今回はPC内部のディスク(内蔵HDD/SSD)上にあるデータボリュームを暗号化したり、OSボリューム(C:ドライブ)そのものを暗号化したりする機能について解説する。
本入門連載では、システム管理者やシステムエンジニアの方々を主な対象として、IT業界でよく使われる技術や概念、サービスなどの解説をコンパクトにまとめておく。
前回はUSBメモリやリムーバブルディスクなどを保護するBitLocker To Goの使い方を紹介した。今回はPC内部のディスクデータ(内蔵HDD/SSD上のボリュームに格納されたデータ)を保護する機能について見ていく。なお当初のBitLockerは内蔵ディスクを暗号化する機能しか持っていなかったので、To Goのような特別な呼び方はない(あえて言うなら標準BitLockerとでも呼ぶべきか)。
BitLockerで取り扱うディスクには、以下の3種類がある。
データ暗号化の基本的な仕組みは、どのディスクタイプでもあまり違いはない。だが内蔵ディスクの場合は認証方法などが少し異なる。例えば、起動や再起動のたびにパスワードを入力するのはとても面倒だろう。だからといって常に自動ロック解除していたのでは、暗号化している意味がない。
そこでBitLockerでは内蔵ディスクに対して、次のような取り扱いを行っている(詳細はこの後に順次説明していく)。
■OSのブートディスク(C:)の保護機能
■データディスク(内蔵ディスク上のC:以外のボリューム)の保護機能
まずは、C:以外のデータディスクをBitLockerで保護する手順を見てみよう。暗号化の手順はBitLocker To Goの場合とほとんど同じである。エクスプローラ上でドライブ名を右クリックして[BitLockerで有効にする]を選択するか、コントロールパネルの[システムとセキュリティ]−[BitLockerドライブ暗号化]ツールで対象ドライブの[BitLockerで保護する]を実行する。
ウィザードのこの後の手順は、第2回で説明したリムーバブルディスクの場合と同じなので省略する。暗号化が完了すると、BitLockerの管理画面は次のようになる。
リムーバブルディスクと比較すると、必要な権限が異なるだけで、それ以外は特に違いはない。
いちいち手動でロックを解除するのは面倒なので、自動ロック解除をさせたいところだが、そのリンク(上の画面の(4))をクリックすると次のようなメッセージが表示され、自動ロック解除を設定できない。
これは、OSのブートディスク(C:)がBitLockerで保護されていないので、自動ロック解除を有効にできないという意味だ。
実は、自動ロック解除をオンにするとOSシステム内に解除用のキー情報が登録される。そのため、C:ドライブが保護されていないとキー情報が露出する(安全に保存できない)ことになる。結果として、C:ドライブにアクセスできると容易にデータディスクの暗号化を解除できてしまうので、保護の意味がなくなってしまう。
こうした理由から、自動ロック解除を利用したいなら、C:ドライブもBitLockerで暗号化する必要がある。
Copyright© Digital Advantage Corp. All Rights Reserved.