Microsoftの「Bitlocker」はデータセキュリティの救世主となるか？（2/2 ページ）

[John G. Spooner，eWEEK]

　シュナイアー氏は「セキュリティでは小さな問題が大きな問題へ発展するもの」だが、「わたしが得ている情報からは、（Bitlocker）はすぐれた機能であるように思える」と同製品を評価した。

　ただし同氏は、どのソフトウェアでもそうだが、時とともに新たな脆弱性が明らかになり、修復が必要になるとも述べている。

　Microsoftの関係者によれば、BitlockerはTPM（Trusted Platform Module）セキュリティチップと連係させることもできるし、単独で稼働させることも可能だという。だが、同暗号化ツールを最高の状態で利用するには、TPM 1.2対応チップとセキュアなBIOSを組み合わせた環境を整えるのがよいと、Microsoftは話している。

　マシンにTPMチップが搭載されている場合、Bitlockerは同チップを利用して、コアシステムファイル（マスターブートレコードなど）のスキャンに基づいた暗号鍵と、ハードドライブ自体の暗号鍵を生成する。Microsoftでプログラムマネジャーを務めるショーン・アイゼンハワー氏は、Bitlockerでは、オペレーティングシステム、ページファイル、一時ファイル、ハイバネーションボリューム、ユーザーデータ、空きスペースを含むドライブの全ボリュームを暗号化できると、5月24日のWinHECにおける講演で説明した。

　鍵を生成したあとに、コアファイルの一部が変更されていたり、置き換えられていることが判明した場合は、マシンに改ざんが加えられたか、データにアクセスするためにハードドライブが取り除かれた可能性があると判断し、BitlockerはOSの起動前に鍵を発行しない。したがって、データは暗号化された状態で維持されると述べている。

　「OSの初起動後は、マシンに電源を入れるたびに現行の各種計測値が一致しているかどうか、照合が行われる。これにより、TPMはBIOSや（外付け）ドライブに対するハッキングが試みられた場合にそれを検知し、OSのほかの部分に対する暗号鍵の発行を停止する」（アイゼンハワー氏）

　Bitlockerは、Vistaのセキュリティコントロールパネル画面からボタンを数回クリックし、そのあと多少の設定作業を行えば有効化できるという。Bitlockerが有効になっているマシンへのログインおよびアクセスには、USBドライブにログインキーを保存しておく、PIN（個人認識番号）を作成する、TPMのみを使用するなどの数種類の方法がある。

　USBキーをラップトップのケースに同梱して持ち運ぶ人は少ないと思われることから、TPMとUSBキーを併用するのが最も安全な方法だといえるが、USBキー自体を紛失したり盗まれたりする可能性は残っている。PINまたも、同様のリスクを抱えている。一方、TPMのみを使用する方法はいちばん手軽だが、データ取得を目的としたシステムパスワードのクラッキング対策にしかならない点がデメリットだ。

　「TPMを単独で利用する方法は、ユーザー側から見た簡便性という面では非常にすぐれている。ユーザーは、マシンがTPMチップを搭載していることすら認識していなてくもよいのだ。控えめに見積もっても、TPMの保護機能はデータの安全性を維持するための非常に重要な土台を形成すると言える」（アイゼンハワー氏）

　PINをなくしたり忘れたりした場合に備えて、Bitlockerではリカバリキーを生成しておくことができる。リカバリキーは、ファイルに保存するか、印刷するか、あるいはWebや、ドメインに参加している企業マシンを管理するActive Directlyサーバに保管することが可能だ。

　しかし、セキュリティの専門家らはHDDの暗号化するメリットを認めているものの、Bitlocker自体やその利用法にある種の懸念を抱いている。

　「Bitlockerは、きわめて拘束的なデジタル権利管理（DRM）システムの登場を促すおそれがある。そうした将来への道はすでに踏み固められつつあり、われわれはMicrosoftが同技術を乱用しないよう、目を光らせていかなくてはならない」（シュナイアー氏）

　また、Bitlockerが業界標準仕様に準拠しないのではないかと心配する向きも見られる。

　マサチューセッツ州ウェイランドのEndPoint Technologies Associates社長ロジャー・ケイ氏は「企業が同時に複数の方向性を打ち出しているのを見ると、憤りを感じてしまう。これをよくやるのがMicrosoftだ。同社はあらゆる標準化団体に顔を出しているが、いざ製品化となると独自の方法を推し進める」と苦言を呈した。

　PC業界が準拠する仕様は、単一のものに絞るのがより好ましい。

　だがケイ氏は、Microsoftがごく短期間のうちに製品を市場に投入している事実は、注目に値すると述べている。

　「Microsoftのやり方がすべて間違っているというわけではない。同社は有用な機能を迅速に提供しようとしているのだ」とケイ氏は話し、ハードドライブ暗号化に関する独自仕様の開発においては、「Trusted Computing Groupの取り組みも迷走している」と指摘した。