第16回 データを保護するBitLocker暗号化:Windows 8レボリューション(2/2 ページ)
TPMがないシステムでC:ドライブをBitLocker暗号化する
次はTPMが搭載されていないシステムで、BitLocker暗号化を有効化してみよう。先ほどの場合と違い、今度は次のような画面が表示される。
TPMが利用できない場合の表示BitLockerでは、デフォルトではTPMがないとシステム・ドライブを暗号化できないようになっている。そのため、このようなエラーが表示される。
だがグループ・ポリシーの設定を次のように変更すれば、TPMがないシステムでもシステム・ドライブをBitLocker暗号化で保護できる。ただしスタートアップ・キー(USBメモリ)とPINコードのいずれか(もしくは両方)を有効にする必要がある。
グループ・ポリシーによるTPMなしのBitLocker暗号化の許可TPMが利用できないと、デフォルトではシステム・ドライブをBitLockerでは暗号化できないが、グループ・ポリシーで設定を変更すれば、TPMなしでも暗号化が利用できる。[ファイル名を指定して実行]で「gpedit.msc」を開き、以下の設定を変更する。
(1)[コンピュータの構成]−[管理用テンプレート]−[Windowsコンポーネント]−[BitLocker ドライブ暗号化]の下にある[オペレーティング システムのドライブ]を開く。
(2)[スタートアップ時に追加の認証を要求する]の項目を開く。
(3)[未構成]から[有効]に変更する。
(4)これをオンにする。
設定を変更後、もう一度BitLockerのウィザードを起動すれば、今度はスタートアップ・キー(USBメモリ)とパスワードのいずれかを選択する画面が表示される。
暗号化の解除方法の指定TPMがないシステムの場合は、スタートアップ・キーかPINコード入力のいずれかを選ぶ。両方使用することも可能だし、TPMありのシステムでこれらを併用することも可能だ。
(1)USBメモリによるスタートアップ・キーを使う場合はこれを選択する。以後は、システムを起動するたびに必ずここで作成したUSBメモリをシステムに挿入しておく必要がある。紛失などに備えて、いくつかコピーを作っておいてもよい。とはいえ、PCに差したままにしておいてはセキュリティ的に意味がないので、その扱いには注意すること。
(2)PINコード入力を使用したい場合はこれを選択する。
選択肢が2つ表示されているが、上側はスタートアップ・キー用のUSBメモリを作成する方法、下側はパスワードを入力する方法である。上側を選ぶと、次のようなダイアログが表示される。
スタートアップ・キーを使う場合USBメモリをスタートアップ・キーとして使う場合は、キーを保存するデバイスを選択する。
(1)ここにUSBメモリやメモリ・カード(SDカードをキーにすることも可能)が列挙されるので、適当なものを選ぶ。
次の画面はパスワードの入力画面の例である。パスワードの長さは、デフォルトでは8文字以上あればよいようだが、もっと長くて複雑なパスワードを指定するのが望ましいだろう。
PINコード用のパスワードの入力以上のいずれかの画面で[次へ]をクリックして先へ進めると、回復キーのバックアップ方法の指定画面になる。
回復キーの保存先の指定回復キーの保存先を指定する。先ほどのTPMありのシステム向けの画面と比べると、USBメモリへの保存という項目が増えている。複数の場所に分散して保存しておくとよい。
(1)Microsoftアカウント(SkyeDrive)に保存する場合はこれを選択する。
(2)USBメモリに保存する場合はこれを選択する。
(3)ファイルに保存する場合はこれを選択する。
(4)印刷しておく場合はこれを選択する。
以後のウィザード画面は、先ほどのTPMがある場合と同じなので省略する。
すべての処理が終了後、システムを再起動すると、起動直後には次のようなパスワード入力画面が表示される。
パスワード保護されたWindows 8の起動画面パスワードを入力すると通常のブート・シーケンスが始まり、Windows 8の起動後はBitLocker暗号化の処理が開始される。以後は、システムの起動のたびにこのパスワード入力が必要になる。
データ・ドライブやリムーバブル・ドライブのBitLocker暗号化
次はデータ・ドライブ、つまりシステムのブート・ドライブではないボリュームを暗号化する例を見てみよう。システムの内蔵ディスク上に確保した、ブート用以外のパーティションや、リムーバブル・デバイスなどのがこれが該当する。
データ・ドライブはTPMによる暗号化は行われず、パスワードかスマート・キー(ICセキュリティ・カード)を使った暗号化のみがサポートされる。
データ・ボリュームの暗号化データ・ドライブやリムーバブル・ドライブはパスワードかスマート・カードでのみ暗号化を解除できる。
(1)パスワードを使って暗号化を解除したい場合はこれを選択する。
(2)十分長いパスワードを付けておくこと。
(3)スマート・カード(ICセキュリティ・カード)を使って暗号化を解除したい場合はこれを選択する。
パスワードを入力して[次へ]をクリックすると、最初の例と同じように、回復キーの保存先を問い合わせる画面が表示されるので、適切な保存先を選択する。安全のために、やはり複数の場所に保存しておこう。
その次の画面は、ディスク全体を暗号化するか、それとも使用中の領域のみを暗号化するかの選択画面である。その後の処理もすべて同じなので省略する。また、以上は固定ドライブの例であったが、リムーバブル・ドライブに対するBitLocker(つまりBitLocker To Go)でも設定方法は同じである。暗号化解除用のパスワードや回復キーの保存、暗号化対象領域の選択などを行った後、暗号化処理が行われる。
以上のBitLocker暗号化の結果を次に示す。
BitLocker暗号化の結果システム・ドライブとデータ・ドライブ、リムーバブル・デバイスをすべてBitLockerで暗号化してみた。各ドライブごとに可能な操作メニュー項目がすべて一覧表示されているなど、以前の管理画面よりも少しだけ分かりやすくなっている。
(1)暗号化したシステム・ドライブ。
(2)保護の中断はメンテナンスなどのために、一時的に無効にするための操作。
(3)暗号化したデータ・ドライブ。
(4)内蔵ディスクでは自動解除が有効なので、システムが起動してマウントされるとすぐに内容にアクセスできる。
(5)暗号化したリムーバブル・メディア。
(6)リムーバブル・メディアでは自動解除はデフォルトでは無効。ユーザーがアクセスして始めてパスワード入力画面などが表示される
(7)TPM管理ツールを起動すると、システムにTPMチップが搭載されているかどうかの確認や、その管理などが行える。
3種類のドライブに対してBitLocker暗号化を行っているが、使用している暗号化手法に応じて少しずつメニュー内容が異なっている。「パスワードの変更」は管理者権限が不要になっていることも分かるだろう(Windows 8のBitLockerの機能改善点の1つ)。またD:の内蔵ディスクでは「自動ロック解除」が有効になっているが(つまりシステムにマウントされた時点で自動的に暗号化が解除され、アクセスできる)、F:のリムーバブル・ドライブでは自動ロック解除は無効になっており、ユーザーがアクセスした時点で初めて暗号化が解除される。
今回はWindows 8のBitLockerについて簡単に見てきた。BitLockerをコマンドラインで管理する方法などについては、今後改めて解説することにする。
Windows 8のBitLcokerはあまり目立った大きな機能改善点もなく、やや地味な印象を受けるが、ディスクのデータを守るという機能からすると十分な機能を持っている。もちろんいくらBitLockerにしたからといって、短い、推測されやすいパスワードを使ったのでは意味がないので、十分注意して活用していただきたい。
Copyright© Digital Advantage Corp. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。