Windows 7プレビュー 第3回 ネットワークとセキュリティ機能 1.BitLocker To Goデジタルアドバンテージ 打越 浩幸2009/06/11 |
本連載では、今年後半のリリースが予定されているWindows 7について、その機能の概要を数回に渡って紹介する。なお本稿では2009年4月に配布が開始されたRC版(ビルド7100)に基づいて執筆しているため、最終的な製品版とは内容が異なる場合があることをあらかじめご了承いただきたい。 【2009/08/27】Windows 7は2009年8月にRTM版(製品版)が完成し、すでにOEMなどに向けてリリースされています。正式版をベースにした記事は連載「Windows 7新時代」をご覧ください。 |
前回は、Windows 7の新しい仮想化環境Windows XP Modeについて解説した。今回はWindows 7のセキュリティやネットワーク関連の機能について紹介し、概要紹介の最後とする。
BitLocker To Goによるリムーバブル・ドライブの暗号化
BitLockerは、ディスク・ドライブ全体を暗号化して、情報の漏えい防止を図るための機能である。パスワードなどを正しく入力しない限りシステムを利用できなくし、さらにディスクを取り出してほかのシステムに接続してデータを読み出すといった操作も禁止する。
Windows 7ではこの機能が強化され、新たに「BitLocker To Go」という名称になった。To Goとは持ち出すとか持ち帰るなどという意味で、新しくリムーバブル・メディアでもBitLockerの機能が利用できるようになっている。USBメモリやリムーバブル・ハードディスクなどにデータを保存して持ち出したときに、それを紛失して情報が漏えいするといった危険性を防ぐことができる。NTFSなら暗号化機能を有効にしておくことが可能だが、一般的なUSBメモリはFATファイル・システムでフォーマットするので、NTFSの暗号化機能は利用できない。BitLocker To Goならファイル・システムによらず、データを安全に保存することができる。
BitLockerを利用するには、通常は[コントロール パネル]−[BitLocker ドライブ暗号化]アプレットを利用するが、Windows 7ではより簡単に、エクスプローラ上でドライブ名を右クリックして、ポップアップ・メニューから[BitLockerをオンにする]というメニューを選ぶこともできる。
暗号化したいドライブ(USBメモリなど)を選んで[BitLockerをオンにする]をクリックすると、暗号化を解除するためのパスワードの入力が求められる。BitLocker To Goによって保護されるデータの安全性は結局のところ、ここで入力するパスワードの強度にかかっているので、十分注意してパスワードを決める必要がある。
パスワードの入力 | ||||||
BitLocker To Goによって保護されるデータの安全性は結局のところ、ここで入力するパスワードの強度にかかっているので、十分複雑で、推測されにくいものを使用する必要がある。 | ||||||
|
ウィザードの次の画面では、BitLocker To Goの「回復キー」を保存する方法を指定する。回復キーとは、ユーザーがパスワードを忘れてしまった場合やスマートカードを紛失した場合に備えて、暗号化を解除するための特別なキーワードである。ZIPファイルにも暗号化するための機能があるが、付けることのできるパスワードは1つだけである。それを忘れてしまうとどうすることもできないが、この場合は回復キーを安全な場所に保存しておけば、後でアクセスすることが可能である。なおNTFSの暗号化ファイル・システムでは、所有者以外に管理者にもアクセスを許可していたが(会社の資産などの場合は、所有者がいなくなった場合などに備えて、第三者が解除できる必要があるため)、この回復キーも同様の目的で用意されていると考えればよいだろう。
回復キーはファイルに出力するか、印刷して出力しておくことができる。
回復キーの保存 | ||||||
パスワードを忘れたり、スマート・カードなどを紛失してもアクセスできるように、回復キーと呼ばれる第2のキーを生成しておくことができる。 | ||||||
|
以下は、保存された回復キーの例である。
回復キーの例 | ||||||
元のパスワードを紛失した場合は、このキー・データを使ってデータへアクセスしたり、暗号化の解除、新規パスワードの再発行したりなどができる。 | ||||||
|
さて以上の操作が完了すると、実際の暗号化作業が行われる。元のファイルやフォルダを含むメディア全体が暗号化されるので、少し時間がかかる(NTFS暗号化のように、一部のファイルやフォルダだけを暗号化することはできない)。
メディア挿入時にパスワードを入力する
暗号化の準備が完了すれば、後は通常のリムーバブル・メディアと同様に利用すればよい。Windows 7のPCにこのメディアを挿入すると次のようなダイアログが表示されるので、パスワードを入力すれば、その後は従来どおりにエクスプローラなどで開いて操作できる。使用が終われば、システム・トレイにあるリムーバブル・メディアのアイコンをクリックして、使用を停止してから取り外す。
パスワードの入力 | ||||||||||||
BitLocker To Goで暗号化されたメディアをシステムに挿入/接続すると、このようなダイアログが表示されるのでパスワードを入力する。 | ||||||||||||
|
パスワードを忘れてしまった場合は、上記の[パスワードを忘れた場合]というリンクをクリックする。すると回復キーを入力するダイアログが表示されるので、保存しておいたファイルや印刷結果から回復キーの値を入力すればよい。成功するとファイルの内容を閲覧できるし、パスワードを再設定することもできる。
従来のWindows OSでアクセスすると……
BitLocker To Goで初期化したメディアは内容が暗号化され、非対応のOSではその内容を読み取ることはできない。実際、このメディアを例えばWindows Vista SP2のPCに挿入すると、次のように見える。
BitLocker To Goで暗号化したUSBメモリの内容 | ||||||||||||
これは1GbytesのUSBメモリをBitLocker To Goで暗号化し、ファイルをいくつか保存した後の状態のものを、Windows Vista上で確認しているところである。ファイル・システムはFAT32のままだが、その内容は元のファイル名やフォルダとはまったく異なっている。オリジナルのファイルはすべて暗号化され、1つの大きなファイルの中に保存されている。暗号化データ以外は、すべて同じものが入っている(日付が2009/04/22となっているもの)。 | ||||||||||||
|
これで分かるように、ファイル・システムそのものは元のFATやNTFSなどがそのまま使われているので、読み出しエラーになることはない。だがその内容はまったく独自のものとなっている。具体的には、BitLockerToGo.exeという実行ファイルとその関連リソース・ファイル(*.exeや*.muiという名前のファイル)、これを実行するためのautorun.infファイル、そして暗号化されたデータが格納されているファイル(上の例では「COV 0000. ER」ファイル)などが確認できる。
BitLocker To GoはWindows 7の新機能なので、セキュリティのことを考えると、このOSだけで読み書きできるようにしてもよかったはずである。だがそれではあまりにも不便だからか、従来のOSでも読み出しだけは可能なように作られている。そのためのプログラムがBitLockerToGo.exe(BitLocker To Go Reader)であり、メディアをPCに挿入するとこの読み出しプログラムが自動起動するようになっている。
BitLocker To Goのリーダー・プログラムの自動起動 | |||
BitLocker To Goで暗号化したメディアをWindows 7以外のOSで利用する場合は、この専用リーダー・プログラムを使う。 | |||
|
もしリムーバブル・メディアに対する自動起動を無効にしているのなら(ウイルスなどが自動実行されるのを防ぐため、このような自動起動を無効にしていることがある)、リーダー・プログラムを手動で起動すればよい。すると次のようなダイアログが表示されるので、先ほどのWindows 7上での場合と同様に、パスワードを入力する。パスワードを忘れた場合は、やはり同様に回復キーを使うこともできる。
暗号化解除のためのパスワードの入力 | ||||||
このダイアログはWindows 7のものと同じである。 | ||||||
|
パスワードが正しければ、次のようなリーダー・プログラムが起動する。一見するとエクスプローラに似ているが、これはファイルの読み出ししか行えない専用ツールである。ファイルをドラッグしてローカルのPCへコピーするか、選択してダブルクリックするとデスクトップへコピーされる。
BitLocker To Goリーダー・プログラム | ||||||
Windows 7以外のOSでは、その内容を読み出すことだけが可能になっている。そのために、BitLocker To Goで暗号化したメディアには、リーダー・プログラムが非暗号化された状態で記録されている。 | ||||||
|
INDEX | ||
Windows 7 ベータプレビュー | ||
第1回 Vistaからさらに進化したWindows 7の新GUI | ||
1.シンプルになったデスクトップ画面とタスク・バー | ||
2.ウィンドウ切り替えと通知アイコン、UAC | ||
第2回 Windows XP Modeとディスク管理機能 | ||
1.Windows XP Mode | ||
2.ディスク管理ツールの強化 | ||
第3回 ネットワークとセキュリティ機能 | ||
1.BitLocker To Go | ||
2.AppLockerとネットワーク機能 | ||
「製品レビュー」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|