PCシステムの盗難や紛失からの情報漏洩を防ぐには、BitLockerでディスクを暗号化して保護しておくとよい。パスワードなどを入力しない限り、PCを起動したり、データにアクセスしたりできなくなる。Windows 8のBitLockerは回復キーのSkyDriveへの保存など、いくらか機能が向上している。
今回は、Windows 8に統合されているディスクの暗号化機能「BitLocker」の概要と設定手順について見ていく。Windows 8 Pro/Enterpriseであれば追加費用は不要である。
BitLockerは、Windows Vista/Windows Server 2008から導入された、ハードディスクやリムーバブル・メディア(USBメモリなど)の内容を暗号化してセキュリティを確保する機能である。データを暗号化しているため、例えば紛失や盗難などでディスクだけが盗まれたとしてもデータを読み出すことができなくなる。実際にはデータが読めないわけではなく、暗号化されているだけなので、時間をかければ解読されてしまう可能性があるが、現状では十分安全な方式といえる(ただしパスワードが短すぎると安全性が低くなるので、なるべく複雑で長いものにするなどの対策が必須である)。
BitLockerそのものについてはここでは詳しく触れないので、必要なら以下のサイトなどを参照していただきたい。
最初にWindows 8のBitLockerにおける用語などについて、簡単にまとめておく。
用語 | 意味 |
---|---|
回復キー/回復パスワード | ほかのすべてのキーを紛失した場合やシステムに問題が生じた場合などに備えて用意しておく、BitLocker暗号化を解除するためのキー・データ。48桁の数字列。印刷したりファイルにしてUSBメモリに保存したりするほか、Windows 8ではSkyDrive上に保存しておくことも可能。パスワードや回復キーを紛失すると暗号化が解除できなくなるので厳重に保管しておくこと |
TPM(Trusted Platform Module) | ハードウェア暗号化などをサポートするICチップ。TPMはシステム内部に固定的に用意されており、取り替えたりできないため、個体を識別するのに利用できる。TPM 1.2と2.0をサポートする |
TPM所有者パスワード | TPMを管理するのに必要なパスワード |
PINコード | 8から20桁程度のパスワード。TPMが利用できない場合の補完的なパスワード情報として使われる |
スタートアップ・キー | USBメモリ(メモリ・カードなども含む)に保存したパスワード・データ。TPMが利用できない場合の補完的なパスワード情報として使われる。パスワードを入力する代わりに、システム起動時にこのUSBメモリをシステムに挿入しておくと、キー入力の手間が不要になる |
暗号化の解除 | 暗号化されているデータを読み出して、暗号データを復号すること。一度解除されると、システムをシャットダウン/サスペンドするまでずっと読み書きできる。システム・ドライブや内蔵ディスク上のボリュームでは起動時に自動解除されるが、リムーバブル・デバイスの場合は、アクセスしたときに初めて解除が行われる(メディア接続時に解除するように設定することも可能) |
暗号化の中断 | システムのメンテナンスやWindows OSのアップグレードなどのために、一時的にBitLockerを無効化すること |
BitLocker関連の用語 |
TCG(Trusted Computing Group。ホームページ)という業界団体が開発したセキュリティ・チップの仕様。現在TPM 1.2および2.0という仕様が策定されている。TPMは暗号化で使われるRSA、SHA-1、RNGなどの処理アルゴリズムをサポートし、暗号鍵の生成や保持、管理を行うチップで、ビジネス向けPCを中心にTPMを搭載したPCも増えている。BitLockerを利用するにはコンピュータにTPM 1.2/2.0チップが搭載されていることが望ましいが、後述するようにTPM非搭載機でも設定次第で利用できる。
Windows 8(およびWindows Server 2012)ではBitLockerの機能もいくらか改善されているが、その主な改善点を次に示しておく。
機能 | 概要 |
---|---|
BitLockerのプロビジョニング | Windows OSのインストール前(展開時)にBitLocker暗号化をあらかじめ適用できる。従来はWindows OSのインストール後にBitLocker暗号化を行う必要があった |
使用済みディスク領域のみの暗号化 | 従来はBitLocker暗号化を有効にすると、ディスク全体を暗号化していたため時間がかかったが、Windows 8では使用中の領域のみを暗号化するので、BitLockerの初期化(暗号化)に必要な時間が短縮できる。また従来のように、あらかじめ全領域を暗号化しておくこともできる(どちらにするかはグループ・ポリシーで制御可能) |
回復キーのMicrosoftアカウントへの保存 | BitLocker暗号化を解除する「回復キー」をサインインしているMicrosoftアカウントに保存できる。ローカルのファイルとして、安全などこかの場所に保存しておく必要がない |
Active Directoryベースの保護機能 | BitLocker用の保護情報をActive Directory上のストアに保存し、ネットワーク経由でのBitLocker暗号化解除を行う |
暗号化ハードディスクのサポート | 暗号化機能を持ったハード・ディスクでもBitLockerが利用可能 |
標準ユーザー権限でのPINやパスワードの変更が可能 | 標準ユーザーの権限でOSボリュームのPINやパスワードを変更可能。標準ユーザーの権限でデータ・ボリュームのパスワードを変更可能。これによりヘルプデスクや管理者の手を煩わせることがない |
ネットワーク・ロック解除 | BitLockerの暗号解除がネットワーク経由で可能になった(Windows Server 2012のDHCPやWDSサービスとの協調作業)。これにより、システムをリモートでブートしてメンテナンスするなどの操作が可能になる。ネットワーク・ロック解除ができないと、スリープからの復活時や起動時にユーザーがPINコードを入力するなどの手間が必要になる |
Windows 8のBitLocker暗号化機能の改善点 |
利用できる暗号化の機能(方法)などは、対象となるボリュームのタイプによって異なる。次の表から分かるように、Windows OSのブートに利用するシステム・ボリュームではTPMが使用されるが、ユーザー・データ・ボリュームではTPMは使われず、パスワードのみが使用される。データ・ボリュームはシステムから取り外されることがあるため、TPMには依存しない暗号化方法が使われている。
保護タイプ | OSシステム・ボリューム | データ・ボリューム |
---|---|---|
回復パスワード(数字パスワード) | ○ | ○ |
外部回復キー | ○ | ○ |
外部スタートアップ・キー(USBメモリ・キー) | ○ | − |
証明書(データ・ボリューム公開キー保護) | − | ○ |
TPM | ○ | − |
TPM+数字PIN | ○ | − |
TPM+スタートアップ・キー | ○ | − |
TPM+数字PIN+スタートアップ・キー | ○ | − |
パスワード・キー(文字パスワード) | ○ | ○ |
SIDベース(Active Directoryベース) | ○ | ○ |
BitLockerによる保護方法の種類 |
これを見ると分かるように、システム・ボリューム(Windows 8をインストールしているC:ドライブ)を暗号化するには、TPMを使う方法が4つある。TPMを使うと一番簡単にシステムを暗号化できるが、システムごと(つまりハードディスクとTPMを)まとめて盗難にあえば、パスワードをクラックしてデータを解析されてしまう可能性がある。これに対してTPMだけでなく、スタートップ・キーやPINコードも併用していれば解析しにくくなるので、可能ならば併用するのが望ましい。
BitLocker暗号化機能は、Windows 8のProとEnterpriseエディション(x86かx64)、およびWindows RT(ARMアーキテクチャのWindows 8)で利用できる(Windows Server 2012でも利用可能)。Windows 8の無印エディションでは利用できないが、なぜかWindows RTではサポートされている(例えばMicrosoftのタブレットPC「Surface RT」はC:ドライブが暗号化された状態で出荷されている)。また必須ではないものの、暗号化をハードウェア・サポートするTPMがあれば利用される。
それでは実際にBitLockerを使ってみよう。まずはTPMが搭載されているWindows 8システムで、システム・ドライブ(C:)を暗号化してみる。
C:ドライブを暗号化するには、ドライブ名を右クリックして、ポップアップ・メニューから[BitLocker を有効にする]を選択するか、BitLockerの管理ツールを起動してドライブごとに暗号化の有効/無効を設定する。BitLockerの管理ツールは、コントロール・パネルの「システムとセキュリティ」グループを開いて、「BitLockerドライブ暗号化」というツールをクリックして起動する。Windows RTの場合はコントロール・パネルには登録されていないようなので、[Windows]+[Q]の検索チャームで、「BitLocker」を検索するとよいだろう。BitLocker機能はあらかじめインストールされているので、Windowsの機能として追加インストールする必要はない。
ウィザードの最初の画面では、回復キーをどこの保存するかを設定する。「ファイルに保存する」と「回復キーを印刷する」は以前のWindows OSでも利用できたが、Windows 8にMicrosoftアカウントでサインインしていると、「Microsoftアカウントに保存する」という選択肢が表示される(Microsoftアカウントを使用しないで、ローカル・アカウントやドメイン・アカウントでサインインしている場合は使用できない)。
(1)を選んでMicrosoftアカウントに保存させると、回復キーのデータは指定したアカウントのSkyDrive上に保存される。保存された回復キーは、以下のURLにアクセスすれば確認できる。
このURLにアクセスしてサインインすると、Microsoftアカウントとして登録したメール・アドレスに確認用のメールが送信されるので、メールを開いてそこに書かれている数字コードを確認し、それを指定されたページに貼り付ける。すると次のような回復キーが確認できる。今後回復キーが必要になった場合は、ここからキーの値をコピーして使えばよい。
ウィザードの次の画面では暗号化を行う範囲を指定する。以前のBitLockerではまずボリューム全体を暗号化していたが、Windows 8では現在使用中の部分のみを暗号化できるようになった。そのため大幅に初期化の時間が短縮されている。ただし未初期化部分のデータはそのまま残っているので、もしディスク全体をダンプ出力すれば、以前のデータの痕跡が見えてしまう可能性がある。それが心配ならボリューム全体を暗号化すればよいだろう。
次の画面では、システム・チェックをするかどうかを設定する。
「続行」をクリックすると再起動の確認画面が表示されるので、再起動させる。システムを再起動後、再サインインすると、初期化(暗号化処理)が開始される。BitLockerの管理ツールを開けば進行状態をチェックできる。使用しているディスクのサイズにもよるが、完了までは数十分はかかるだろう。とはいえ、バックグラウンドで順次処理されるので、初期化中でも通常の作業をしていても構わない。
全部終わると次のようになる。
このシステムはTPMを持っていたため、システム・ドライブでもBitLockerを有効にできたし、再起動時にもユーザーがするべき操作は何もない。暗号化のキー・データはTPMチップ上に保存され、システム起動時に自動的にロードされているので、何も操作しなくても自動的に暗号化やその解除が行われている。
だがこれはセキュリティ的にはやや脆弱だろう。ユーザーから見ると、BitLocker暗号化を行っていないシステムの場合と同じであり、ユーザー名とパスワードさえ分かれば、ディスクの内容を見ることができるからだ(システムから取り外したディスクをほかのPCで見ることはできない)。そこで、必要ならPINコードやスタートアップ・キー(USBメモリ)によるセキュリティも同時に取り入れた方がよいだろう。そのためには、manage-bde.exeコマンド(BitLockerの管理用コマンドの1つ)で操作したり、(次の項目で述べる)グループ・ポリシー設定を変更してからもう一度初期化し直すなど、いろいろ方法がある。
Copyright© Digital Advantage Corp. All Rights Reserved.