-インテル・アンチセフト・テクノロジーとは?-
UltrabookなどモバイルPCや無線の公衆回線が進化するにつれ、外でパソコンを使う敷居が低くなり、自宅や会社からパソコンを持ち出して使用する機会が増えてきました。これはユーザー側からすると非常に嬉しいことです。
しかし、これにはリスクが付き物で、外に持ち出すということは紛失や盗難に合う可能性が会う可能性が高くなり、結果として個人情報や企業の機密情報の流出というセキュリティ面での不安が残ります。また、盗難されることでパソコン本体という高額な資産を失ってしまいます。
これらのセキュリティ面をハードウェア技術で解消しようと言うものが、インテル・アンチセフト・テクノロジー(通称:インテルAT)です。
紛失や盗難の対策ってハードディスクの暗号化ことじゃないの?
っと考える方が多いと思います。しかし、インテルATは考え方が異なります。
盗難を検知することにより、パソコンそのものを起動不可にすることができます。
例えば、盗難されたパソコンがハードディスクの暗号化をされていると、情報の流出は防げますがハードディスクを取り替えられると普通のパソコンとして使われてしまいます。
インテルATではシステム自体を無効化(ロック)することによって、ハードディスクを交換しても、USBや光学メディアでブートしようとしても起動できないようにすることができます。このようなシステムが普及すると、盗んでも起動できないパソコンには価値が無いと認識が広がれば、パソコン自体盗難が減るものと考えられます。
それ以外にも位置情報を検出し、現在、端末がある場所を把握することも可能です。
盗難はどのように検知するの?オンラインじゃないとダメなの?
結論から言うと、オンラインでもオフラインでも検知(設定)が可能です。
盗難されたと検知する方法としましては、下記のようなものが挙げられます。
・盗難自体に気づいた場合は、ネットワークでコマンドを送信してロックする。
・一定期間、管理サーバーに接続されなかった場合に盗難とみなしてロックする。
・システム起動時のパスワード等の認証で一定回数失敗した場合にロックする。
もちろん、これらのロックされてしまったシステムは、正規の利用者に返却された場合、ロックを解除することも可能です。
つまり、泥棒や非正規な利用者から見てパソコン本体を「価値の無いもの」にしてしまうことにより、心理的、金銭的にも盗難、データの漏えいのリスクを下げることが可能になります。
PCの盗難を想定して、インテル・アンチセフト・テクノロジー動作を検証しよう
-インテル・アンチセフト・サービスを試してみよう-
■まずはアンチセフトサービスを選択しよう。
インテル・アンチセフト・テクノロジー(以下、インテルAT)対応製品は下記のインテルのHPで確認できます。(関連トピックにソフトウェア又はサービスプロバイダが載っています)
http://www.intel.com/jp/support/services/antitheft/sb/CS-030334.htm
今回はこの中で最もメジャーだと思われる、インテル・アンチセフト・サービスを試してみることにします。(このサービスは同社の子会社であるマカフィーが提供しています)
他に日本国内で有名なのは、ノートン・アンチセフトとマカフィー・アンチセフトだと思います。
■インテル アンチセフト・サービスをセットアップしよう。
(アカウント作成-ダウンロード編)
このサービスはWindows7/8(32bit/64bit)、.Net Framework4.0.30319(4.5を入れておけば間違い無いです)が必要になります。あらかじめインストールしておきましょう。
今回のレビューではアンチセフト・サービス対象となるvPro機能搭載PCはWindows7Ultimate(64bit)、遠隔操作を行うPCにはWindows8Pro(64bit)を使用しています。
インテル・マネジメント・エンジンが インストールされている場合、インテルATのタブを開きます。まだセットアップを行っていないのでインテルATの状態は未登録(橙色の矢印)となっています。
この画面の「インテル盗難防止テクノロジーの詳細を参照するには、ここをクリックしてください」(緑色の矢印)をクリックしてセットアップをはじめましょう。
ブラウザが起動し、インテルATの英文のページが開きます。
右下のMore Informationの部分に「Intel Anti-Theft Technology free trial」というリンクがあるのでクリックします。
下記の画面が表示されたら、
「Run The App Now」をクリックすると、「Download now」のバナーが表示され、それをクリックすると、WEBインストーラーが起動し、お馴染みの「アプリケーションの実行 セキュリティの警告」が表示されるので実行をクリックします。
ここで適切な.NET Frameworkがインストールされていないとエラーで弾かれ、最初からやり直しです。
無事にインストールが終わると、インテル・アンチセフト・ディスカバリ・アプリが起動します。選択肢が無いのでそのまま「インテル・アンチセフト・サービスを試す」をクリックします。
すると、インテル・アンチセフト・サービスの体験版のページへ飛ばされます。
試す前に、要求スペックを確認しましょう。
・OSがWindows7/8(32/64bit)
・Intel6シリーズ又は7シリーズのチップセット(AT3.0/4.0)
・第2/3世代目のCoreiプロセッサ
他のスペックはWin7以降のOSを普通に使っていれば満たせるものなので省略(^^;
確認が終わったら、中央の「Try Now」をクリックします。
次にマカフィーアカウントのページが表示されます。私は初めて同社のサービスを利用しますので、アカウントの作成(Create Your Account)を行います。
入力フォームに従って、メールアドレスやパスワードを入力し、マカフィーアカウントを作成します。すると、Review Your Orderのタブが開けるようになり、価格が$0(Free)であることを確認し、「Place My Order」をクリックします。
すると、使用期限などが表示されます。
「Download」をクリックしましょう。
ライセンスの同意画面が出てきますので、「I Agree」でダウンロードがはじまります。
■インテル アンチセフト・サービスをセットアップしよう。
(セットアップ編)
ダウンロードしたファイル名は「McAfeeSetup.exe」です。
(アンチセフトなど具体的なファイル名にすべきなのでは・・・)
とりあえず、実行しましょう。インストーラーが起動します。
MMORPGのパッチ当てのように次々とファイルがダウンロードされます。
数分で完了します。
インテル・アンチセフト・サービスのセットアップ画面が開きます。
セキュリティの質問と答えを2つ登録する必要があります。
アカウント作成サイトでよく見かけるパスワードを忘れたときの秘密の質問と同じ要領です。
とりあえず、適当に入力しておきましょう。
学校で好きな科目は何ですか? → 給食
子供の頃に憧れていた職業は何ですか? → 勇者
・・・まじめに考えても、これくらいふざけていた方が、セキュリティ的に強いような気がしますがどうでしょうか(^^;
お次にインテル・アンチセフト・サービスのパスワードとメールアドレスの登録を行います。パスワードは全て数字で必ず8桁必要です。
デフォルトではOFFになっていますが、デバイスの現在位置を追跡するのチェックを入れておきましょう。(実験的に・・・)
これでセットアップは完了です。
下の画面のようにアイコンが保護の確認の完了に変化するまで1分程度かかりました。
再起動後、インテル・マネジメント・エンジンのインテルATのタブを確認すると、インテルATの状態が登録済みに変化していました。
これでセットアップは終わりです。
■インテル アンチセフト・サービスを活用してみよう。
インテルATが有効になった状態でタスクトレイのインテルATのアイコンをクリックすると、下記の画面が表示される。
画面中央あたりの「インテル・アンチセフト・サービスWeb管理コンソール」をクリックするとブラウザが立ち上がり、マカフィーのインテル・アンチセフト・サービスのページに飛びます。
ログオンするには、先ほど作成したマカフィーアカウントのメールアドレスとパスワードを入力します。
すると、インテル・アンチセフト・サービスのWEBマネージメントコンソール(以下WEBコンソール)のページが開きます。
現在の状態は「ノーマルモード」で動作しています。
デバイスの位置は私の住んでいる大阪が示されていますね。
これは紛失・盗難されたとき、インターネットに接続されていればどこにあるのかどうか確認できますね。社内や取引先など自分の行動範囲の場合は紛失の可能性が高いですし、得体の知れない場所にを示す場合は盗難の可能性がありますね。
-突然ですが・・・PCが盗難されたようだ(´;ω;‘)! さて、どうする?-
とりあえず、このパソコンの紛失・盗難を想定して「デバイスを保護する」をクリックし、保護してみましょう。ここでは2つの保護操作を選択できます。
ここでは、「デバイスをロックする」と、「ステルスモード」の両方を試してみましょう。
-「デバイスをロックする」を試す-
こちらは名前から見ても直感的ですね。これはインターネットにつながっているとき、ロックせよ!という信号(一般的にポイズンピル[毒薬の意味]と呼ばれます)を送りシステムをロックします。
実際に試してみましょう。
(´・ω・‘)正規の所有者「パソコンが盗まれたかも・・・」
(;=゚ω゚)IT管理者「それはまずい。パソコンを使えないようにしなければ!」
(`・ω・´) 窃盗犯「このパソコンで機密情報を売り捌くか♪」
先ほどの画面で「デバイスをロックする」を選択し、続行をクリックします。
ロック後に表示されるメッセージやアンチセフトサービス(先ほど設定済みの8桁の数字)のパスワードの設定できます。
ここではメッセージのみカスタマイズしてみましょう。
本当は「Intel ATテストでロックしたお(^w^)!」と表示させたかったのですが、文字は数字やアルファベットの一部のみで半角の括弧なども入力できませんでした。
なのでここは「Intel AT Test de Lock sitao!」で妥協しました(^^;
その後、シャットダウンをクリックします。
(`・ω・´) 窃盗犯「!いきなり電源が切れやがった!不良品かよ!?」
するとデバイスはまもなくロックされますという表示になり、数分後に電源が切れました。(OSの終了処理もしないのでシャットダウンというよりは電源のブチ切りに近いです)
その後、別の端末からWEBコンソールを確認してみると・・・
デバイスがロックされていると表示されていますね。
(`・ω・´) 窃盗犯「気を取り直して起動だ。そして情報を戴く!」
(`・ω・´) 窃盗犯「なんだ!?BIOSから起動しねぇぞ!」
試しに、このロック状態で電源を入れてみましょう。
下記のような画面となりシステムが起動しません。
この画面では5分のカウントダウンが行われ、正常なパスワードが入力できないと勝手にシャットダウンします。
先ほど入力した「Intel AT Test de Lock sitao!」も表示されています。
(;=゚ω゚)IT管理者「これで、窃盗犯はパソコンを使えなくなったはずだ・・・」
そして、時は流れ・・・
PCを盗難した窃盗犯は逮捕されて、盗難されたPCが手元に返ってきました。
(;=゚ω゚)IT管理者「それじゃあ、使える状態に戻すか。」
紛失または盗難されたデバイスが正規の所有者の元に帰ってきた場合、ロックを解除することができます。
上記の画面で、1.User Password(上記で設定した8桁の数字)を入力するとログインできるようになります。但し、このままだとWEBコンソール側から見ると、紛失・盗難設定のままなので、起動するとこんなメッセージが表示されます。
WEBコンソール側で、デバイスの保護を解除してやると、「デバイスはまもなく通常モードに戻ります」と表示され、数分後に同期されて通常モードへの移行します。
(;=゚ω゚)IT管理者「これですっかり元通り。インテルATのおかげだな」
(´・ω・‘)正規の所有者「便利な技術なんですねー」
これがデバイスをロックした場合の一連の動作の流れです。
-「ステルスモード」を試す-
ステルスとは「隠密」。つまり隠れて何かを行います。
このステルスモードは重要なファイルを保護しつつ、犯人を泳がせておくという機能です。
具体的には
・PCの電源は切らない。(シャットダウンしない)
・インターネットに接続中、デバイスの現在位置を追跡します。
・Microsoft Officeなど重要なファイルにはアクセスできない。
・一定期間インターネットに繋がらないと自動ロックされる。
つまり、犯人から見ると普通にPCが使える状態です。しかし、重要なファイルは保護しつつ、パソコンの現在位置を追跡することにより、(その気になれば)犯人に近づくことも可能。しかも、一定期間インターネットにつながらないとロックする・・・ これは泥棒を捕まえる為の機能なのかと思わせるところです(^^;
早速試してみましょう。
(`・ω・´) 窃盗犯「パソコンを盗んでやったぜ!」
(´・ω・‘)正規の所有者「パソコンが盗まれた・・・どうしよう・・・」
(・∀・)警官「そのパソコン、インテルAT対応だね。よしっ!ステルスモードに設定して犯人を追跡だ!」
こんなやりとりがあるかは別として、
ステルスモードを選択し、実行してみましょう。
すると数分後にステルスモードへ移行します。
(`・ω・´) 窃盗犯「このパソコン普通に使えるじゃん♪ 機密情報もいただきだぜ♪」
(`・ω・´) 窃盗犯「ちっ!このExcelファイル、ロックされていて開けないぜ!」
ステルスモードに入っても、パソコンは普通に使えます。
但し、テキストファイルやMicrosoft Officeファイルはロック(暗号化)されています。
ちなみにロック(暗号化)されたファイルのアイコンには鍵のマークが付いているので、予めどのようなファイルがロック(暗号化)の対象になるのか確かめておくと良いでしょう。
(`・ω・´) 窃盗犯「ロックされているなら別の端末からアクセスすれば・・・」
(`・ω・´) 窃盗犯「ちっ!暗号化されて何が何だかわからねぇぜ!」
ネットワークに接続されたPCから、ロックされたファイルへアクセスできますが、暗号化されており中身がさっぱりわからない状態となります。
ちなみに元のファイル内容はこちら。
(`・ω・´) 窃盗犯「そういえば、インテルATとか言うセキュリティ技術があるって噂があったよな・・・アンインストールしてやるぜ!」
(`・ω・´) 窃盗犯「何ぃ!メールアドレスとパスワードが必要だと!?」
インテル・アンチセフト・サービスのアンインストール時にはマカフィーアカウントが必要です。
一方、その頃・・・
(´・ω・‘)正規の所有者「犯人はこの場所に居るみたいです・・・」
(・∀・)警官「現場へ急ごう!」
インターネットへ接続されている間は随時、位置情報を確認することができます。
(実際には数分ごとにサーバーと同期を行い、位置情報が更新されます)
(´・ω・‘)正規の所有者「あっ!おまわりさんこいつです!」
(・∀・)警官「窃盗罪で逮捕する!」
(`・ω・´) 窃盗犯「何だと!?」
こうして、窃盗犯は逮捕され、正規の所有者にところにPCが返ってきました。
もちろん、このままでは一部のファイルがロックされているので、WEBコンソールからステルスモードを解除します。
数分後に通常モードへと切り替わります。
私の環境だとこれだけでは暗号化が解除されずに開けませんでした。
そこで、WEBコンソールのファイルを暗号化するのチェックを外しました。
これで今まで通り、普通にファイルを開けるようになりました。
(´・ω・‘)正規の所有者「ありがとう!インテルAT!」
<位置情報の精度について>
有線LAN使用した場合、位置情報はIPアドレスから得ることとなり、あまり精度はよくありません。
チームメンバーのharmankardonさんの場合、自宅から約30km程度の誤差がありました。同じく、ナンチャンさんの場合、岡山県岡山市に住んでおられるのに対し、IPアドレスの判定では島根県松江市の島根県庁となっていました。試しに無線LANアダプタを使用し、位置情報を有効にしたiPhoneのテザリングで接続すると何と誤差が約30mにまで縮まりました。
(ナンチャンさんのレビューより。花のアイコンが実際の自宅の位置で、デバイスの位置情報とかなり近くなっています)
高精度な位置情報を得ることのできるモバイル端末を組み込むことで、より精度の高い追跡ができるようになると思われます。
-その他の機能について-
・ファイルの保護
マイドキュメントのファイル(但し動画やexeファイルなどは暗号化されない)、Microsoft Officeのファイルなどを暗号化します。
・自動ロックタイマー
紛失・盗難の対象となるPCがインターネットに接続されていない場合、遠隔操作によるデバイスのロックができません。この自動ロックタイマーは逆転の発想で、一定期間インターネットに接続されていないと紛失・盗難にあったと判断し、デバイスをロックします。
・休暇モード
デバイスを2日以上使用しない場合は、自動ロックやロック機能を無効にすることができます。
・修理モード
他のユーザーにPCを使用させる場合、Microsoft Office等のファイルにロックを掛けることができます。
その他、パスワードの変更機能や、上記で行ったようなデバイスのロックメッセージの変更が可能です。
ちなみにインテル・アンチセフト・サービスのヘルプは全て日本語化されており、WEB上から確認できるので、意味の分からない単語や各モードの動作を知りたい場合は簡単に調べることができます。
■まとめ
インテルATはなかなか面白いセキュリティ技術だと思う。
携帯電話のように常時、公衆回線(電話回線・インターネットなど)に繋がっているなら、ロックを掛けやすいのでしょうか、パソコンは常にインターネットに接続されているとは限りません。
インテル・アンチセフト・サービスでは、このような事も想定され、一定期間、サーバーと同期が取れない場合のロックが用意されているところに好感が持てます。
但し、ファイルの保護に関してはMicrosoft Officeなど一部のファイルに限られる為、情報漏えいを防ぐという意味ではBitLockerなどと併用する方が良いと思われます。(そういう意味ではロックされるファイルが決められている修理モードの実用性はあまり無い様な気がします)
企業ならPCが盗難にあったら、デバイスのロックだけで無く(例え復帰できなくても)HDDのデータそのものを消去したいという場合もあると思います。今回のサービスにはこの辺りの項目の種類がやや乏しく感じました。(別のアンチセフト・サービスにはあるのかも知れませんが・・・)
デバイスの現在の位置情報を把握できる点も評価できます。少なくとも日本では、実際に警察やセキュリティ企業にデバイスの回収を依頼することは少ないと思いますが、位置によって紛失なのか盗難なのかを区別する目安にはなると思います。
いずれにせよ、このようなアンチセフト・サービスは外に持ち歩くモバイルPCなら個人・企業問わず、欲しい機能だと思います。PCと言えば、処理速度という性能に目を向けがちですが、今後はこのような「保険」があるかどうかも重要な選択項目になってくるかと思います。
ZIGSOWにログインするとコメントやこのアイテムを持っているユーザー全員に質問できます。