教職員向けの暗号化対策

ファイルの暗号化について自分の経験を共有します．

パソコン全体の暗号化

原則

• 紛失やハッキングの対策として，必ずパソコン全体を暗号化しておく．最近のOSは，ログインのときに復号してくれるようになったので，一旦暗号化してしまえば以降面倒なことはない．
• はじめての方は，誤った操作によるデータの損失を防ぐために，最初はデータが消えてもよいパソコンで試すとよい．
• 消えたら困るようなデータは，常に別のパソコンや外部記憶媒体にバックアップする．機密データについては，さらに暗号化しておく．

OS別の情報

• Windows (BitLocker) -> Microsoftの解説
• Mac (FileVault) -> Appleの解説
• Linux (LUKS)

個別のファイルやフォルダの暗号化

特に機密性の高い情報は，パソコン全体の暗号化と別に，さらに暗号化しておく必要があります（OS起動後にウィルスによって盗まれることを防ぐために）．自分は，TrueCrypt -> VeraCryptを使っていましたが，最近のLinux版VeraCryptはスピードが遅くて，情報環境機構推奨のCryptomatorを使うことにしました．スピードやマルチOS対応などの点において，Cryptomatorは，優れていると考えます．ただ，Microsoft BitLocker, Apple FileVault, Linux LUKSほどの信頼性がなく，あくまで自己責任で．

• Cryptomator: Home, ある日本語解説のサイト（参考程度にして下さい）

送信

機密性の高くない情報

適切に暗号化していれば，メールで送信してよいでしょう．ただし，下記のことに注意してください．

• Zipの暗号化を使わない（AESで暗号化することが分かれば別。）．代わりにPDFまたはMicrosoft Officeの暗号化を使うこと．
• 暗号キーはメールで送らないこと（一つのメールでファイルを，もう一つのメールで暗号キーを送ることが時々見かけるが，暗号化における意味はほとんどない）．事前に共有した共通鍵を使うか，電話や学内便，手紙，教職員ポータルなど，別の送信経路で送る．
• 暗号キーは，基本的にランダムな8文字-12文字を使うこと．推測しやすいものを使用しない．ランダムなパスワードの生成に困る方は，生成サイトを利用するとよい．
• 送信する前に必ず宛先のメールアドレスを確認すること！

機密性の高い情報

いまの全学メールは，基本的に全世界に公開されていると考えると良いでしょう（Gmailが導入されたときに情報担当理事や情報環境機構の説明．興味のある方は，趙の指摘をご覧ください）．よって，機密性の高い情報は，暗号化していてもメールで送ってはなりません．代わりに，教職員ポータルは，サイボウズという日本の会社に委託しているので，それの「メッセージ」を使うとより安心と思われます．

• Zipの暗号化を使わない（AESで暗号化することが分かれば別。）．代わりにPDFまたはMicrosoft Officeの暗号化を使うこと．
• 暗号キーは事前に共有した共通鍵を使うか，電話や学内便，手紙，メールなど，別の送信経路で送る．
• 暗号キーは，基本的にランダムな12文字を使うこと．推測しやすいものを使用しない．ランダムなパスワードの生成に困る方は，生成サイトを利用するとよい．
• 送信する前に必ず宛先を確認すること！
• 送信したことをメールで相手に知らせるとよい（記録を残すため。口頭や電話など、記録の残らない方式は不可）。
• 失効した情報は速やかに削除すること。