出張時のノートPCにおけるサイバーセキュリティ対策案

# 出張時のノートPCにおけるサイバーセキュリティ対策案 ## 概要 [[出張時のノートPCにおけるサイバー脅威分析]] にて抽出、評価したサイバー脅威に対し、対策案を検討する。対策の検討にあたっては、その対策の有用性や現実的に対応可能かを、外部情報を調査しつつ対策案を検討する。対策案の現実性は、サイバーセキュリティに携わるフリーランス（個人事業主）が現実的に出来るかどうかで考える。端的に言えば、大企業でしか買えないような、高額なソリューション等の導入なしに出来る範囲と言うことである。対策案は、どれかに絞ると言うことはしない。これはサイバーセキュリティ対策における基本的な考えにある「多層防御」で対策する上で、選択肢を広く持っておくことが、対策案を実践する上で有用と考えるからである。対策案検討の進め方は、①脅威IDから個別対策の紐づけを行い、②統合・重複排除を行う。前述でも触れているが、この対策案はサイバーセキュリティに携わるフリーランス（個人事業主）が読んで実践できるかどうかで検討している。よってサイバーセキュリティ「専門用語」については、特段の加筆が必要と考えられる場合を除き、用語集や解説の類いは無い。 > **【筆者注記】利害関係の開示** > 筆者は本稿で取り上げた組織・企業・団体・プロジェクト等との業務上の関係、出資関係、競合関係はない。 > 本稿はいかなる外部主体からの委託・資金援助も受けておらず、独立した調査・分析に基づく。 > **本記事の作成プロセス** > 本記事は、運営者とAIの協働により作成しています。作成プロセスおよび品質管理の詳細は、[[サイトポリシー#1.2 AI の利用について]]をご参照ください。 ### 変更履歴 | 版 | 日付 | 変更内容 | |:---|:---|:---| | v0.1 | 2026-02-14 | 対策案検討開始 | | v0.2 | 2026-03-08 | 利害関係の開示と、本記事の作成プロセスを追記 | --- ## G-PHY-01：端末の盗難・紛失への対策 ### 脅威概要空港、ホテル、カフェ等での端末の物理的喪失。ディスク暗号化されていなければデータ流出に直結する。 ### 被害構造の分析ノートPCの物理的喪失がもたらす被害は、単一ではなく以下の3層に分解される： 1. **ハードウェアの喪失**：端末そのものを失う（物理的喪失） 2. **データが第三者の手に渡る**：保存データへの不正アクセス（情報漏洩） 3. **手元にPCがなくなり仕事ができない**：出張中の業務遂行不能（業務中断） Ponemon/Intel調査（2009年）によれば、紛失ノートPC 1台あたりの平均コストは$49,246であり、そのうちハードウェア代替費はわずか3.2%（$1,582）に過ぎず、データ侵害関連が約80%を占める。**ノートPCを1台失うことは、約5万ドルの損失を被ること**——これが端末紛失の経済的現実である。コスト構造の詳細分析については「[[ノートPC紛失コスト評価_調査レポート]]」を参照されたい。端末紛失の経済的現実をふまえると、対策は下記に示す対策の4系統すべてを実施し、多層防御として機能させることが肝要と言える。予防（系統①）と回収（系統②）は端末喪失そのものを回避・軽減し、データ保護（系統③）は端末喪失が情報漏洩に繋がることを防ぎ、検知（系統④）は情報漏洩の被害規模を最小にする。即日発見で$8,950、1週間超で$115,849と、発見の遅延だけでコストが13倍に膨らむ事実[^G01-1]は、検知の価値が暗号化と同等に重要であることを示している。 ### 対策の4系統 #### 系統①：盗難・紛失しにくくする（予防）端末の物理的喪失そのものを防ぐ対策。 1. **インナーバッグの使用** - ノートPCを携行する際は、ポケット付きのインナーバッグに入れて持ち運ぶ - 「PCを移動させる時は必ずインナーバッグに入れる」を定型動作とすることで、裸のPCを手に持って移動する習慣を排除し、置き忘れのリスクを低減する - インナーバッグのポケットにBluetooth紛失防止タグを入れておくことで、系統②（回収）・系統④（検知）の機能も兼ねる - PC本体にタグを貼付する方法と比べ、客先での作業時にタグが見えない利点がある 2. **ケンジントンロック（セキュリティワイヤー）の使用** - ノートPCのセキュリティスロットにワイヤーを接続し、固定物に繋留することで、機会的窃盗（端末をさっと持ち去る）を抑止する。ノートPC盗難防止の最も古典的かつ定番の手段である - ホテル宿泊時での外出や、会議室での短時間離席時に有効。インナーバッグ＋紛失防止タグが「移動中の携行・検知」をカバーするのに対し、本対策は「その場を離れている間の固定」をカバーする - ワイヤー切断やロック解錠により突破可能であり、計画的な窃盗には無力。また、近年のノートPCにはセキュリティスロットが搭載されていない機種が増加している。端末選定時にスロットの有無を確認すること。スロットが搭載されていない機種では、本対策は適用できないため、他の系統（特に系統③のデータ保護と系統④の早期検知）による補完がより重要となる #### 系統①と系統②に共通する行動原則：端末の外見管理端末の外見を「目立たなくする」ことは計画的窃盗の標的になりにくくする一方、没個性であることが機会的窃盗の心理的障壁を下げる可能性もある。犯罪学の窃盗対象選定モデル（VIVA、CRAVED）を参照すると、外見の「目立つ／目立たない」は盗難のフェーズごとに効果が逆転し得るため、単純に一方向の原則としては定めがたい。本項目は継続して考察の余地がある。詳細な分析は別紙「[[端末の外見管理に関する考察（犯罪学の視点）]]」を参照。 #### 系統②：喪失時に発見・回収の確率を上げる（回収）紛失・盗難が発生した後、端末を取り戻す可能性を高める対策。 1. **Bluetooth紛失防止タグの活用（位置追跡機能）** - タグの「最後にBluetooth通信できた位置と時刻」の記録機能により、喪失に気づいた時点で「何時何分のこの場所までは手元にあった」と特定できる - 海外での盗難届提出時に、最終確認地点と時刻を具体的に伝えられる - Apple AirTagの場合、世界中のiPhoneユーザーのネットワーク（「探す」）を通じた位置追跡が可能であり、国際的なカバレッジが広い。出張先が日本国外であることを考慮すると、グローバルなネットワーク基盤を持つ製品を選定すべきである - ※ 本タグは系統④（検知）の置き去り通知機能も兼ねる。運用指針は系統④を参照 2. **OKOBANシールの貼付（受動的回収手段）** - OKOBAN（ https://okoban.com ）は、物品に固有のUID（一意識別コード）を付与し、拾得者がWebサイトにUIDを入力すると所有者にメール・SMSで通知される国際的な遺失物追跡サービスである - 198カ国、2,800以上の空港のLost & Foundオフィスで運用されており、航空業界の紛失物追跡システム（WorldTracer）と統合されている。空港での置き忘れシナリオにおいて、遺失物係がこのシステムを認識している可能性が高い - 電池不要、通信不要であり、技術的な故障点がない。Bluetooth紛失防止タグとは故障モードが完全に異なるため、両者の併用は多層化として機能する - シールには個人情報が表示されず、UIDのみが記載されるため、プライバシーの観点でも問題が少ない 3. **視覚的識別マーカーの貼付（口頭での特徴伝達手段）** - OKOBANシールと併せて、視覚的に見て分かりやすいシール（例：魚の図柄や有名なキャラクターのシール）を貼付する - 紛失時に現地の人や遺失物係に特徴を口頭で伝える際、"My belongings have ID stickers and fish stickers attached to them." のように、言語や文化を超えて容易に想像可能な特徴を提示できる - 技術に一切依存しない最も原始的な回収支援手段であるが、「特徴のない黒いバッグの中の特徴のないノートPC」を他と区別する効果は大きい **Bluetooth紛失防止タグとOKOBAN・視覚マーカーの関係：** 紛失防止タグは能動的検知（自分に通知が来る）であり、電池と通信に依存する。OKOBAN・視覚マーカーは受動的回収（拾得者の善意と行動に依存する）であり、電池も通信も不要である。両者は依存する前提条件が異なるため、一方が機能しない状況でも他方が機能し得る。 #### 系統③：喪失しても情報が漏れない（データ保護）物理的喪失が情報漏洩に繋がらないよう、データを保護する対策。紛失コストの約80%がデータ漏洩に起因するという構造（「[[ノートPC紛失コスト評価_調査レポート]]」参照）を踏まえれば、**本系統の成否がコストの大部分を左右する**。加えて、本系統の中核であるディスク暗号化は、データ侵害通知義務の法的免除にも直結する。日本の個人情報保護法では、「高度な暗号化」が施された個人データの漏えいは個人情報保護委員会への報告義務・本人通知義務の双方が免除される。米国HIPAA/HITECH法にも同様の明示的セーフハーバーがあり、EUのGDPRではデータ主体への通知免除の条件として暗号化が明記されている。つまり、本系統の対策は「データを守る」だけでなく、「インシデント発生時の法的義務・対応コスト・レピュテーション損害を構造的に軽減する」機能を持つ。各法域の免除構造と技術的要件の詳細は「[[暗号化によるデータ侵害通知義務免除_調査レポート]]」を参照されたい。 1. **TCG Opal 2.0準拠自己暗号化ドライブ（SED）の使用** - 自己暗号化ドライブ（Self-Encrypting Drive: SED）は、ドライブコントローラのハードウェアレベルでAES暗号化を常時実行するストレージデバイスである。暗号鍵（MEK: Media Encryption Key）はドライブ製造時にオンボードの乱数生成器で生成され、ドライブの外に出ることがない。暗号化は「常時有効（always on）」であり、利用者が暗号化の有効・無効を選択する余地はない - ただし、**デフォルトではMEKは保護されていない**。工場出荷状態では、電源を投入すれば誰でもデータにアクセスできる。利用者がパスワード（認証キー）を設定して初めてMEKがロックされ、プリブート認証（Pre-Boot Authentication: PBA）が要求される状態となる。この構造は後述のBitLockerのPIN設定と類似しており、「暗号化の存在はハードウェアの物理的特性」だが「実効的な保護の有効化は利用者の選択」という二層構造になっている。**出張用端末では、必ずSEDのパスワード設定を有効化してプリブート認証を機能させること** **SEDとBitLockerの保護範囲の違い：Evil Maid攻撃への耐性。** ※ Evil Maid攻撃はG-PHY-03（端末への物理的不正操作）に属する脅威であるが、SEDの技術的特性の理解に不可欠であるためここで記述する。 Evil Maid攻撃（端末の所有者が不在の間に端末を物理的に操作し、ブートローダーやファームウェアにマルウェアを仕込む攻撃）に対して、SEDと後述のBitLockerでは保護の構造が根本的に異なる。BitLockerはWindowsボリューム（暗号化パーティション）を保護するが、EFI System Partition（UEFIブート領域）は暗号化の対象外である。セキュアブート＋TPMの組み合わせにより、起動時にブートチェーンの改ざんを**検出**し、改ざんがあればTPMが封印鍵を解放しない（＝BitLockerの復号が始まらない）という防御は機能する。しかし、攻撃者がUEFIブート領域を物理的に書き換えること自体は阻止できない。つまり「改ざんされたら気づく」が「改ざんさせない」ではない。一方、SEDではプリブート認証が通るまでドライブ全体がロック状態となるため、UEFIブート領域を含むストレージの内容に攻撃者は一切アクセスできない。改ざんの「検出」ではなく、改ざんの「機会そのものの排除」であり、防護の質が異なる。**Evil Maid攻撃からの内蔵ストレージ保護には、SEDのプリブート認証が最も合理的な選択**である。 **BitLockerとSEDの併用について。** BitLockerとSEDは排他的ではなく、併用が可能である。BitLockerは「eDrive」対応のSEDを認識した場合、ソフトウェア暗号化ではなくSEDのハードウェア暗号化を利用する（ハードウェアアクセラレーション）。ただし、BitLockerのハードウェア暗号化モードについては、2018年にRadboud大学の研究者が複数のSED製品（Crucial MX100/200/300、Samsung 840 EVO/850 EVO等）において暗号化実装の脆弱性を発見し、パスワードなしでデータにアクセスできるケースを報告した[^G01-2]。これはTCG Opal仕様自体の問題ではなくベンダー実装の問題であったが、Microsoftは同年、BitLockerのデフォルトをハードウェア暗号化からソフトウェア暗号化に変更した。現在の環境では、**SEDのプリブート認証（Evil Maid攻撃対策）＋BitLockerのソフトウェア暗号化（多層化）の併用**が、両者の長所を活かす構成となる。 **SEDの回復手段の確認。** SEDのパスワードを忘れた場合、PSID（Physical Security ID：ドライブ筐体に印字された一意の識別子）を用いてドライブを工場出荷状態に戻すことは可能だが、この操作ではMEKが再生成されるため**保存データは完全に消失する**。データ復旧の手段はない。SEDのパスワードとPSIDの管理・記録を出発前に確認しておくこと。 2. **OSレベルによるディスク暗号化** - OSが提供するフルディスク暗号化機能（WindowsのBitLocker、macOSのFileVault、LinuxのLUKS/dm-crypt）を有効化する。ディスク全体を暗号化することで、端末の電源がオフの状態でディスクを物理的に取り外されても、データは暗号化されたまま読み取れない - フルディスク暗号化は、盗難後の攻撃者の行動に一切依存しない**事前完結型の対策**である。暗号化は盗難が発生した時点で既に機能しており、攻撃者がネットワークに接続するか、端末を分解するか、いかなる行動を取るかに関わらず、データは保護されている。この「相手の行動に依存しない」性質が、データ保護の最も信頼できる基盤となる - Ponemon/Intel調査（2009年）では、暗号化導入済み端末の紛失平均コストは$37,443、未導入では$56,165であり、1台あたり約$18,700のコスト差が確認されている[^G01-1]。さらに、暗号化されたデータの漏洩は主要法域でデータ侵害通知義務の免除要件となる。日本の個人情報保護法（施行規則第7条）では、電子政府推奨暗号リスト（CRYPTRECリスト）またはISO/IEC 18033準拠の暗号化が施され、かつ復号鍵管理要件（①鍵の分離管理、②遠隔削除機能、③第三者による鍵行使の不能——のいずれか）を満たす場合、個人情報保護委員会への報告義務と本人通知義務の双方が免除される。BitLocker＋TPM＋プリブート認証（PIN）の構成では、復号鍵はTPMチップ内に格納されデータとは物理的に分離されており（要件①）、かつTPM＋PINの二要素が揃わなければ第三者は復号鍵を行使できない（要件③）。すなわち、暗号化の適切な構成それ自体が、リモートワイプ等の事後的措置に依存することなく法的免除要件を充足しうる（「[[暗号化によるデータ侵害通知義務免除_調査レポート]]」セクション6参照） **電源状態と暗号化の実効性：スリープではなくシャットダウン。** フルディスク暗号化が最大の防御力を発揮するのは、端末の電源がオフ（またはハイバネート）の状態である。スリープ状態では、復号キーがメモリ上に残存しており、理論上はコールドブート攻撃（メモリを急速冷却して内容を保持したまま読み出す手法）等によって鍵が抽出される可能性がある。実際のリスクは攻撃者の技術レベルと物理的条件に依存するが、対策としては単純である：**離席・移動・就寝時にはスリープではなくシャットダウン（またはハイバネート）する習慣を持つ**。これにより、メモリ上の復号キーが確実に消去され、暗号化が「完全にロックされた状態」となる。出張中という高リスク環境では、利便性よりも安全側に倒すべきである。 **プリブート認証（PIN/パスワード）の設定。** BitLockerの場合、TPM（Trusted Platform Module）のみで自動復号する構成がデフォルトだが、この構成ではTPMが搭載された当該端末上で起動するだけで復号が完了してしまう。つまり、端末を盗んだ者がOSのログイン画面まで到達できる状態となり、OSのパスワードが最後の防衛線になる。プリブート認証（起動時のPINまたはパスワード入力）を追加設定することで、TPM＋PINの二要素が揃わなければ復号が開始されず、攻撃者はOSのログイン画面にすら到達できない。出張用端末ではプリブート認証の設定を推奨する。前述のSEDと併用する場合は、SEDのPBA→BitLockerのPINの順に二段階のプリブート認証が求められる構成となり、多層化が実現される。FileVaultの場合は、macOSのログインパスワードがそのまま復号パスワードとして機能するため、別途のプリブート設定は不要である。LUKS/dm-cryptの場合は、起動時にパスフレーズの入力が求められる構成が標準であり、インストール時にディスク暗号化を選択していれば、プリブート認証は既定で有効となる。 **回復キーの管理。** 暗号化の回復キー（BitLockerの回復キー、FileVaultの復旧キー、LUKSの回復用パスフレーズまたはキーファイル）は、端末のハードウェア障害やパスワード忘れの際に暗号化を解除する唯一の手段である。回復キーを端末自体に保存しては意味がない（端末を失えば回復キーも失われる）。以下の原則で管理する： - 回復キーは端末とは物理的に別の場所に保管する（クラウドストレージ、パスワードマネージャー、または紙に印刷して安全な場所に保管） - 出張に持ち出す端末と回復キーの保管場所を同一にしない - 回復キーの保管場所と取得手順を、出発前に確認しておく 3. **フォルダ・ファイルレベルの暗号化** 前述の自己暗号化ドライブ（SED）およびOSレベルによるディスク暗号化は、ストレージ全体を暗号化する。これにより端末の電源オフ時やハイバネート時には極めて強力な保護が得られる。しかし、この「全体暗号化」には構造的な限界がある。認証が通って端末が起動すると、ストレージ全体が復号された状態となり、OS、アプリケーション、そして機密データのすべてが同時に読み取り可能になる。つまりディスク暗号化は、「全てを守る」が認証が通ると「全てを解除する」という**all or nothing**の構造である。本ガイド（G-PHY-01）のスコープである端末の盗難・紛失においては、前述の「電源状態と暗号化の実効性」で述べたとおり、スリープ状態での盗難が問題となる。スリープ中は、特にOSレベルによるディスク暗号化の復号鍵がメモリ上に残存しており、コールドブート攻撃等によって鍵が抽出されれば、ストレージ全体が復号可能となる。シャットダウン・ハイバネートの習慣がこのリスクの主たる対策であるが、フォルダ・ファイルレベルの暗号化は、仮にディスク暗号化の復号鍵が抽出された場合でも、機密データについてはさらに独立した暗号化レイヤーで保護する**多層防御**として機能する。加えて、フォルダ・ファイルレベルの暗号化は、出張時のノートPCの盗難・紛失対策にとどまらない、より広い防御価値を持つ。 - **マルウェアが機密データにアクセスできる時間の最小化。** ディスク暗号化が有効であっても、端末が動作中である限り、ブラウザ経由のドライブバイダウンロードやRAT等のマルウェアはユーザー権限でファイルシステム上の全データにアクセスできる。フォルダ・ファイルレベルの暗号化により、機密データを必要な時だけ復号状態にすれば、マルウェアが機密データに到達できるウィンドウを大幅に縮小できる。この効果は出張時に限らず、日常的なPC利用全般に適用される - **G-PHY-03（Evil Maid攻撃対策）の補完。** ログイン済みの端末に対して第三者が短時間の物理的アクセスを得た場合（ホテル客室等）、ディスク暗号化は動作中であるため防御力を持たない。securefsボリュームがアンマウントされていれば、機密データは物理アクセスを得た攻撃者に対しても保護されるすなわち、フォルダ・ファイルレベルの暗号化は、機密データのみを選択的に暗号化し、必要な時だけ復号状態にする——**最小権限の原則をデータアクセスに適用する**ことで、ディスク暗号化の all or nothing構造を克服する多層の暗号化レイヤーである。 **3a. フォルダレベルの透過的暗号化（securefs等）** securefs（ https://github.com/netheril96/securefs ）は、FUSEベースの透過的暗号化ファイルシステムであり、指定したフォルダ内のファイルを個別に暗号化して保存する。暗号化設計としては、ファイルコンテンツの暗号化にAES-256-GCM（認証付き暗号、AEAD）を使用し、4KiBブロック単位で暗号化・認証を行う。ファイル名の暗号化にはAES-SIV（RFC 5297による決定的認証付き暗号）を使用する。メタファイルの整合性はHMAC-SHA256で保護され、マスターキーの導出にはArgon2id（デフォルト）が使用される[^G01-4]。AES-256-GCMは機密性と完全性を同時に保証するAEAD方式であり、改ざん検知を含む点で単純な暗号化（AES-CBCなど）より堅牢である。利用者は暗号化フォルダをマウントすることで通常のフォルダと同様にファイルの読み書きができ、アンマウントすると内容は暗号化されたblobとなり第三者には判読不能となる。運用上の要点は、**「機密データを使う時だけマウントし、使い終わったらアンマウントする」** という習慣である。これにより以下の防御が成立する。 - 端末でWebブラウジングや動画視聴をしている間も、securefsボリュームがアンマウントされていれば機密データは暗号化されたまま維持される - マルウェアがユーザー権限でファイルシステムにアクセスしても、暗号化されたblobしか見えない - ログイン済み端末に第三者が短時間アクセスした場合も同様に保護される securefs以外にも、VeraCrypt（暗号化コンテナファイル方式）、gocryptfs（FUSEベース、Linux向け）、Cryptomator（クラウドストレージ向け）等が同種の機能を提供する。選定にあたっては、利用OSとの互換性、暗号化アルゴリズムの信頼性、およびプロジェクトのメンテナンス状態を確認すること。 **3b. ファイル単位の暗号化（Officeファイル等）** Microsoft Word・Excel等のOfficeアプリケーションは、ファイル単位でのパスワード保護による暗号化を提供する。Office 2016以降では、Open XML形式ファイル（.docx、.xlsx、.pptx等）に対してAES-256（CBC mode、SHA-2）がデフォルトの暗号化アルゴリズムとして使用される[^G01-3]。ただし、旧バイナリ形式（.doc、.xls、.ppt）ではRC4が使用され、セキュリティ上推奨されない[^G01-3]。したがって、暗号化の実効性を確保するためには**Open XML形式で保存する**ことが前提となる。この方式はsecurefsのようなマウント/アンマウント操作を必要とせず、ファイルを開く都度パスワードを入力する形式であるため、以下の利点がある。 - 別途のツール導入が不要であり、受け取り側の環境にも依存しにくい - ファイル単位で暗号化の要否を判断でき、granularityが高い - 暗号化の状態が個々のファイルに内包されるため、ファイルの移動・コピー・バックアップ時にも暗号化が維持されるただし以下の限界がある。 - パスワード強度に全面的に依存する。短いパスワードや推測可能なパスワードでは実質的な保護にならない - アプリケーション依存であり、Office以外のファイル形式（テキスト、画像、専門ツールのデータ等）には適用できない - 暗号化を「忘れる」リスクがある。securefsはフォルダ単位で自動的に暗号化するが、ファイル単位の暗号化は個々のファイル保存時に意識的に適用する必要がある **3aと3bの使い分け。** 両者は排他的ではなく、補完的に運用できる。securefs（3a）は「機密データを格納するフォルダ全体を一括で保護する」用途に適しており、日常的な作業フォルダの保護に向く。Officeファイル暗号化（3b）は「特定のファイルを他者に送付する際の保護」や「securefsを利用できない環境でのフォールバック」として有用である。また、securefsフォルダ内にOffice暗号化ファイルを格納すれば、フォルダレベルとファイルレベルの二重の暗号化となり、securefsがアンマウントされていない状態でも個別ファイルの保護が維持される。 **3層の暗号化が防御する脅威の対応関係：** | 暗号化レイヤー | 防御対象の脅威シナリオ | 防御が有効な条件 | |---|---|---| | ハードウェアレベル（SED） | ディスクの物理的取り外し、Evil Maid攻撃 | 端末の電源オフ時（PBA通過前） | | OSレベル（BitLocker等） | 端末の盗難・紛失（OS非起動状態） | 端末の電源オフ／ハイバネート時 | | フォルダ・ファイルレベル（securefs、Office暗号化等） | スリープ中に盗難に遭った時のOSレベルの暗号鍵抽出に対するフェイルセーフ、マルウェアによるファイルアクセス（出張時に限らない）、ログイン済み端末への物理的不正アクセス（G-PHY-03補完） | ボリュームがアンマウント／ファイルが未開封の間 | 3つのレイヤーは、同じ脅威に二重に対処する冗長（redundant）ではなく、異なる脅威にそれぞれ対処する補完（complementary）の構造になっている。 **運用上の留意事項：** - **マウント時間の最小化。** securefsボリュームを「面倒だからマウントしっぱなし」にすると、ディスク暗号化と同じall or nothingに退化する。「使う時だけマウント、終わったらアンマウント」の規律が本対策の生命線である - **鍵管理の負担増。** OSレベルの暗号化の回復キーに加え、securefsのパスワードおよびOfficeファイルのパスワードが増える。パスワードマネージャーでの一元管理を推奨する - **マウント中の限界。** securefsボリュームがマウントされている間にマルウェアが侵入した場合、当該ボリューム内のファイルは保護されない。マウント時間を最小化する運用が重要である #### 系統④：喪失に早く気づく（検知）喪失の早期発見は、被害規模を左右する（Ponemon/Intel調査：当日発見で$8,950、1週間超で$115,849——検知の遅延だけでコストが13倍に膨らむ[^G01-1]）。系統③の対策をしていても、系統④の対策は講ずべきである。ノートPCをスリープ、あるいはノートPCの蓋を閉じてもスリープしていない状態で持ち運びしているとき、そのノートPCの系統③の効果は弱いか、あるいは無いに等しいからである。また早期検知できることで、アカウントのパスワード変更、セッション無効化等の**認証情報の保護措置**を迅速に実行できる。 1. **Bluetooth紛失防止タグの活用（置き去り通知機能）** - スマートフォンとタグが離れた際に、スマートフォンに通知を受ける（Apple AirTagの場合、「探す」アプリの"Notify When Left Behind"機能） - ※ 位置追跡による回収支援機能については系統②を参照 **通知の遅延特性について。** この通知は即座に届くわけではない。Apple AirTagの場合、通知が発火するまでにおよそ数百メートルの離脱距離と十数分の時間を要するとされる。これは現時点では調整不可である。したがって、カフェを出た直後やセキュリティゲート通過直後に鳴るようなものではない。しかし、タグなしの場合の検知手段は「次にPCを手に取ろうとした時」か「移動の節目で自分で気づいた時」に限られ、その場合の発見までの時間は数時間から半日のオーダーとなる。十数分での通知は完璧ではないが、タグなしと比較すれば桁違いの改善であり、現在の技術水準における現実的な最良解である。また、十数分の遅延は、通知を受けた時点ではまだ物理的に取り戻せる距離にいる可能性があることも意味する。 **運用指針：通知のミュートは行わない。** ホテル客室にPCを置いて外出する場面など、意図的にPCとスマートフォンが離れる場面でも通知は受け取る。通知が来た際に「これは意図した離脱か」を確認する習慣を持つ。これには3つの意味がある： - **意図した離脱の場合**：通知の受信により、タグが正常に動作していることを確認できる（検知システムの健全性監視） - **通知が来るはずのタイミングで来ない場合**：タグの電池切れ、Bluetooth障害等、検知機能そのものの故障に気づける - **通知が来るはずのないタイミングで来た場合**：想定外の離脱であり、本来の検知として対応できるミュートする癖を付けると、2番目と3番目の区別がつかなくなり、検知機能が「いざという時に動かない」最悪のシナリオを招く。 **タグの配置：インナーバッグとの組み合わせ。** タグはPC本体に貼付するのではなく、系統①のインナーバッグのポケットに入れる。これにより客先作業時にタグが露出しない。ただし、PCをインナーバッグから出して作業中に、PC単体が持ち去られた場合は検知が機能しないというトレードオフがある。もっとも、この場面は「自分がPCを目の前で使っている最中」であり、本人が検知装置として機能している。**PCから手を離す＝移動する＝インナーバッグに戻す**、という動作の習慣化が前提となる。 2. **移動の節目での所持品確認（行動規範）** - 場所を移動するたびにノートPCの所在を確認する習慣を持つ - 特に確認すべきタイミング：ホテル退室時、カフェ・ラウンジの席を立つ時、タクシー降車時、空港セキュリティチェック通過後 - 技術に依存しない基本動作であり、紛失防止タグとの組み合わせで多層化する - ただし、人間の注意力は疲労・時差ボケ・移動のストレスで劣化するため、単独では信頼性に限界がある [^G01-1]: Ponemon Institute, "The Cost of a Lost Laptop," sponsored by Intel Corporation, February 2009. 米国29組織・138件の紛失・盗難事例を分析したベンチマーク調査。1台あたりの平均コスト$49,246の内訳（データ侵害80%、知的財産損失、検知・フォレンジック費用等）および発見までの時間と被害額の関係を報告。 https://www.intel.co.uk/content/dam/doc/white-paper/enterprise-security-the-cost-of-a-lost-laptop-paper.pdf [^G01-2]: Carlo Meijer and Bernard van Gastel, "Self-encrypting deception: weaknesses in the encryption of solid state drives," Radboud University, November 2018. IEEE Symposium on Security and Privacy 2019で発表。複数のSED製品における暗号化実装の脆弱性を報告。 https://www.ru.nl/publish/pages/909282/draft-paper.pdf [^G01-3]: Microsoft, "Cryptography and encryption in Office 2016," Microsoft Learn. Office 2016以降のOpen XML形式ファイル（.docx、.xlsx、.pptx等）のデフォルト暗号化アルゴリズムはAES-256（CBC mode、SHA-2）。旧バイナリ形式（.doc、.xls、.ppt）はRC4であり非推奨。 https://learn.microsoft.com/en-us/office/2016/security/cryptography-encryption (2026-02-14 閲覧)。技術仕様の詳細は [MS-OFFCRYPTO]: Office Document Cryptography Structure を参照。 https://learn.microsoft.com/en-us/openspecs/office_file_formats/ms-offcrypto/ [^G01-4]: netheril96, "securefs Design," GitHub (docs/design.md)。ファイルコンテンツ暗号化にAES-256-GCM（AEAD）、ファイル名暗号化にAES-SIV（RFC 5297）、メタファイル整合性にHMAC-SHA256、マスターキー導出にArgon2id（デフォルト）を使用。4KiBブロック単位で暗号化・認証し、ブロック更新ごとにCSPRNGで新規IVを生成。 https://github.com/netheril96/securefs/blob/master/docs/design.md (2026-02-14 閲覧) --- ## G-PHY-02：ショルダーサーフィンへの対策 ### 脅威概要公共空間での画面・キーボード操作の目視による盗み見。飛行機内は隣席との距離が近く特にリスクが高い。 ### 対策案 1. **プライバシーフィルターの準備** （必須） - ノートPCを選定する段階で、プライバシーフィルター入手が可能か確認しておく - プライバシーフィルターの有効性は、[[出張時のノートPCにおけるサイバーセキュリティ対策案#プライバシーフィルターの有効性評価]] を参照。 2. **座席選択と物理的配置の工夫** - 壁際・窓際の座席を優先（背後からの視線を遮断） - 飛行機：窓側座席 - カフェ：奥の席、壁を背にする配置 - 画面を通路に対して斜めに配置 3. **作業内容の制限** - 公共空間：公開情報の閲覧、スケジュール確認程度 - 専用空間：機密情報の編集、重要データの閲覧、パスワード入力を伴う作業 - 必要最小限のデータのみ持ち出す 4. **技術的補助対策** - 画面明度を必要最小限に - ダークモード活用 - 画面自動ロックの短時間設定 5. **警戒意識** - 定期的な周囲確認 - 機密情報表示時の特別警戒 ### 詳細・補足 #### プライバシーフィルターの有効性評価プライバシーフィルターを「必須」とする判断の根拠について、以下の調査結果に基づき評価を行った（詳細は別紙「[[プライバシーフィルターの有効性調査レポート]]」参照）。 **脅威の実態：** [[出張時のノートPCにおけるサイバー脅威分析#脅威ID G-PHY-02（ショルダーサーフィン）]] （注記）を参照。Ponemon/3Mの実地実験により、ビジュアルハッキングの脅威が定量的に実証されている。 **政府機関の推奨：** フランスANSSI（国家情報システムセキュリティ庁）は、出張時のセキュリティガイドにおいてプライバシーフィルターの装着を明示的に推奨している[^G02-1]。NIST CSFを参照した出張セキュリティ解説においても、旅行用セキュリティツールの一つとして言及されている[^G02-2]。 **有効性の確認：** マイクロルーバー技術により、±30°を超える角度からの画面視認を物理的に遮断する。側方からの視線（飛行機の隣席、カフェの隣テーブル等）に対して高い防護効果を持つ。 **認識すべき限界：** - 背後からの直接的な覗き見には無防備（設計上の制約） - 境界角度付近では防護が段階的であり、一部視認可能な場合がある - カメラ撮影や反射面経由では無効 - 画面の明るさ・色再現性に若干の影響がある **総合判断：** プライバシーフィルターを「必須」とする判断は**妥当**。ただし、これは「抑止の第一層」であり、座席選択・作業内容制限・画面設定調整などの行動・運用面の対策との複合運用が前提である。完全な防護ではないが、発生確率の高いシナリオで被害を大幅に軽減する。 [^G02-1]: ANSSI / economie.gouv.fr, "Entreprises : comment protéger vos données sensibles lors de déplacements à l'étranger ?" https://www.economie.gouv.fr/entreprises/protection-donnees-a-l-etranger [^G02-2]: Faisal Yahya, "Cybersecurity for Travelers: Ensuring Digital Safety on the Go." https://faisalyahya.com/cybersecurity-essentials/cybersecurity-for-travelers-ensuring-digital-safety-on-the-go/ #### 副次的にショルダーサーフィン対策となる技術的措置上記の対策（1〜5）はショルダーサーフィンへの直接的な対策であるが、本来は別の目的で導入される技術が、結果的にショルダーサーフィン対策としても機能するケースがある。以下はその代表例であり、他の脅威IDの対策として検討する際にG-PHY-02への副次的効果も認識しておくべきものである。 **生体認証の活用：** 生体認証（指紋認証、顔認証等）の本来の目的は、認証の確実性と利便性の向上である。しかし、ショルダーサーフィングの観点からは重要な副次的効果がある。パスワードの手入力は、覗き見攻撃者にとって最も価値の高い窃取対象の一つであるが、生体認証では認証行為そのもの（指紋センサーへのタッチ等）は目視されても、同一の生体情報は複製できないため、「見られても盗めない」認証となる。つまり、ショルダーサーフィングの「成果」を無力化する。 **パスワードマネージャーの自動入力機能：** パスワードマネージャーの本来の目的は、強固なパスワードの生成・管理と入力の効率化である。しかし、自動入力機能により手打ちが不要になるため、キーストロークの盗み見という攻撃機会そのものが消失する。マスターパスワードの入力場面は残るが、これを上記の生体認証でロック解除する運用とすれば、公共空間で「パスワードを手入力する場面」をほぼゼロにできる。 **両者の組み合わせによる効果：** 生体認証とパスワードマネージャー自動入力を組み合わせることで、ショルダーサーフィングにおいて最も狙われる「パスワードの手入力」という場面自体がほぼ排除される。これは、プライバシーフィルターや座席選択といった「見えにくくする」対策とは異なり、「見えても意味がない」状態を作り出すアプローチであり、防護の質が本質的に異なる。なお、これらは他の脅威ID（認証セキュリティ全般）の対策として検討・記載し、G-PHY-02への副次的効果としてクロスリファレンスする方針とする。主要なパスワードマネージャーにおける生体認証対応状況については、別紙「[[生体認証に対応しているパスワードマネージャの一例]]」を参照のこと。 #### 対策の特徴技術的対策より**行動・運用面の工夫のほうが実効性が高い**脅威である。単一の対策ではなく、複合的アプローチが現実的： - プライバシーフィルター + 座席選択の工夫 - 作業内容の制限 + 画面設定の調整 - フェーズによる使い分け（移動中は閲覧のみ、ホテルで編集作業） - 生体認証 + パスワードマネージャー自動入力による「入力場面の排除」（副次的効果） --- ## 次のステップ他の脅威IDについても同様に対策案を検討し、最終的に統合・重複排除を行い、フェーズ別（出発前準備・移動中・滞在中・帰国後）に配置する。