ニュース
» 2006年05月12日 07時00分 公開

OSボリューム全体を暗号化するVistaの情報漏えい対策 (1/4)

Vistaの新機能BitLocker Drive Encryptionは、OSボリューム全体の暗号化を実現する。ただし、ドライブの設定が複雑になるほか、復元キーを確実に保管しておく必要がある。また、搭載バージョンも限定されているため注意が必要だ。

[Michael Cherry,Directions on Microsoft]
Directions on Microsoft 日本語版

 BitLocker Drive Encryptionは、Windows Vistaで初めて導入される新機能の一つで、データの盗難や、コンピュータの紛失、再利用によるデータの漏えいリスクを軽減する機能だ。ハードウェアが対応していれば、BitLockerおよび暗号化ファイルシステム(EFS:Encrypting File System)を利用して、コンピュータのデータをすべて暗号化できるほか、ハッキングされた場合に主要なOSコンポーネントの起動を防ぐことができる。しかしBitLockerを使うには、PCの設定が複雑になる。また同機能はVistaのEnterprise版とUltimate版にしか搭載されない予定であるため、ライセンスにも注意が必要だ。

BitLockerの必要性

 米国では毎年ラップトップPCの盗難が70万件以上も発生しており、盗まれたPCからの企業の内部データや顧客データの漏えいが相次いでいる。また、コンピュータを破棄する場合も同様の問題が発生している。ある調査によれば、破棄または再利用されたコンピュータのうち半数以上で、消去されているはずの企業データや個人を特定できる情報がハードドライブに残されていたという。

 Windows XPなどこれまでのWindowsでは、暗号化ファイルシステム(EFS)を提供し、ログオンユーザーのファイルを自動的に暗号化するようにしている。ただし、EFSには弱点がある。システム属性がセットされているファイルとWindowsのシステムディレクトリにあるファイルは、EFSキーも含めて、暗号化できない。つまり、ハッカーが別のOSを使ってPCをブートし、ボリューム内のデータをオフラインで読み取り、管理者パスワードを強引に入手して、システムファイルにアクセスすることが可能だ。この攻撃が成功した場合、ハッカーは通常の方法でWindowsを起動し、EFSキーを手に入れることができる。

 盗まれたラップトップPCにハッカーの興味を引くデータがない場合や、データを盗み出すために必要なリソースがない場合でも、当該PCの所有者はこのPC上のデータが第三者に読み取られたものと考えなければならない。また、会社はデータ漏えいの事実の有無にかかわらず、被害を緩和するための対策を講じる必要がある。

 対照的にBitLockerを利用できるWindows Vistaでは、次のようなさまざまな攻撃からPCを保護する。

  • 他のOSを使用したコンピュータの起動、またはソフトウェアのブートシーケンスの変更による管理者パスワードのリセットまたは回避。
  • 他のOSを使用したコンピュータのハードディスクへのアクセス。この場合、ファイルのアクセス権の有無に関係なく、直接ハードディスクにアクセスできる。
  • システムファイル(ページファイルやコンピュータの休止時にコンピュータの状態を保存するファイルなど)へのアクセス。

 またMicrosoftは、BitLockerを利用した場合、BitLockerの暗号化キーを破棄するだけでPCを安全に再利用できるとしている。キーを破棄すると、システムファイルだけでなくユーザーデータも含めドライブ上のすべてのファイルが解読できなくなるという。

マイクロコントローラと連携

 BitLockerは、“Palladium”と称されるMicrosoftのNGSCB(Next Generation Secure Computing Base)プロジェクトから生まれたもので、バージョン1.2のTPM(Trusted Platform Module)を備えたコンピュータ上で2つの重要なセキュリティ機能を実現する。TPMは、さまざまな暗号化サービスを提供するオプションコンポーネントであり、通常はコンピュータのマザーボード上に実装されるマイクロコントローラである。BitLockerはTPMと連係して、OSの起動前に主要なWindowsファイルの整合性を検証し、OSボリューム(ディスク上のWindows OSが保存されている論理ボリューム)内のすべてのファイルを暗号化する。

       1|2|3|4 次のページへ

Copyright(C) 2007, Redmond Communications Inc. and Mediaselect Inc. All right reserved. No part of this magazine may be reproduced, stored in a retrieval system, or transmitted in any form or by any means without prior written permission. ISSN 1077-4394. Redmond Communications Inc. is an independent publisher and is in no way affiliated with or endorsed by Microsoft Corporation. Directions on Microsoft reviews and analyzes industry news based on information obtained from sources generally available to the public and from industry contacts. While we consider these sources to be reliable, we cannot guarantee their accuracy. Readers assume full responsibility for any use made of the information contained herein. Throughout this magazine, trademark names are used. Rather than place a trademark symbol at every occurrence, we hereby state that we are using the names only in an editorial fashion with no intention of infringement of the trademark.

注目のテーマ

マーケット解説

- PR -