2021年8月17日 / 最終更新日時 : 2022年7月1日 officeの杜 業務テクニック

手軽にドライブやファイルを暗号化するLockMyFileを使ってみた

ここ数年、企業に於いては、PPAP意味ないよであったり、VPNでテレワークしてるのに情報流出であったり、また未だにUSBメモリ紛失で謝罪といったケースが相次いでいます。

これらの多くはユーザの「セキュリティリテラシー」が問題の中心で、PPAPに至っては旧時代のやり方を自動化するという意味のないやり方の問題であったりします。寧ろテレワークが当たり前の時代だからこそ、必要なのがクライアントサイドのセキュリティ向上だったりします。

今回、EaseUS社のEaseUS LockMyFileを試す機会があったので、ケース毎に有効な活用法を見てみたいと思います。


図:本体はこんな感じ

今回必要なファイル等

  • EaseUS LockMyFile - 無料体験版と本体が同じファイルです
  • USBメモリーキー

このアプリは、ファイル等に対してのロック(アクセス制限のこと)、暗号化の2つを主な機能としています。今回、VMware Workstation Player 16 + Windows10 Pro環境にインストールし、追加HDDをセットして作業を行っています。

セットアップ

セットアップ自体は非常に簡単に終わります。ダウンロードしたインストーラを起動して指示に従ってすすめるだけ。このファイルロックソフトは、ライセンス形態が1ヶ月、1年間、買い切りの3タイプがありますが、買い切りでもさほど高額というわけではないので、用途に応じて選ぶと良いでしょう。

  1. EaseUSのサイトからEaseUS LockMyFileの無料ダウンロードをクリックしてダウンロード
  2. インストーラを起動する
  3. ライセンスを購入してる人は登録画面にてメアドとコードを入力する
  4. インストール完了後にパスワード設定画面が出ます。これは起動時にパスワードを入れないとLockMyFileを起動させない為のものですので、必ず登録しておきましょう。

図:インストール自体で迷うことはありません

図:ロックソフト自体もパスワードでロックしておく

LockMyFileの機能

アプリの名称がLockMyFileとなっているため、ファイル暗号化の為のソフトウェアと思いがちですが、ファイル/フォルダ/ディスクドライブと総合的に暗号化を施すことができるアプリになっています。ひとつひとつ試してみましょう。

ファイル・フォルダに対して

もっともベーシックなのがファイルに対しての操作。一番良く利用するパターンになると思います。

隠す

Windowsでも隠しフォルダや隠しファイルというのが存在します。一見するとそこに存在しないように表向き非表示にする機能です。主にシステムフォルダや重要な設定ファイルに対して標準で隠し設定がされていたりします。

ファイル・フォルダを右クリック -> Ease US LockMyFile -> 隠すを実行し、パスワードをセットするだけです。管理はアプリ本体のローカルHDD -> 隠すに一覧になっており、状態が隠されたになってるものが、実行中のファイル・フォルダになります。実行してみると、ステータスは確かに「隠された」になっていますが、依然としてファイルは見えています(隠しファイル属性がついてるわけではないようだ)・・・・本当に隠されているのか?

セーフモード、他のアカウント、別の仮想マシンからアタックしてみました。

  • セーフモード:ファイルは確かに見えなくなっています。フルパスで開こうとしてもファイルは無いと言われます
  • 別アカウントローカルの別アカウントを追加して、ファイルを開こうとしてもファイルは見当たりません
  • 別仮想マシン:Windows8.1の別の仮想マシンにファイルの入った仮想HDDをつなげて見たところ、ファイルが表示されてる・・・ここについては、後述の外付けドライブに対してを参照してみてください(普通は実機でHDDを取り外して他のマシンでというケースは想定されていない)

ただし、自分自身でも再起動してからは、LockMyFileを起動して表示してあげないと見えないので注意が必要です。

※Windows標準の隠しファイル属性は見えないだけで、フルパスではアクセス出来たりします。

図:右クリックから作業ができる

ロックする

フォルダやファイル、ドライブ自体に対するアクセスを抑制します。開こうとするとパスワード要求される為、パスワードを知らないと開けないという仕組みですね。試しにフォルダに対して、ロックを実行してみて開こうとした様子が下のスクショ。パスワードを入れるとフォルダに入ることが可能です。フォルダを閉じようとすると再度ロックしますか?と確認してくれるので、開きっぱなし防止になります。

ここでもいくつか実験をしてみました。

  • ショートカット:ロックフォルダ内へのファイルのショートカット。ロック中だときちんと開けない処理になっています。
  • 別アカウント:別アカウントで入ってロックされてるフォルダを開くと、やはりロックされてる表示が出ます。

同一のマシン内であればロックはアカウントを跨いでも継続されてるので安心です。

図:アクセス抑制をする為の機能です

保護する

保護はファイルやフォルダ等について追加、削除、変更などが出来ないようにロックします。フォルダ自体誰でも開けますが、内容の改ざんや誤ってファイルを削除・移動してしまう、勝手に追加されてしまうといった事を防ぐことが出来ます。個人でもブログのネタなどをフォルダ毎管理していて、いつのまにか違うフォルダにそれが入っていたり、重要なネタ帳が削除されていたとして、探すのに無駄な時間を消費した経験が。。

プロパティのセキュリティタブを見てみると、Everyoneのみ(読み取り専用のパーミッションのみ)となっており、管理者であっても削除は出来なくなっていたりします。

細かく制御ではなく一括で読み取り専用になってしまうので、注意。

図:アクセス権限自体に制御が入る

図:OSのパーミッション制御が入ってる

監視する

指定のフォルダにファイルの追加や削除などのアクションを行うと、ロギングされる機能です。クラウドストレージのBoxなどにもある機能で、ユーザがどのようなアクションに対してログ取りするかを指定する事が可能です。

指定以下のサブディレクトリ以下も見てくれますし、特定ファイルの除外も可能。個人的にはBoxのようにアクションに対して、メールやTeamsなどのチャットツールに通知を飛ばしてくれる(ウェブフック等に対して)とありがたいと思いますが、あくまでも現在はロギングをするだけの機能になります。

図:アクションの指定と除外の指定

図:ファイルを追加するとロギングされました

外付けドライブに対して

前述までの作業は基本的にはローカルドライブに対するロックになります。基本そのマシンから取り外されることを想定していない為、例えば仮想マシンのように取り外しが容易なケースで検証をすると、ロックは有効ではない状態で見えたり、改ざんは可能です(普通は仮想マシンでは使わないので、実際にはこれが問題になるケースはないと思いますが)

しかし、外付けのUSBメモリの場合は当たり前のように取り外して他のマシンで使ったりするわけで、このケースに於いてのファイルのロックや隠しはどこまで有効なのかを検証してみました。

隠す

USBメモリ上のファイルに対して隠すをセットしてみました。仮想マシン上ではこれまで通り、ファイルは隠されており、直リンクのパスでもアクセスは出来ない状態になっています。この状態のUSBメモリを他のマシンで開いたらどうなるか?pdf2_17.pdfというファイルを隠して実験してみました。

  • macOSで開いてみた:実機のmacOSにUSBメモリを差して開いてみたところ、ファイルは確かに隠されていました。ターミナルからも確認しましたがファイルは見当たりません。
  • 他のWindowsで開いてみた:Windows8.1の仮想マシンに差してみました。ファイルは確かに隠されていました。

他のPCでも利用するケースでは、こちらの機能で隠すと有効です。ローカル側でも取り外された場合と同じ処理にしてくれたら、外付け・ローカル区別なくシンプルになるのではないかなぁと思う次第。

但し、隠したファイルのパスワードを忘れると、削除も出来なくなってしまうので、注意が必要です。

図:他のOSでもきっちり隠されてる

ロックする

一方で、ロックをした場合はどのようになるのか?ローカルの場合にはOSのパーミッション設定を利用してセットされているようなのですが、果たして。ということで同じパターンで検証をしてみました。

しかし、こちらの場合、前述までのロックと異なりロックを実施すると、ファイルがEXE化されます(Windows専用)。

  • macOSにて開く:CrossOver MacのようなWineアプリで開いてみましたが、開くことは不可能でした。
  • 他のWindowsで開いてみた:Windows8.1の仮想マシンに差してみました。EXEを実行しパスワードを入力すると、新たにドライブが現れてそちらにファイルが展開される仕組みになっていました(ロックというよりコンテナ暗号化に近い処理です)

別の仮想ドライブとして開かれるので終了する場合は、画面に表示されてる鍵アイコンをクリックして終了しないと、取り外しが出来ません。そこだけ注意が必要です(でないとUSBメモリを取り外せない)。

図:ちょっと変わった挙動でファイルを開きます

他の機能について

ファイルロックソフトという名称になっていますが、前述のロック機能の他にも、便利な機能があります。

暗号化

ファイルやフォルダを暗号化して、1個のコンテナファイルにする機能です。一般的によくある暗号化の機能と同じですね。GFL形式とEXE形式の2つがあり、前者は独自の形式なのでLockMyFileがないと解除が出来ません。後者は自己解凍形式であるため、LockMyFileがない環境でもパスワードが一致すれば、中身を取り出すことが出来るので、ネットワーク経由でファイルをやり取りする場合に使える形式です。

自己解凍形式のEXEの場合、macOSでもWineやCrossOver Macを使って実行して解凍し取り出す事が出来ました。

暗号化の形式はAESを利用しているようですが、鍵の長さなどを設定する画面がないので、暗号化の強度を設定できませんが、初心者にとってはこのほうが楽とも言えます。

図:単純なファイル暗号化も可能

LAN上の共有フォルダのロック

ファイル共有(SMB)にて、ファイルサーバにあるフォルダに対して、フォルダのロックを掛けることが出来る、というので実際に自宅のNAS環境にある新しいフォルダというフォルダに対して、ロックを掛けた場合、他の環境からはどう見えるようになるのか?を実行してみることにしました。

といっても、この機能は前述の外付けドライブに対してのロックと全く同じ機能。ロックを実行すると対象のフォルダがEXE化されます。

但し注意点として、マウントしていないネットワークドライブは一覧に出てこない(事前にログインしておく必要がある)、また必ず、必要なフォルダのみ選択するようにしましょう。今回のNASはルーターに外付けHDDでNAS化しており、SMB的には古いsmb v1だと思います。

ロックするとフォルダの中身はunlock.exeと$FILELOCK$というフォルダのみになり、unlock.exe実行してパスワードを入れて解除する仕組みです(そのため、macOSでは動作しませんし、CrossOver Macでも動作しませんでした)。解除時にまず、ネットワークドライブのログインIDとパスワードを求められる事があります。

解除すると、新しいネットワークドライブが割り当てられてその中にファイルが展開されます(切断されたドライブと表示されていますが、アクセスはきちんと出来ます)。

※SMBのバージョンによるのか?マウントしておいても表示されないネットワークドライブがあったりする(多分、smb v3以上?の場合なのか)。

ロック解除についてですが、自身の環境では失敗しました。この機能はちょっと使えないかな。

図:ネットワークドライブのファイルの中身をロックする

図:ロック後のフォルダの中身

安全削除

この機能は暗号化やファイルの保護とは無関係ではあるものの、PCを使ってる際に気になるセキュリティ項目の1つである「完全削除」を実現する為の機能です。PCに於いてファイル削除は単純に目次(インデックス)から削除してるだけで、実態のファイルはディスク上に残ったまま。なので、復元ソフトを使えば簡単に復元可能です。

USBメモリ等は典型的で、重要なファイルを入れてなかったから紛失しても大丈夫・・・とはならないんですね。過去に入れていた重要ファイルを発掘されてはたまりません。ので、この機能を使って、ファイルの完全削除(無意味なデータをその領域に対してデフォルト7回上書き)をすることで、復元ソフトで復元出来ないようにしてくれます。

削除したいファイルやフォルダを追加して、安全削除をクリックするだけ。試しにファイル復元ソフトRecuvaを使って、Deep Scanしてみました(ファイナルデータなどの強力な復元ソフトだとどうなるかはわからないけれど)が、単純に削除したものは簡単に復元出来てしまいましたが、本アプリで安全削除したものはリストに出てきても、復元は出来ませんでした。

図:ゴミ箱から消しただけでは削除とは言えないのです

※合わせて以下の動画を見てみると、この単純なファイル削除の危険性がわかると思います。意識して完全削除しないでメルカリに出したりしたら大変なことになるかも。

【データ流出】ハードオフのメモリカードの中にはなんと。。。
この動画を YouTube で視聴.

他製品との比較

クライアント側のファイルロックや暗号化などはこれまでも多数の製品が出ていますが、フリーソフトでも実現出来ている分野でもあります。しかし、それぞれはそれぞれの分野に特化したアプリであるため、1パッケージで賄えず、複数のアプリを使って環境を実現する必要があります。それらとLockMyFileを比較してみましょう。

項目名 Bitlocker VeraCrypt FileCrypt LockMyFile
コスト フリー フリー フリー 有償
インストール 不要(Pro以上のみ) 必要 必要 必要
対応OS Windowsのみ マルチプラットフォーム マルチプラットフォーム Windowsのみ
ソースコード プロプライエタリ オープンソース オープンソース プロプライエタリ
ロックや非表示 未対応 未対応 未対応 可能
持ち運び Windowsのみ 可能 可能 Windowsのみ
説明書 日本語? 英語のみ 英語のみ 日本語
使いやすさ ⭐⭐⭐ ⭐⭐ ⭐⭐ ⭐⭐⭐⭐
起動ディスク暗号化 可能 可能 未対応 未対応 
ファイル単位暗号化 未対応 可能 可能 可能
USBメモリ対応 可能 可能 不明 可能
ファイル完全削除 未対応 未対応 未対応 可能

一長一短あり、またそれぞれに特徴があるため、使い分けが必要になるかと思います。一般的な日本の環境だと、Windows10 Pro以上ではBitlockerが利用可能であるため、OSの起動にロックを掛けるというのはエンタープライズでも使われてる機能です。一方で、Bitlockerはパーティション単位での暗号化となるため、ファイル単位の暗号化が出来ない。

また、VeraCryptなどはTrueCrypt時代からフェイクドライブ機能やトラベラーズディスク機能、暗号化コンテナなどにも対応していて、良いのですが、いかんせん技術資料等が基本英語で、使い方も結構クセが強いです。VeraCryptについては過去にも記事化してるので、よかったら参照してみてください。

複数のOS間で使えるか否かでは、VeraCryptが圧倒的ですが、実際の実務ではLinuxやmacOSを併用する環境のほうが珍しいので、アドバンテージと言えるほどではないかなと思います。

これで安心!USBメモリを暗号化運用しよう

製品に対しての感想

概ねファイルフォルダの「保護」についての機能が1パッケージに収まっており、小難しい設定も無く使えるという点がとても良い反面、前述のレビューにもあるように、暗号化でのオプション設定が無い点やローカルドライブのフォルダに対して隠す機能が、そのPC内でだけ有効な点等気になるところもありました。

普通に家庭用のPCで使うには十分な機能ですので、本アプリとしての立ち位置としてはOKであるものの、企業などで採用する場合には以上の点に注意が必要かと思います(一方で、他製品などの場合は、1パッケージでは無いものが多いので、複数のアプリを使って実現しなければならないので、その点にアドバンテージがあると思います)

また、要望を出すとすれば、TPM2.0を利用した起動ディスクの暗号化Acronis True ImageはBitlockerと互換で対応)、PGPを使った公開鍵暗号方式を利用した暗号化とPPAPの解決策などが装備されていると、エンタープライズの世界でも採用出来るかなぁと思います。本来PPAPなどさっさとやめて、お互いの企業で公開鍵と暗号鍵でのやり取りであれば、パスワードをメールに平文で送るなんて真似する必要も無いのですが、クライアント側が面倒だと言ってやらなかった結果がPPAPですね(クラウドストレージだと、相手側でアクセス禁止にされてる例もあり、万能ではないのです)。

また、他の暗号化ソフトにも言えることとして、パスワードに頼らない暗号化(例えば、顔認証や指紋認証セキュリティキー)の対応が無いのが残念。パスワードレス時代に備えてぜひ装備していただきたいところ。

関連リンク

カテゴリー
業務テクニック
タグ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

Google

前の記事

Google Apps ScriptでHTMLメルマガ配信システムを作る【GAS】
2021年8月5日
Google

次の記事

Google Apps Scriptでスプレッドシートの非表示行を除外してデータを取得する【GAS】
2021年8月28日