Windows 7プレビュー

第3回 ネットワークとセキュリティ機能

1.BitLocker To Go

デジタルアドバンテージ 打越 浩幸
2009/06/11

本連載では、今年後半のリリースが予定されているWindows 7について、その機能の概要を数回に渡って紹介する。なお本稿では2009年4月に配布が開始されたRC版(ビルド7100)に基づいて執筆しているため、最終的な製品版とは内容が異なる場合があることをあらかじめご了承いただきたい。
【2009/08/27】Windows 7は2009年8月にRTM版(製品版)が完成し、すでにOEMなどに向けてリリースされています。正式版をベースにした記事は連載「Windows 7新時代」をご覧ください。

 前回は、Windows 7の新しい仮想化環境Windows XP Modeについて解説した。今回はWindows 7のセキュリティやネットワーク関連の機能について紹介し、概要紹介の最後とする。

BitLocker To Goによるリムーバブル・ドライブの暗号化

 BitLockerは、ディスク・ドライブ全体を暗号化して、情報の漏えい防止を図るための機能である。パスワードなどを正しく入力しない限りシステムを利用できなくし、さらにディスクを取り出してほかのシステムに接続してデータを読み出すといった操作も禁止する。

 Windows 7ではこの機能が強化され、新たに「BitLocker To Go」という名称になった。To Goとは持ち出すとか持ち帰るなどという意味で、新しくリムーバブル・メディアでもBitLockerの機能が利用できるようになっている。USBメモリやリムーバブル・ハードディスクなどにデータを保存して持ち出したときに、それを紛失して情報が漏えいするといった危険性を防ぐことができる。NTFSなら暗号化機能を有効にしておくことが可能だが、一般的なUSBメモリはFATファイル・システムでフォーマットするので、NTFSの暗号化機能は利用できない。BitLocker To Goならファイル・システムによらず、データを安全に保存することができる。

 BitLockerを利用するには、通常は[コントロール パネル]−[BitLocker ドライブ暗号化]アプレットを利用するが、Windows 7ではより簡単に、エクスプローラ上でドライブ名を右クリックして、ポップアップ・メニューから[BitLockerをオンにする]というメニューを選ぶこともできる。

BitLocker To Goの準備
Windows 7では、リムーバブル・メディアも暗号化できるBitLocker To Goという機能が用意された。これはコントロール・パネルから起動したBitLocker管理ツールの画面。エクスプローラ上でドライブ名を右クリックしてBitLocker暗号化の準備を行うこともできる。
これは従来のBitLocker。ハードディスクが対象。ただしこの機能を利用するには、システムにTPM(Trusted Platform Module)というセキュリティ・モジュールが必要だが、TPMはビジネス向け機には多く採用されているものの、コンシューマ向け機には搭載されていないことが多い。
こちらがBitLocker To Go。リムーバブル・メディアも暗号化できる。
これをクリックすると、BitLocker用にメディア全体を暗号化するための準備ウィザードが起動する。

 暗号化したいドライブ(USBメモリなど)を選んで[BitLockerをオンにする]をクリックすると、暗号化を解除するためのパスワードの入力が求められる。BitLocker To Goによって保護されるデータの安全性は結局のところ、ここで入力するパスワードの強度にかかっているので、十分注意してパスワードを決める必要がある。

パスワードの入力
BitLocker To Goによって保護されるデータの安全性は結局のところ、ここで入力するパスワードの強度にかかっているので、十分複雑で、推測されにくいものを使用する必要がある。
パスワードは最低でも8文字以上必要。
大文字や小文字、数字、空白や記号などを組み合わせること(RC版のWindows 7で試した限りでは、すべての種類が必要なわけでもないようだ)。

 ウィザードの次の画面では、BitLocker To Goの「回復キー」を保存する方法を指定する。回復キーとは、ユーザーがパスワードを忘れてしまった場合やスマートカードを紛失した場合に備えて、暗号化を解除するための特別なキーワードである。ZIPファイルにも暗号化するための機能があるが、付けることのできるパスワードは1つだけである。それを忘れてしまうとどうすることもできないが、この場合は回復キーを安全な場所に保存しておけば、後でアクセスすることが可能である。なおNTFSの暗号化ファイル・システムでは、所有者以外に管理者にもアクセスを許可していたが(会社の資産などの場合は、所有者がいなくなった場合などに備えて、第三者が解除できる必要があるため)、この回復キーも同様の目的で用意されていると考えればよいだろう。

 回復キーはファイルに出力するか、印刷して出力しておくことができる。

回復キーの保存
パスワードを忘れたり、スマート・カードなどを紛失してもアクセスできるように、回復キーと呼ばれる第2のキーを生成しておくことができる。
これをクリックすると、テキスト・ファイルとして保存できる。
これをクリックすると、回復キーを印刷することができる。

 以下は、保存された回復キーの例である。

回復キーの例
元のパスワードを紛失した場合は、このキー・データを使ってデータへアクセスしたり、暗号化の解除、新規パスワードの再発行したりなどができる。
これはID。多数のメディアの回復キーをまとめて保存している場合は、このIDを元に(このIDはダイアログに表示される)、必要な回復キーを特定する。
このキーの値(この例では「511588-……」)を後で使用する。

 さて以上の操作が完了すると、実際の暗号化作業が行われる。元のファイルやフォルダを含むメディア全体が暗号化されるので、少し時間がかかる(NTFS暗号化のように、一部のファイルやフォルダだけを暗号化することはできない)。

メディア挿入時にパスワードを入力する

 暗号化の準備が完了すれば、後は通常のリムーバブル・メディアと同様に利用すればよい。Windows 7のPCにこのメディアを挿入すると次のようなダイアログが表示されるので、パスワードを入力すれば、その後は従来どおりにエクスプローラなどで開いて操作できる。使用が終われば、システム・トレイにあるリムーバブル・メディアのアイコンをクリックして、使用を停止してから取り外す。

パスワードの入力
BitLocker To Goで暗号化されたメディアをシステムに挿入/接続すると、このようなダイアログが表示されるのでパスワードを入力する。
パスワードを入力する。
パスワードの文字を表示させるにはこれをオンにする。
これをオンにしておくと、以後、同じPCにこのメディアを挿入した場合は自動的に暗号化が解除され、簡単にアクセスできるようになる(異なるWindows 7 PCへ挿入した場合は、またパスワードの入力が要求される)。
パスワードを忘れた場合は、このリンクをクリックして回復キーの値を入力すればよい。回復キーそのものを紛失した場合はもう解除する手段はない。

 パスワードを忘れてしまった場合は、上記の[パスワードを忘れた場合]というリンクをクリックする。すると回復キーを入力するダイアログが表示されるので、保存しておいたファイルや印刷結果から回復キーの値を入力すればよい。成功するとファイルの内容を閲覧できるし、パスワードを再設定することもできる。

従来のWindows OSでアクセスすると……

 BitLocker To Goで初期化したメディアは内容が暗号化され、非対応のOSではその内容を読み取ることはできない。実際、このメディアを例えばWindows Vista SP2のPCに挿入すると、次のように見える。

BitLocker To Goで暗号化したUSBメモリの内容
これは1GbytesのUSBメモリをBitLocker To Goで暗号化し、ファイルをいくつか保存した後の状態のものを、Windows Vista上で確認しているところである。ファイル・システムはFAT32のままだが、その内容は元のファイル名やフォルダとはまったく異なっている。オリジナルのファイルはすべて暗号化され、1つの大きなファイルの中に保存されている。暗号化データ以外は、すべて同じものが入っている(日付が2009/04/22となっているもの)。
これがUSBメモリのドライブ。
自動実行のための起動ファイル。
暗号化された内容を確認するためのプログラム。
暗号化されたファイルがこの中に入れられている。すべてまとめてこの中に格納されているので、元のファイル名などを推測することも不可能である。

 これで分かるように、ファイル・システムそのものは元のFATやNTFSなどがそのまま使われているので、読み出しエラーになることはない。だがその内容はまったく独自のものとなっている。具体的には、BitLockerToGo.exeという実行ファイルとその関連リソース・ファイル(*.exeや*.muiという名前のファイル)、これを実行するためのautorun.infファイル、そして暗号化されたデータが格納されているファイル(上の例では「COV 0000. ER」ファイル)などが確認できる。

 BitLocker To GoはWindows 7の新機能なので、セキュリティのことを考えると、このOSだけで読み書きできるようにしてもよかったはずである。だがそれではあまりにも不便だからか、従来のOSでも読み出しだけは可能なように作られている。そのためのプログラムがBitLockerToGo.exe(BitLocker To Go Reader)であり、メディアをPCに挿入するとこの読み出しプログラムが自動起動するようになっている。

BitLocker To Goのリーダー・プログラムの自動起動
BitLocker To Goで暗号化したメディアをWindows 7以外のOSで利用する場合は、この専用リーダー・プログラムを使う。
デフォルトではこのプログラムが起動されるようになっている。自動起動を無効にしている場合は、手動で起動する。

 もしリムーバブル・メディアに対する自動起動を無効にしているのなら(ウイルスなどが自動実行されるのを防ぐため、このような自動起動を無効にしていることがある)、リーダー・プログラムを手動で起動すればよい。すると次のようなダイアログが表示されるので、先ほどのWindows 7上での場合と同様に、パスワードを入力する。パスワードを忘れた場合は、やはり同様に回復キーを使うこともできる。

暗号化解除のためのパスワードの入力
このダイアログはWindows 7のものと同じである。
暗号化に使用したパスワードを入力する。
パスワードを忘れた場合は回復キーを入力する。

 パスワードが正しければ、次のようなリーダー・プログラムが起動する。一見するとエクスプローラに似ているが、これはファイルの読み出ししか行えない専用ツールである。ファイルをドラッグしてローカルのPCへコピーするか、選択してダブルクリックするとデスクトップへコピーされる。

BitLocker To Goリーダー・プログラム
Windows 7以外のOSでは、その内容を読み出すことだけが可能になっている。そのために、BitLocker To Goで暗号化したメディアには、リーダー・プログラムが非暗号化された状態で記録されている。
暗号化して保存されているファイル。
ファイルをドラッグしてローカルのコンピュータにドロップすると、ファイルをコピーできる(読み出せる)。書き込むことはできない。


 INDEX
  Windows 7 ベータプレビュー
  第1回 Vistaからさらに進化したWindows 7の新GUI
    1.シンプルになったデスクトップ画面とタスク・バー
    2.ウィンドウ切り替えと通知アイコン、UAC
  第2回 Windows XP Modeとディスク管理機能
    1.Windows XP Mode
    2.ディスク管理ツールの強化
  第3回 ネットワークとセキュリティ機能
  1.BitLocker To Go
    2.AppLockerとネットワーク機能

 「製品レビュー」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間