次はTPMが搭載されていないシステムで、BitLocker暗号化を有効化してみよう。先ほどの場合と違い、今度は次のような画面が表示される。
BitLockerでは、デフォルトではTPMがないとシステム・ドライブを暗号化できないようになっている。そのため、このようなエラーが表示される。
だがグループ・ポリシーの設定を次のように変更すれば、TPMがないシステムでもシステム・ドライブをBitLocker暗号化で保護できる。ただしスタートアップ・キー(USBメモリ)とPINコードのいずれか(もしくは両方)を有効にする必要がある。
設定を変更後、もう一度BitLockerのウィザードを起動すれば、今度はスタートアップ・キー(USBメモリ)とパスワードのいずれかを選択する画面が表示される。
選択肢が2つ表示されているが、上側はスタートアップ・キー用のUSBメモリを作成する方法、下側はパスワードを入力する方法である。上側を選ぶと、次のようなダイアログが表示される。
次の画面はパスワードの入力画面の例である。パスワードの長さは、デフォルトでは8文字以上あればよいようだが、もっと長くて複雑なパスワードを指定するのが望ましいだろう。
以上のいずれかの画面で[次へ]をクリックして先へ進めると、回復キーのバックアップ方法の指定画面になる。
以後のウィザード画面は、先ほどのTPMがある場合と同じなので省略する。
すべての処理が終了後、システムを再起動すると、起動直後には次のようなパスワード入力画面が表示される。
パスワードを入力すると通常のブート・シーケンスが始まり、Windows 8の起動後はBitLocker暗号化の処理が開始される。以後は、システムの起動のたびにこのパスワード入力が必要になる。
次はデータ・ドライブ、つまりシステムのブート・ドライブではないボリュームを暗号化する例を見てみよう。システムの内蔵ディスク上に確保した、ブート用以外のパーティションや、リムーバブル・デバイスなどのがこれが該当する。
データ・ドライブはTPMによる暗号化は行われず、パスワードかスマート・キー(ICセキュリティ・カード)を使った暗号化のみがサポートされる。
パスワードを入力して[次へ]をクリックすると、最初の例と同じように、回復キーの保存先を問い合わせる画面が表示されるので、適切な保存先を選択する。安全のために、やはり複数の場所に保存しておこう。
その次の画面は、ディスク全体を暗号化するか、それとも使用中の領域のみを暗号化するかの選択画面である。その後の処理もすべて同じなので省略する。また、以上は固定ドライブの例であったが、リムーバブル・ドライブに対するBitLocker(つまりBitLocker To Go)でも設定方法は同じである。暗号化解除用のパスワードや回復キーの保存、暗号化対象領域の選択などを行った後、暗号化処理が行われる。
以上のBitLocker暗号化の結果を次に示す。
3種類のドライブに対してBitLocker暗号化を行っているが、使用している暗号化手法に応じて少しずつメニュー内容が異なっている。「パスワードの変更」は管理者権限が不要になっていることも分かるだろう(Windows 8のBitLockerの機能改善点の1つ)。またD:の内蔵ディスクでは「自動ロック解除」が有効になっているが(つまりシステムにマウントされた時点で自動的に暗号化が解除され、アクセスできる)、F:のリムーバブル・ドライブでは自動ロック解除は無効になっており、ユーザーがアクセスした時点で初めて暗号化が解除される。
今回はWindows 8のBitLockerについて簡単に見てきた。BitLockerをコマンドラインで管理する方法などについては、今後改めて解説することにする。
Windows 8のBitLcokerはあまり目立った大きな機能改善点もなく、やや地味な印象を受けるが、ディスクのデータを守るという機能からすると十分な機能を持っている。もちろんいくらBitLockerにしたからといって、短い、推測されやすいパスワードを使ったのでは意味がないので、十分注意して活用していただきたい。
Copyright© Digital Advantage Corp. All Rights Reserved.