9万円台で指紋センサー標準搭載──オフィスユーザー向けの“標準”ノート「nx6125」（4/5 ページ）

[石川ひさよし，ITmedia]

電源投入時からスマートカードでセキュリティ

　さて、nx6125の特徴であるセキュリティ機能をもう少し詳しくチェックしていこう。製品ページでも紹介されている活用方法を確認してみると、

• 電源投入時のパスワードまたはスマートカードによるプロテクション
• BIOSアクセス時のパスワードまたはスマートカードによるプロテクション
• HDDデータの暗号/復号化のドライブロック・パスワード
• Windowsログイン時のパスワードまたは指紋、またはスマートカードによるプロテクション

　……といったように、パスワード／指紋／スマートカードの3つを組み合わせたプロテクションが可能となっている。このうちスマートカードリーダーだけはPCカードタイプのオプション提供であるため、標準構成ではパスワードと指紋認証が本人認証の柱となる。今回はスマートカードリーダーを付属したモデルを試用しているため、これを含めてテストしている。

オプションのPCカード型スマートカードリーダー。今回は管理用とユーザーの2枚のスマートカードで試してみた。このスマートカードを、入館証や社員証などと兼ねる統合管理ソリューションも存在する

　まずは電源投入から通常のWindowsへのログオン認証までを、スマートカードを用いて以下の各シチュエーションにおいてテストした。

• （1） スマートカードリーダー付き、スマートカード無し
• （2） スマートカードリーダー付き、一般ユーザー用スマートカード
• （3） スマートカードリーダー付き、管理者権限スマートカード
• （4） スマートカードリーダーを外して起動

　（1）のパターンで電源投入すると、投入直後に「Insert Smart Caed into reader」とスマートカードを挿してくれ（挿さないと起動できませんよ）といった旨の警告が表示される。もちろんスマートカードを挿さない限り先には進めないほか、そのまま様子を見ていると自動的にシャットダウンが行われる。いわゆるBIOSパスワードを設定した状態のものだが、これら管理をスマートカードで行えるようになっている。

「スマートカードを使う」というBIOS設定時にスマートカードを挿さずに起動した場合に表示されるアラート

自動的にシャットダウンされる

　次は（2）のパターン。ユーザー権限のスマートカードを挿入すれば、先ほどのメッセージは表示されず、認証をすませた後Windows XPの起動プロセスへと進むことができる。

　ただし、電源投入後にBIOSアクセスを試みた場合、「Invalid card insert」と（この部分へのアクセス権限のない）無効なカードである旨のメッセージが表示される。BIOSアクセス権を管理者のみに設定し、一般ユーザーにはBIOSアクセス権のないカードで使用するといった利用が可能というわけだ。

スマートカードに設定した権限とその設定により、PCそのものを起動させないといったこともできる。これは権限なしのスマートカードを挿して試してみたところ

　そして（3）のパターン。管理者権限があるカードでは、先ほどユーザー権限ではアクセスできなかったBIOSへアクセスがもちろん可能だ。製品購入後、最初の起動で管理者が各種セキュリティ設定を行う感じになると思われる。

　ここでnx6125のBIOSメニューを確認しておこう。同機はメーカー製ノートPCだけあって、自作PCのそれのようにこと細かい設定は行えないシンプルなものである。メニューは「ファイル」「セキュリティ設定」「ツール」「詳細設定」の4つに分かれており、ファイルメニューでは設定の保存と復帰、ツールメニューではそのままHDDやメモリのチェック機能が搭載されているといったもので、nx6125で肝となるのはセキュリティ設定メニューと詳細設定メニューの2つだ。

nx6125のBIOSメニュー

　セキュリティ設定メニューには、「管理者パスワード」「電源投入時パスワード」「パスワードオプション」「ドライブロックパスワード」「スマートカードセキュリティ」そして「デバイスセキュリティ」「システムID」が用意されている。パスワードの重要性は周知の通りだが、スマートカードセキュリティのサブメニューにて、この機能を電源投入時から利用可能にするかどうかを設定できる。スマートカードを用いた製品でも起動時（たとえばBIOSアクセスなど）からスマートカードで認証できるこの機能は、ならではのものといえる。

電源投入時にスマートカード認証を有効にするオプション

　もう1つ、デバイスセキュリティメニューではパスワードやスマートカード以外の方法、たとえば物理的にデバイスやポートを遮断し機能をオフにすることで情報流出を防ぐための設定メニューとなる。企業用途で重要なところといえば、CDブートやフロッピーブート等の起動系となりそうだ。CD-ROMブート可能なOSなどもあるため、そうした標準搭載OS以外からのデータアクセス防止にも有効となる。

各機能を有効／無効にできるデバイスセキュリティメニュー

　では最後となる（4）のパターンをテストしよう。

　これまでスマートカードによって保護されてきた各種アクセスだが、スマートカードリーダーがPCカード型ということで、簡単に着脱が可能。それを抜き取ったらどういう挙動をとるのかというテストになる。

　実際試したところでは、BIOSからはスマートカードを利用する設定になっていたものの、リーダーを抜いた状態でも起動は可能だった。ただしその際には起動時のAdministratorパスワードが要求されるといった結果となった。だがここはやはりリーダーをそもそも本体に内蔵する、あるいは物理的にリーダーを抜き取ることが不可能なロック機能を搭載するのが理想となりそうだ。

　なおスマートカードを利用している場合には（購入後の管理者の設定によるが）、スマートカードがパスワードの代わりとなり、Windowsログオン時のキーボードによるパスワード入力が不要となる。