カテゴリー: ネットセキュリティ

当サイトでもいくつかのツールをClickOnceで配布していますが、Windowsの設定によってはブロックされることがあります。ActiveDirectoryで企業のセキュリティポリシーが適用されている場合もありますが、個人PCでレジストリなどを編集できる場合は以下の手順で回避することができる場合があります。

（レジストリの編集は自己責任でお願い致します。また編集方法の詳細は適宜ググってください。また本来ブロックするべき出所不定（未署名）のアプリケーションを使えるようにするわけですので、ご自身で安全と判断できるアプリケーションにのみ実行してください。）

現象：「セキュリティ設定は、このアプリケーションがこのコンピューターにインストールされることを許可していません。」と表示され先へ進めない。

本来なら警告が出つつも「閉じる」の左に「インストール」ボタンが並び先へ進めるはずですが、それがありません。

Winキー押して「regedit」などと入れ、レジストリエディターを開きます。そして、上部の検索欄に「コンピューター\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\Security\TrustManager\PromptingLevel」をコピペしていれるか左のツリービューから辿って書きの画面に行きます。

右ペインの上から2番目の「Internet」をダブルクリックし、「値のデータ」欄をDisabledからEnabledに書き換えOKを押します。

これで先の画面に「インストール」ボタンが出現すると思います。ただしツール自体が未署名の場合は依然としてスマートスクリーンの警告（青ダイアログ）が出ます。そちらは「詳細」リンクをクリックすると進めると思います。

ちなみにこの編集は保存操作や再起動なしに適用されます。なので、必要なツールのインストール中にだけ一時的にEnabledにしてOKし、レジストリエディターをそのままにしておいて、インストール終了後にまたすぐDisabledに戻しておくのも良いかも知れません。

　σ(^^)はメールのセキュリティに危惧が強いほうで、S/MIMEやPGPといった暗号化メールの普及を願う一人です。ただ、これらは双方が導入していなければやりとりはできませんし、比較的一般的なメーラーで導入が容易なS/MIMEは電子証明書が有料なものが多かったりとなかなか業務でも利用できる機会は少ないです。

　ではせめて、と添付データだけはパスワードで暗号化をすることを勧めています。意外なことにMicrosoft Office自体には閲覧を制限するパスワード機能はありませんので、なにかしらのコンテナで暗号化する必要があります。最近はAES暗号も使えるzipなんかもいいんですが、セキュリティに厳しいサーバーだと.zip形式の添付がついたメールをはねるところすらでてきていますので、個人的にはPDFがオススメです。最近のAcrobatはPDFファイルに添付ファイルを埋め込む機能がついています。レポートをPDFに変換し、その元ファイル（WordやExcelファイル）を必要に応じて埋め込んで渡す、というのが多いです。相手がOffice使ってて当然とばかりにWordファイルを送りつけるのも個人的には抵抗がありますしね。で、PDF自体は暗号化機能をもっているので、添付ファイルごと暗号化してしまえば良いわけです。今のところPDF添付をはじく設定のメールサーバーというのは聞いたことがありません。

　さて、電子証明書と違ってパスワードによる暗号化の場合はそのパスワードの伝達方法が問題になります。これが漏れたら意味がありません。暗号化ファイルを添付したメールの本文に書いておくというのは論外です。と思っていたら、最近「パスワードは別途メールします」と直後にもう一通別のメールで送る、という方法を採っている人を複数見かけました。これもあんまり意味はないでしょうね。あるメールが読まれているということは、その前後のメールも読まれるという可能性は高いです。送信側のミスで間違った相手に送ってしまった場合の予防策という向きもありますが、これも連続して送る分には同じ間違いを犯してしまう可能性は高いんじゃないでしょうか？やはりできるならパスワードは電話などの別手段で伝えることが望ましいでしょうね。ただしFAXのように物理的に残るものは避けるべきでしょう。

　ただ、σ(^^)のように夜行性だとやはりメールで済ませたくもなります。比較的付き合いがあってケータイのメールアドレスがわかっている場合は、パスワードのみそちらへ送ったりします。もちろん「これがパスワードです」なんて書いてはいけません。「さきほどPCのメールへお知らせした件です」みたいな感じで単独ではなんのことかわからないようにします。ケータイ上の情報って意外とPCとは隔離されているので安全ではないかと。

　ではケータイのアドレスもわからない時は？σ(^^)は相手だけが知り得るような情報を使うようにしています。相手にもらった名刺にある情報をつかって、「電話番号の下五桁です」とかしておけば、単にメールを傍受した無関係な人には展開できないでしょう（産業スパイに狙われたりすればまた別ですが）。以前に打合せに尋ねた時に食事でもしていれば、その時出た趣味やプライベートな内容を反映させるのも有効かも知れません。

　でもこの手の方法は同一の添付ファイルを複数の担当者に一斉送信する時なんかにはやりづらかったりしますよね。

　みなさんはどうされてますか？良いアイデアがあれば是非聞かせてください。

Engadget Japanese

　これ面白いですね。相手の写真を台の載せることでその相手に発信できる電話機で、高齢者向けに考案されたんだとか。最初に誰かが電話番号データの入った写真を用意してあげないといけないんでしょうけど、それができてしまえば確かに簡単そう。

　というか、RFIDやバーコードを使うんだとすれば、名刺やチラシにも応用できそうですね。ポストに入ってた宅配ピザのチラシを電話機の上に置くとかけられたりすれば楽ちん（←死語？）ですよね。

追記：

　あー、こういうのってPCにもリーダーつけて、公開鍵認証による電子署名＆暗号化の公開鍵として名刺が使えたりすると便利かも知れませんねぇ。

イメーション株式会社｜FlashGO! USBフラッシュメモリ（FG-128USB2, FG-256USB2, FG-512USB2, FG-1GUSB2）
　USBフラッシュメモリをコレ↑の256MBに買い換えてみました。これに買い換えた理由は、
・回転式でフタが分離しない
・セキュリティ機能が便利
の２点です。
　あの小さなキャップは使用中に置き場に困るので、このデザインは非常に関心しました。端子むき出しで持ち運ぶと、一緒に入れた何かを傷つけそうですし。
　セキュリティ機能とは、一般的にファイルにパスワード・ロックをかける機能を指します。USBフラッシュメモリは、仕事でもちょっとしたファイルの受け渡しに便利なので、打ち合わせなどで先方から何かデータを入れてもらったりします。すぐにPCに移せばいいのですが、うっかりそのまま落としてでもしたら大変なことになります。そこで、暗号化（パスワードロック）をすることで、万一に備えることが重要です。
　最近では多くの製品がユーティリティを提供しているのですが、多くは暗号化（パスワードロック）に専用のアプリケーションが必要で、相手にそういったツールを利用してもらうことは難しいことが多いです。その点、このFlashGo!は秀逸で、あらかじめ暗号化部分を別パーティションとして分割しておくだけで、特に専用ツールをインストールしなくとも暗号化保存をすることができます。ありそうでなく、ずっと求めていた仕様です。
　具体的には、接続するとマイコンピュータに２つのボリュームがマウントされます。片方のドライブは最初容量2MBで、開くとImationDiskManagerII.exeという実行ファイルだけが入っています。これを実行するとパスワードを聞かれるので、正しい値を入力すると、フルサイズのドライブが再マウントされる、というイメージです（再マウント後はアプリは見えない）。アプリを実行する形式なのは微妙に残念ですが、再マウント後は取り外すまで通常ドライブとして読み書きできるので、一般的な暗号化ソフトが付属するタイプのUSBフラッシュメモリフラッシュメモリ製品よりは使いやすいでしょう。
　パーティションとして分割してしまうので、大きめのサイズのファイルを入れようとすると、どちらのボリュームにも入らない、みたいなことが起きうるのが残念といえば残念ですね。フォルダ扱いならなお良かったんですが、Windowsのファイルシステムの制約でしょう。
＃あっ、Macではセキュリティ側のドライブは読み書き不能です。
　ちなみに、暗号化ドライブだとパフォーマンスが落ちるかどうか、HDBENCH3.30で計測してみました。

	Read	Write	Copy
非暗号化ボリューム	7699	4437	558
暗号化ボリューム	7708	5101	548

　書き込みがむしろ速いくらいですが、まぁ誤差の範囲でしょう。遅くならないだけで上等だと思います。
　機密性の高いファイルをやりとりされる方にはオススメです。先日2GBタイプもリリースされましたし。

暗号バッグ [公式サイト]
　昨今、インターネット上で情報をやりとりすることの危険性が意識されつつあります。…いや、実際そうでもないか。メールは本人しか読めないと頭から信じている人もまだまだ多いですね。わかっていてもPGPとか難しいそうで手が出せないという人もいるでしょう。
　いずれにせよPGPのような比較的安全な方法がもっと手軽に利用できるようなインターフェイスが求められているのは間違いありません。
　やはり公開鍵認証という枠組みそのものが、日常生活でお目にかかる何にも似ていないことが障壁を高くしているんだと思います。公開鍵と秘密鍵？？会社の上司や家族に使わせようと思えば、デスクトップOSの「ゴミ箱」のような直感的なメタファーが必要だろうと常々感じていました。
　そんな折り、「NETWORK WORLD」７月号[goo雑誌ナビ]で「暗号バッグ」というソフトウェアを知りました。
　公開鍵認証では、相手に渡しても良い公開鍵をホームページなどで公開し、データの送り手にはそれを使って暗号化をしたファイルを送ってもらいます。暗号を解いて中身を取り出す（復号化）には、本人だけがもっている秘密鍵が必要になります。この公開鍵と秘密鍵のペアの概念がわかりずらいのが問題だったワケです。
　そこを「暗号バッグ」では、“バッグ”というメタファーを用いることで直感的なユーザ・エクスペリエンスを実現しています。本ソフトでは公開鍵を含んだファイルを“バッグ”と捉え、「自分だけが開封できる空のバッグを渡し、それに機密性の高いファイルを入れて送り返してもらう」という考え方をとっています。わかりやすいですよね？更に易しい説明は公式サイトのこちらをどうぞ。
　一度取得した空のバッグは何度でも複製して利用できますし、暗号化強度自体もPGPベースのようで、単にパスワード認証だけのZipアーカイブなどを使うよりは数段強固と考えて良いでしょう。
　これはブレイクするんじゃないでしょうか？

古田の暗号バッグ

MD5: de7e048b7b547fcaab63f116b1b27674

　試しにσ(^^)の暗号バッグを公開してみます。何かσ(^^)に機密データを送りたい場合にご利用下さい。

　面白いから、他にも一般ウケしようなメタファーを考えてみよう。
○名刺メタファー
　連絡するにはまずその人の“名刺”を入手してから送る、ってのは自然な気がします。現在のvCardのようなフォーマットに公開鍵が載せられれば、メーラーでの扱いが随分楽になるんじゃないでしょうかね。
○直通トンネル
　暗号化クライアント自身に、公開鍵に含まれるメールアドレスへ自己送信するような仕組みがあれば、“その人へ直結したフォルダにファイルを放り込む”ようなユーザ・エクスペリエンスができそう。
○集荷エージェント・メタファー
　ポスペみたいなエージェント・アプリケーションで、“先方のエージェントに取りに来てもらう”みたいなのはどうでしょ？