第16回 データを保護するBitLocker暗号化:Windows 8レボリューション(1/2 ページ)
PCシステムの盗難や紛失からの情報漏洩を防ぐには、BitLockerでディスクを暗号化して保護しておくとよい。パスワードなどを入力しない限り、PCを起動したり、データにアクセスしたりできなくなる。Windows 8のBitLockerは回復キーのSkyDriveへの保存など、いくらか機能が向上している。
今回は、Windows 8に統合されているディスクの暗号化機能「BitLocker」の概要と設定手順について見ていく。Windows 8 Pro/Enterpriseであれば追加費用は不要である。
BitLockerとは
BitLockerは、Windows Vista/Windows Server 2008から導入された、ハードディスクやリムーバブル・メディア(USBメモリなど)の内容を暗号化してセキュリティを確保する機能である。データを暗号化しているため、例えば紛失や盗難などでディスクだけが盗まれたとしてもデータを読み出すことができなくなる。実際にはデータが読めないわけではなく、暗号化されているだけなので、時間をかければ解読されてしまう可能性があるが、現状では十分安全な方式といえる(ただしパスワードが短すぎると安全性が低くなるので、なるべく複雑で長いものにするなどの対策が必須である)。
BitLockerで暗号化されたディスクの例
BitLockerでディスクを暗号化しておくと、ユーザーが正しいパスワードを入力したり、登録されたUSBメモリなどをシステムに挿入しない限り、システムを起動したり、データを読み出したりできない。ディスクが盗難にあったり、紛失したりしても、内容が暗号化されているので、簡単には読み出せなくなる。
(1)起動ドライブ(C:)をBitLockerで暗号化している。開いている鍵(錠)の絵は、暗号化が解除されていることを表す。
(2)暗号化されたリムーバブル・メディアの例。鍵が閉じているのは、まだロックがかかっている状態を表す。
(3)暗号化されたリムーバブル・メディアを開こうとすると、このようなダイアログが表示され、正しいパスワードを入力しないとアクセスできない。
BitLockerそのものについてはここでは詳しく触れないので、必要なら以下のサイトなどを参照していただきたい。
最初にWindows 8のBitLockerにおける用語などについて、簡単にまとめておく。
| 用語 | 意味 |
|---|---|
| 回復キー/回復パスワード | ほかのすべてのキーを紛失した場合やシステムに問題が生じた場合などに備えて用意しておく、BitLocker暗号化を解除するためのキー・データ。48桁の数字列。印刷したりファイルにしてUSBメモリに保存したりするほか、Windows 8ではSkyDrive上に保存しておくことも可能。パスワードや回復キーを紛失すると暗号化が解除できなくなるので厳重に保管しておくこと |
| TPM(Trusted Platform Module) | ハードウェア暗号化などをサポートするICチップ。TPMはシステム内部に固定的に用意されており、取り替えたりできないため、個体を識別するのに利用できる。TPM 1.2と2.0をサポートする |
| TPM所有者パスワード | TPMを管理するのに必要なパスワード |
| PINコード | 8から20桁程度のパスワード。TPMが利用できない場合の補完的なパスワード情報として使われる |
| スタートアップ・キー | USBメモリ(メモリ・カードなども含む)に保存したパスワード・データ。TPMが利用できない場合の補完的なパスワード情報として使われる。パスワードを入力する代わりに、システム起動時にこのUSBメモリをシステムに挿入しておくと、キー入力の手間が不要になる |
| 暗号化の解除 | 暗号化されているデータを読み出して、暗号データを復号すること。一度解除されると、システムをシャットダウン/サスペンドするまでずっと読み書きできる。システム・ドライブや内蔵ディスク上のボリュームでは起動時に自動解除されるが、リムーバブル・デバイスの場合は、アクセスしたときに初めて解除が行われる(メディア接続時に解除するように設定することも可能) |
| 暗号化の中断 | システムのメンテナンスやWindows OSのアップグレードなどのために、一時的にBitLockerを無効化すること |
| BitLocker関連の用語 | |
※TPM(Trusted Platform Module)とは
TCG(Trusted Computing Group。ホームページ)という業界団体が開発したセキュリティ・チップの仕様。現在TPM 1.2および2.0という仕様が策定されている。TPMは暗号化で使われるRSA、SHA-1、RNGなどの処理アルゴリズムをサポートし、暗号鍵の生成や保持、管理を行うチップで、ビジネス向けPCを中心にTPMを搭載したPCも増えている。BitLockerを利用するにはコンピュータにTPM 1.2/2.0チップが搭載されていることが望ましいが、後述するようにTPM非搭載機でも設定次第で利用できる。
Windows 8のBitLocker
Windows 8(およびWindows Server 2012)ではBitLockerの機能もいくらか改善されているが、その主な改善点を次に示しておく。
| 機能 | 概要 |
|---|---|
| BitLockerのプロビジョニング | Windows OSのインストール前(展開時)にBitLocker暗号化をあらかじめ適用できる。従来はWindows OSのインストール後にBitLocker暗号化を行う必要があった |
| 使用済みディスク領域のみの暗号化 | 従来はBitLocker暗号化を有効にすると、ディスク全体を暗号化していたため時間がかかったが、Windows 8では使用中の領域のみを暗号化するので、BitLockerの初期化(暗号化)に必要な時間が短縮できる。また従来のように、あらかじめ全領域を暗号化しておくこともできる(どちらにするかはグループ・ポリシーで制御可能) |
| 回復キーのMicrosoftアカウントへの保存 | BitLocker暗号化を解除する「回復キー」をサインインしているMicrosoftアカウントに保存できる。ローカルのファイルとして、安全などこかの場所に保存しておく必要がない |
| Active Directoryベースの保護機能 | BitLocker用の保護情報をActive Directory上のストアに保存し、ネットワーク経由でのBitLocker暗号化解除を行う |
| 暗号化ハードディスクのサポート | 暗号化機能を持ったハード・ディスクでもBitLockerが利用可能 |
| 標準ユーザー権限でのPINやパスワードの変更が可能 | 標準ユーザーの権限でOSボリュームのPINやパスワードを変更可能。標準ユーザーの権限でデータ・ボリュームのパスワードを変更可能。これによりヘルプデスクや管理者の手を煩わせることがない |
| ネットワーク・ロック解除 | BitLockerの暗号解除がネットワーク経由で可能になった(Windows Server 2012のDHCPやWDSサービスとの協調作業)。これにより、システムをリモートでブートしてメンテナンスするなどの操作が可能になる。ネットワーク・ロック解除ができないと、スリープからの復活時や起動時にユーザーがPINコードを入力するなどの手間が必要になる |
| Windows 8のBitLocker暗号化機能の改善点 | |
利用できる暗号化の機能(方法)などは、対象となるボリュームのタイプによって異なる。次の表から分かるように、Windows OSのブートに利用するシステム・ボリュームではTPMが使用されるが、ユーザー・データ・ボリュームではTPMは使われず、パスワードのみが使用される。データ・ボリュームはシステムから取り外されることがあるため、TPMには依存しない暗号化方法が使われている。
| 保護タイプ | OSシステム・ボリューム | データ・ボリューム |
|---|---|---|
| 回復パスワード(数字パスワード) | ○ | ○ |
| 外部回復キー | ○ | ○ |
| 外部スタートアップ・キー(USBメモリ・キー) | ○ | − |
| 証明書(データ・ボリューム公開キー保護) | − | ○ |
| TPM | ○ | − |
| TPM+数字PIN | ○ | − |
| TPM+スタートアップ・キー | ○ | − |
| TPM+数字PIN+スタートアップ・キー | ○ | − |
| パスワード・キー(文字パスワード) | ○ | ○ |
| SIDベース(Active Directoryベース) | ○ | ○ |
| BitLockerによる保護方法の種類 | ||
これを見ると分かるように、システム・ボリューム(Windows 8をインストールしているC:ドライブ)を暗号化するには、TPMを使う方法が4つある。TPMを使うと一番簡単にシステムを暗号化できるが、システムごと(つまりハードディスクとTPMを)まとめて盗難にあえば、パスワードをクラックしてデータを解析されてしまう可能性がある。これに対してTPMだけでなく、スタートップ・キーやPINコードも併用していれば解析しにくくなるので、可能ならば併用するのが望ましい。
BitLockerの必要要件、インストール
BitLocker暗号化機能は、Windows 8のProとEnterpriseエディション(x86かx64)、およびWindows RT(ARMアーキテクチャのWindows 8)で利用できる(Windows Server 2012でも利用可能)。Windows 8の無印エディションでは利用できないが、なぜかWindows RTではサポートされている(例えばMicrosoftのタブレットPC「Surface RT」はC:ドライブが暗号化された状態で出荷されている)。また必須ではないものの、暗号化をハードウェア・サポートするTPMがあれば利用される。
Windows RTのBitLocker機能
Windows RTを搭載したMicrosoftのタブレットPC「Surface RT」はTPM 2.0セキュリティ・チップを持っており(必須ではないので、TPMを持たないシステムも少なくない)、最初からC:ドライブがBitLockerで暗号化されている(英語モデルの場合)。紛失や盗難の危険性などが高いことを考えると、モバイルでこそBitLockerが有用といえるだろう。
システム・ドライブのBitLocker暗号化
それでは実際にBitLockerを使ってみよう。まずはTPMが搭載されているWindows 8システムで、システム・ドライブ(C:)を暗号化してみる。
C:ドライブを暗号化するには、ドライブ名を右クリックして、ポップアップ・メニューから[BitLocker を有効にする]を選択するか、BitLockerの管理ツールを起動してドライブごとに暗号化の有効/無効を設定する。BitLockerの管理ツールは、コントロール・パネルの「システムとセキュリティ」グループを開いて、「BitLockerドライブ暗号化」というツールをクリックして起動する。Windows RTの場合はコントロール・パネルには登録されていないようなので、[Windows]+[Q]の検索チャームで、「BitLocker」を検索するとよいだろう。BitLocker機能はあらかじめインストールされているので、Windowsの機能として追加インストールする必要はない。
ウィザードの最初の画面では、回復キーをどこの保存するかを設定する。「ファイルに保存する」と「回復キーを印刷する」は以前のWindows OSでも利用できたが、Windows 8にMicrosoftアカウントでサインインしていると、「Microsoftアカウントに保存する」という選択肢が表示される(Microsoftアカウントを使用しないで、ローカル・アカウントやドメイン・アカウントでサインインしている場合は使用できない)。
回復キーのバックアップ方法
回復キーは非常に重要なデータなので、さまざまな方法でバックアップできるようになっている。Windows 8ではMicrosoftアカウントを使ってSkyDrive上へ保存できる。複数の方法を併用して保存しておくこと。
(1)SkyDrive上へ保存する場合はこれを選択する。
(2)ファイルとして保存する場合はこれを選択する。暗号化の対象ドライブには保存できない。
(3)回復キーは48桁の数字列なので、印刷して保管しておいてもよい。
(1)を選んでMicrosoftアカウントに保存させると、回復キーのデータは指定したアカウントのSkyDrive上に保存される。保存された回復キーは、以下のURLにアクセスすれば確認できる。
- SkyDrive上の回復キーのサイト:「http://windows.microsoft.com/recoverykey」または「http://skydrive.com/recoverykey」
このURLにアクセスしてサインインすると、Microsoftアカウントとして登録したメール・アドレスに確認用のメールが送信されるので、メールを開いてそこに書かれている数字コードを確認し、それを指定されたページに貼り付ける。すると次のような回復キーが確認できる。今後回復キーが必要になった場合は、ここからキーの値をコピーして使えばよい。
SkyDrive上に保存したBitLockerの回復キー
BitLockerの回復キーをSkyDrive上に保存することにより、ローカルのディスク上や紙のメモなどで保存しなくてもよくなり、紛失の危険性を軽減できる。
ウィザードの次の画面では暗号化を行う範囲を指定する。以前のBitLockerではまずボリューム全体を暗号化していたが、Windows 8では現在使用中の部分のみを暗号化できるようになった。そのため大幅に初期化の時間が短縮されている。ただし未初期化部分のデータはそのまま残っているので、もしディスク全体をダンプ出力すれば、以前のデータの痕跡が見えてしまう可能性がある。それが心配ならボリューム全体を暗号化すればよいだろう。
初期化作業における暗号化の範囲の選択
従来はまずディスク全体を暗号化していたので時間がかかっていたが、Windows 8では使用中の部分のみを暗号化できる。
(1)使用中のファイルのみを暗号化する。
(2)全ディスク領域を暗号化する。ファイルを復旧させたりした場合に、暗号化が解除されている恐れがあるので、新規インストール以外ではこちらを推奨。
次の画面では、システム・チェックをするかどうかを設定する。
「続行」をクリックすると再起動の確認画面が表示されるので、再起動させる。システムを再起動後、再サインインすると、初期化(暗号化処理)が開始される。BitLockerの管理ツールを開けば進行状態をチェックできる。使用しているディスクのサイズにもよるが、完了までは数十分はかかるだろう。とはいえ、バックグラウンドで順次処理されるので、初期化中でも通常の作業をしていても構わない。
全部終わると次のようになる。
暗号化完了後の状態
システムを再起動すると暗号化が始まる。暗号化している間は「BitLockerが暗号化中です」と表示されており、数十分すると暗号化が完了する。
(1)暗号化が完了したかどうかはこれで確認できる。コマンド・ラインで確認するになら、「manage-bde -status c:」というコマンドを使えばよい。
(2)BitLockerで暗号化され、それが解除されているとこのようなマークが表示される。
(3)システムのメンテナンスなどで一時的に保護を中断したい場合はこれを実行する。
(4)回復キーを新たに保存する場合はこれを実行する。
(5)暗号化をやめて、元の状態にするにはこれを実行する。
このシステムはTPMを持っていたため、システム・ドライブでもBitLockerを有効にできたし、再起動時にもユーザーがするべき操作は何もない。暗号化のキー・データはTPMチップ上に保存され、システム起動時に自動的にロードされているので、何も操作しなくても自動的に暗号化やその解除が行われている。
だがこれはセキュリティ的にはやや脆弱だろう。ユーザーから見ると、BitLocker暗号化を行っていないシステムの場合と同じであり、ユーザー名とパスワードさえ分かれば、ディスクの内容を見ることができるからだ(システムから取り外したディスクをほかのPCで見ることはできない)。そこで、必要ならPINコードやスタートアップ・キー(USBメモリ)によるセキュリティも同時に取り入れた方がよいだろう。そのためには、manage-bde.exeコマンド(BitLockerの管理用コマンドの1つ)で操作したり、(次の項目で述べる)グループ・ポリシー設定を変更してからもう一度初期化し直すなど、いろいろ方法がある。
Copyright© Digital Advantage Corp. All Rights Reserved.