBIOSを起動時するときに有効であり、ハードディスクの中身には関係ありません、よって盗難時には全く意味をなさい、またBIOSパスワードが共有の時はパスワードがばれて、他のパソコンのBIOSパスワードのセキュリティが意味を成さなくなる。

2.ハードディスク全体に暗号化して、USBキーとかが無いと暗号が解けない様にする。

3.PCとデータを別管理して、経営者にPCとデータの違いを説明する。

>１．このケースに対して、『起動時のBIOSパスワード』がセキュリティーの低下に繋がるケースがあるが、どういう場合でしょうか？

BIOSパスワードをかけることで、セキュリティの向上につながる可能性は高くなりますが、

BIOSパスワードをかけることで、OS上でのセキュリティの意識は低くなる可能性が高くなります。

一方、BIOSパスワードをかけたとしても、ノートパソコンを複数の人間で利用する場合は、

紙に書いたりメールに書いたりすることが増えます。その分セキュリティは低くなると考えられます。

>２．代案としてどのような案がありますか？

ノートパソコンに限らずデータはその場に保存するのではなく、ファイルサーバを用意して

サーバで一元管理をする。電源を再起動したらそのパソコンは初期化されるとか。[インターネットカフェとかはそうですね。

そうすると、セキュリティの意識はサーバに集中できます。

>３．１．２）により『起動時のBIOSパスワード』がセキュリティーの低下であると判断されたと仮定して、このようなセキュリティー向上をするつもりで、セキュリティーが低下するアイデアが、そもそも出てこないようにするためには（未然に防止される）ためにはどのような対策が社内で必要でしょうか？

なんといってもリテラシーの向上だと思います。うちでは、データをUSBに保存してパソコンに保存しないとか

指導を受けているのですが、そもそもUSBを落とす可能性の方が高いと思うのですが・・・。

１）物理的にHDDを取り外された場合、内部のデータが暗号化されていないノートPCがまだ多い。この場合、BIOSパスワードを過信してデータ自体の暗号化を怠りやすい。

２）HDD自体の暗号化を検討する。

３）ノートPCに限らず、漏洩すべきでない情報は、持って歩ける状態にしない。

　　あるいは、ペアで紛失しない限りその情報の価値がない状態を作るなど、データを分散させる。

　　メールアドレスの紛失を恐れたある会社は、例えばドメイン @docomo.ne.jp を @__5621__ と表記して持ち歩いてたりする。

1.BIOSのパスワードは分解して解析が可能です。

そこからほかの（Windowsにログイン等の）パスワードが推測されてしまう恐れがあります。

BIOSとログインパスワードを別々した場合、パスワードをメモ書きする人も増えるでしょう。

そうなると更に流出の危険性が増します。

2.代案としてはWindowsXP以降であれば、

XPの暗号化と、ログインパスワードを大文字小文字英数字の8文字以上に設定する事が、

パスワードの数は少なくなりますが流出の危険性は少なくなると思います。

3.勉強会を開いて社員全員の知識を向上。

資金が出れば、その勉強会にセキュリティのコンサルを呼んでもいいと思います。

そういう案を出すのは大抵あまり知識のない管理職だったりするので、管理職は絶対参加で。

私の経験では上のことが思い浮かびました。

何かの参考になれば幸いです。

１．

・各自にパスワード管理を任せた場合、それは共通のパスワードになる率が高い

・EP-ROM内のBIOSデータは単純な暗号化をされている事が多く、複合化ソフトが流通している

よって、本来の持ち主の全権限が奪われる可能性がある｡

２．

・定期的なパスワードの堅牢性チェック

・ThinkPad等のBIOSパスワードとして生体認証が可能なものを導入する。

３．

・各種セキュリティに関する知識を持つ。

・統合セキュリティ対策についての知識を持つ。

・攻撃手法についての知識を持つ。

・これらの知見を常に更新する｡

１．起動時にパスワードが掛かっているので、起動できる人間は自分しかいないと考え

　　起動後に必要になるものに関してはなんの対策もしない

　　(オンラインバンクのID/PASSなどをまとめた重要なファイルをデスクトップに普通においておくとか)

２．情報漏えいしては困るものをノートPCにいれない、そもそも持ち歩かない

３．間違ったアイデアが浮かんでこない事って無いと思うので

　　浮かんだアイデアを自分で実際に実行してみてメリット/デメリットを把握してから周知するとかかな

①BIOSレベルでパスワードを掛けられているのを把握した時点で俺だったら余計なことを考えるのをやめ、ＨＤを抜き取る。

このことから、スキを見せないことによって失うものがあり、スキのありそうなセキュリティにあえてすることで得るもの（通報プロセスの実行）を失っているといえる。

②よって、実際の侵入者を想定した柔軟なセキュリティが必要といえる。

（ＥＸ）あえてＯＳのパスワードだけにしておいて、その代わりに正規のログイン手段ではありえないような処理を行われた場合に、自分で重要データを破壊するようなプログラムを組むなど

③対処療法的な発想にならないよう、セキュリティのような相手（敵）が存在する議題の場合は常に問題の本質を捉えた対応を検討し、それ以外はおこなわない。

なんだか自分の会社で起きた出来事のような気がしてならないんですが・・・

答１．起動時のBIOSパスワードに頼っているので、起動後のセキュリティが甘くなってしまったり、スリープなどの復帰からパスワードを要求されない為、紛失後の事を考えても必ずパスワードがある状態ではない事もある。又、起動のたんびにパスワード要求される為、面倒がって簡単なパスワードにする事も。そして、どうしても自分のPC以外からアクセスする必要性が出てしまって、他人のPCから起動したりしてからログインする為に知人のBIOSパスワードを教えてもらったりする事も。BIOSパスだけなら気軽に教えあったり、本体に書いてる人も。

答２．セキュリティに完全は無いので・・・ネタみたいな話を１つ。各自のPCの内部に所有者の個人情報を削除できない形で入れておく（他人に知られたくない情報をたくさん）。PCを紛失したらその所有者の個人情報も公開されるリスクがあるので、所有者は通常の会社のノートPCよりもとても大切に扱うようになる。

答３．ひたすら担当者の教育。もしくは専門業者への相談。

１．BIOSパスワードでは別のPCにハードディスクを接続するなどの方法で中身を見ることが出来ます。

　　BIOSパスワードを解除する方法は他にもいろいろあるかと思います。

　　　　http://www.geocities.co.jp/SiliconValley-Sunnyvale/4291/password...

２．BIOSでハードディスクにパスワードを設定するのが良いかと思います。

　　これであれば一般ユーザでの解除は非常に困難になります。

　　別のPCに接続してもパスワードを入力しないと認識されなくなります。

　　行っている業者もありますが、一段ハードルは高いかと。

　　　　http://www.m-genfactory.com/pass.html

３．基本的に抜け道がある方法は問題があると言わざるを得ません。

　　他にコメントで書かれていた方がいましたが、覚えられないからと言って全て同じパスワードに

　　されてしまうのは防げませんね。。。

　　生体認証を使うのも手ですが、まだ認識率が高くないのが課題かと思います。

１．安心から重要な情報をノートPCに保存してしまう。

例）起動時のBIOSパスワードあっても内蔵HDDを取り出し他のPCの外付けHDDとして認識させれば情報を読み取られてしまう。

２．

・ノートPCに重要な情報を保存しない

・HDDのアクセスパスワード

・HDD全体の暗号化

３．

ノートPCに重要な情報を保存しない

ノートPCのシンクライアント化