リスク評価は難しい

最近はてブを付けたのだが、ハイバネーションファイルのセキュリティ上の問題を指摘しているページがあった。

Windowsセキュリティ・ワンポイントレッスン 第1回 ハイバネーションの危険性

同じ事なら、ページファイル(UNIX 系 OS ならスワップファイル、スワップパーティション)にも言えて、稼働中のメモリ内容がディスクに保存される。まぁ、中身を漁る側からすれば、ハイバネーションファイルの方が有用な情報が得られる可能性は高いが、根は同じで、こちらは通常、シャットダウンしてもそのまま。一応、Windows ではレジストリの操作で、シャットダウン時にクリアするように出来るらしい。

シャットダウン時に作業用のシステムファイルをクリアする - 日経トレンディネット

原理的には確かに、ハイバネーションファイルやページファイルから情報を抜き出すことは可能だろう。ただ、先のページでも

どうすれば安全性と利便性、およびコストとの折り合いをつけることができるか

と書いてある通り、このリスクに対してどう対処すべきか、という事は考える必要がある。

ただ、いつも思うのだが、リスクが正しく評価できるか、というのは常に疑問である。

個人的にはこう思う。

  • この危険性は PC が盗難・紛失にあった場合のことで、通常利用の範囲で起こるリスクではない。
  • 長期間、留守宅に置き去りにするようなことが無い限り、盗難・紛失の事実は短時間で把握出来る。例えば、キーロガーに感染していることに気づかず、問題を把握していない状態が長期間続くようなことは、このリスクには無い。
  • 上記の事から、リスク状態が発生してから短時間で対策を取ることが出来る。
  • 本来、機密性の高い情報であれば、暗号化した形で保存する、といった対策をしていると仮定する。
  • そういった機密性の高いファイルを開いた状態でハイバネーションをすれば、先のサイトが示すとおり、容易に情報を抜き取ることが可能。
  • ところで、そういったアプリケーションを閉じた後にハイバネーションに入った場合には、どの程度問題なのか?
  • 確かに、ハイバネーションの直前で機密性の高いファイルを開いていた場合は危険性が高いと思うが、ファイルを閉じてから時間経過(操作の手数)によって、問題の情報は別の情報で上書きされる可能性が高い。
  • 個人的には、たまに、メールソフトを常駐させている状態でハイバネーションをすることがある。
  • この場合、まず、メールサーバに対するパスワードを変更することで、「パスワードの漏洩」という問題は簡単に回避出来る。このとき重要なのは、3つ目の項目に書いた「リスク状態が発生してから短時間で対策を取ることが出来る」という点。

と、ここまで書いてきて思うのは、「金かけてまで対策を打つ必要あるのか?」ということ。

このハイバネーションファイルが問題になる確率は、下記の確率のかけ算になる。

  • PC が盗難・紛失する確率。
  • その PC の電源を入れて中身を見てやろうと思う人間に拾われる確率。
  • その人間が、普通に電源を入れてログオン出来ないと分かった時に、他のデバイスからブート、もしくは、分解して HDD を取り出してまで中身を漁ろうとする確率。
  • さらにその人間が、前述のようなハイバネーションファイルに関する知識、もしくは、ツールを持っている確率。
  • そして、実際にハイバネーションファイルに有用な情報が存在する確率。

リスク評価は「確率×被害総額」だから、想定される被害総額がとてつもなく大きいような機密情報を持っている場合はともかく、そうでなければ、このリスクに対してかけられるコストは、ほとんど 0 だろう。もし、そんな価値のある情報なのであれば、ハイバネーションファイルの問題を気にする前に、その辺の PC で扱うこと自体が間違いではないか?

普通の用途であれば、導入できる対策としては先のサイトでも紹介されている TrueCrypt の導入が関の山だが、TrueCrypt 自体は無料でも、TrueCrypt の導入自体は別のリスクを生む。先のページでも書いてあるが、

TrueCryptの開発者によると、Windows OSのハイバネーション周りのAPIは公開されていないため、マイクロソフト以外のドライブ暗号化システムがハイバネーションに完全に対応することは現時点では困難だと言われています。

ということは、TrueCrypt を入れたからと言って安全ではなく、むしろこれが原因でトラブルが発生しうる可能性を示唆している。こういった暗号化ソフト自体が引き起こすトラブルは、実際に某メーカー製のソフトで目の当たりにしたことがあるが、ソフトがトリガーにならなくても、鍵の管理の仕方を間違えば、ハードウェアの故障で HDD の中身を取り出そうとしたときには、すべてを失っていることになる。そこにファイルがあるのが分かっていても。

暗号化は、それ自体は確かに強力なのだが、正しい知識を持って、正しい運用をしないと、可用性に支障を来す。まっとうな暗号は決して気休めではなく、鍵がなければ、そのデータは本当に失われたものに等しい。

って、考えると、個人的には「気にして対策するほどのことか?」と思う。もちろん、重要機密事項を扱うのなら話は別だが、少なくとも個人のノート PC では、これまで通り、普通にハイバネーションを使って良いと思う。

技術的な理論によるセキュリティ問題は、それはそれで重要なことだと思うが、現実に落としてリスクを考えてみないと、気にしなくても良いようなものまで危険に見える。こんな事より、普段使いのアカウントが管理者権限を持っていたり、オートログインをしている方が、遙かに危険なのだが。