ドライブを暗号化している場合は、ファイルのバックアップに関してはすでに時代の先を行っていることになります。しかし、それらには注意すべき理由もあり、特にこの考えにまだ慣れていない場合に当てはまります。
暗号化されたバックアップは、復元できる場合にのみ安全です。驚くべきことに、さまざまな問題が発生して完全にロックアウトされ、バックアップが使用できなくなる可能性があります…危険はそれだけではありません。
バックアップの安全性はそのキーと同じくらい安全です
当然のことのように思えますが、ロックアウトされることは依然として一般的です。
邪魔にならないことを 1 つ理解しましょう。暗号化されたドライブの問題はまったく複雑ではありません。
暗号化されたバックアップは、技術的な問題が原因で失敗する可能性があり、実際に失敗します。たとえば、SSD は 100% の健全性でも故障する可能性があり、HDD も不滅ではありません。追加の 2FA ツールは、他のテクノロジーと同様に障害が発生しやすくなります。ただし、ここで最もよく起こる問題はこれではありません。
暗号化されたドライブがその役割を果たせない最も一般的な原因は非常に単純で、ユーザーがロックアウトされるだけです。しかし、4 桁の PIN コードを忘れるほど簡単なことはありません。結局のところ、暗号化には複数の層があり、たった 1 つの障害点でもロックアウトされるのに十分です。
ファイルへの不正アクセスが心配な場合、暗号化は役立ち、さらには必要です。しかし、これによりリスクがさらに高まります。現在、障害が発生する可能性があるのはストレージ メディアだけではなく (実際に障害が発生する可能性もあります)、暗号化方法も障害になる可能性があります。
特定の回復方法は覚えやすいため、簡単に破られてしまいます。ただし、BitLocker 回復キーなど、一部のキーは広範囲にわたります。 BitLocker は、特定の変更を行った後に回復キーの入力を求める場合がありますが、これは 48 桁の番号です。誰もそれを覚えていないでしょう。
最も安全なシステムの中には、アクセスを失った場合、まったく役に立たないものもあります。これは、ドライブ全体を暗号化するか、特定のアーカイブのみを暗号化するかによって異なります。
選択したツールによっては、暗号化が克服できない障害になる場合があります。それは良い知らせかもしれませんが、データ損失につながる可能性もあります。
人々がロックアウトされる最も一般的な方法
もちろん、それが自分に起こるまでは、私たちは皆、それらに対して100%免疫があります。
SSD を引き出しに入れて忘れると、SSD が壊れる可能性がありますが、暗号化されたバックアップの多くは「壊れる」ことはありません。通常、新しい携帯電話の購入、オペレーティング システムの再インストール、ハードウェアの変更や故障など、まったく通常のライフ イベントの後に、アクセスできなくなります。
私は何年にもわたって 1 つか 2 つのものからロックアウトされてきましたが、他の人たちにこれが起こる最も一般的な理由は、単にロックを解除するものを紛失したことです。メインのパスワードを忘れることはないかもしれませんが、アーカイブまたはコンテナの暗号化パスワードを失う可能性があり、リセットするオプションはありません。または、キーファイルがあり、アクセスできなくなったドライブにのみ存在します。秘密の回復フレーズをどこかに書き留めましたが、それがどこにあったか思い出せません。
フルディスク暗号化の場合、リスクははるかに大きくなります。ハードウェアを変更した後の Windows の起動中に回復キーの入力を求められる場合がありますが、その 48 桁の番号を持っていない場合は、運が悪いです。 Microsoft は、それを再作成したり取得したりすることはできないと主張しています。 FireVault も同様です。回復方法がなければ、行き詰まってしまう可能性があります。
状況が悪化するもう 1 つの原因は、ロックを解除できないものそのものに回復方法を保存している場合です。それは起こります。パスワード マネージャーを使用していてアクセスできなくなった、または認証アプリが動作しなくなったなどが考えられます。もう 1 つの一般的な理由は、携帯電話を変更して認証アプリからロックアウトされてしまうことです。
2FA が問題になる理由 (それは素晴らしいことですが)
重要なのは、常にそれを意識することです。
2 要素認証 (2FA) は、あらゆるサービスにとって必須です。最近ではパスワードがあちこちで漏洩しているため、2FA は他の誰もあなたのアカウントにアクセスできないことを知って安心する方法の 1 つです。
あなたがアカウントにアクセスできない場合、問題が始まります。暗号化されたバックアップの回復キーがクラウド ドライブ、電子メールの受信トレイ、またはパスワード マネージャーに存在する場合、2FA はバックアップのロック解除パスの一部になります。それが何であれ、そのアカウントへのアクセスが失われ、バックアップのトーストも失われます。
新しい携帯電話を手に入れて、認証アプリを含むすべてのアプリに再度ログインする必要があるたびに、少しパニックになることを認めなければなりません。この小さな「もしも」は、私がこの 1 つの認証方法にどれだけの重要なファイルやアプリを委ねてきたかを示しており、一歩下がって再評価したくなります。
ロックアウトから身を守る方法
暗号化されたドライブは、正しい方法でバックアップすれば非常に役立ちます。
おそらく 3-2-1 バックアップ ルールについて聞いたことがあるでしょう。このルールでは、データの合計 3 つのコピーを 2 つの異なるストレージ デバイスに保存し、追加のコピーをオフサイトに保存する必要があります。これらのファイルに何が起こるかを心配しているのであれば、ディスク暗号化も同様の方法で扱い始めましょう。
暗号化のキーを 2 番目のバックアップ ターゲットのように扱います。暗号化されたバックアップは 1 か所に保存し、ロックを解除するために必要な情報は別の場所に少なくとも 2 つの形式で保存する必要があります。確かに、書き留めることはこの問題に対処する正当な方法である可能性がありますが、最も重要なファイルを回復する唯一の方法を紙に委ねないでください。
「分離しておくこと」全体は、暗号化パスワードと回復キーをパスワード マネージャーに保存し (つまり、信頼できる場合)、2 番目のコピーをオフラインで保存するだけで済みます。
ロック解除パスがアカウントを経由する場合は、単一の 2FA 方法に依存しないでください。まったく同じデバイスに依存しない 2 番目の要素を保持し、バックアップ コードと回復キーを安全に保管して、必要なときにいつでも取得できるようにします。
最後に、バックアップ パス全体を必ずテストしてください。バックアップを選択し、選択したデバイスまたはコードを使用してロックを解除してから、別の方法を試してください。重要なのは、暗号化されたドライブとバックアップの有効性は回復パス全体と同程度であるため、すべてが機能することを確認したら、もう心配する必要はないということです。