ノートPCやタブレットを出先でうっかり紛失するリスクをゼロにはできないが、暗号化によって悪用を防ぐことはできる。かつてのOSでは面倒なところもあったが、最新版OSでは使い勝手が大幅に向上しているようだ。
今回はWindowsのドライブを暗号化して、高いセキュリティレベルを持たせる「BitLocker」とデバイス暗号化に関して解説していく。前回取り上げた「Windows To Go」でもOSがインストールされたUSBメモリをBitLockerで暗号化することが必須になっている(USBメモリのハードウェアにBitLockerよりも高い暗号化システムが入っている場合は、BitLockerを使わなくてもいい)。
このように、ノートPCやタブレットなど企業のデータが入った端末やWindows To Goデバイスを持ち歩く場合は、ドライブを暗号化するBitLockerが必要とされる。
Windows 8.1/RT 8.1には、HDDやUSBメモリなどのデバイスを暗号化する機能として、デバイス暗号化とBitLockerの2種類が用意されている。
デバイス暗号化は、個人ユーザー向けのデバイス暗号化機能だ。デバイス暗号化ではWindowsのOSボリュームだけを暗号化する。このため、USBメモリやOSボリューム以外のディスクボリュームの暗号化はできない。機能自体はWindows 8.1/RT 8.1の全エディションで利用できる。ただし、デバイス暗号化を利用するためには、「InstantGo(デバイスのスリープ時にも通信を続ける機能)」が必須となっている。
また個人ユーザー向けの機能であることから、パスワードを忘れたときの回復情報はWindows 8.1のインストール時に使用したマイクロソフト アカウント(管理者権限が必要)のクラウドストレージ「OneDrive」に保存される。何かあったときにシステムの回復は、個々のユーザーが自分自身で行う。
一方、BitLockerは、WindowsのOSボリュームだけでなく、リムーバブルデバイス(USBメモリやSDメモリ、USB接続型HDD)、固定ボリューム(内蔵のHDD)などのドライブを暗号化する(OSボリュームや固定ボリュームの暗号化をBitLocker、リムーバブル デバイスの暗号化をBitLocker To Goといわれる)。
BitLockerとBitLocker To Goは、Windows 8.1 EnterpriseとProだけしか利用できない機能だ。もう一つ、BitLocker/BitLocker To Goを利用する場合、PCで「TPM(Trusted Platform Module:PC内部に用意された交換できないセキュリティチップ)」をサポートしていることが推奨されている。
TPMは、WindowsのOSボリュームの暗号化に利用される。リムーバブルデバイスが利用するBitLocker To Goでは、TPMを使わない暗号化が行われる。リムーバブルデバイスを別のPCでも利用することがあるためで、TPMを使ってしまうと、暗号化したPCだけでしか利用できなくなるためだ。
USBメモリのBitLocker To Goではパスワードやスマートカードを使って暗号できる。また、Windows 8.1のBitLocker To Goで暗号化したUSBメモリをWindows 7のPCで利用する場合に、自動的にBitLocker暗号化を認識して、パスワードなどを要求する。
デバイス暗号化とBitLockerは、管理面でも大きく異なる。デバイス暗号化は、OSボリュームの回復情報をクラウドのOneDriveに保存する。PCがActive Directory(AD)の配下にある場合は、ADに回復情報が保存される(USBメモリにファイルとして保存することも可能)。仮にユーザーがPCのパスワードを忘れてしまっても、ADに保存されている回復情報を使ってOSボリュームを回復できる。
さらに、Windows Server 2012以降のサーバOSと連携して、Windows 8/8.1ではネットワーク経由での暗号解除できるようになった。デバイス暗号化やBitLockerでは、コンピュータ アカウントをロックアウトする機能が用意されている。この機能を使えば、指定回数のWindowsのログインに失敗すると、PCがロックして回復情報を入力しない限りOSがブートしない。
このような機能を使えば、PCが盗まれて何度もログイン失敗を繰り返せば、PC自体がロックアウトされ、ログイン自体できなくなる。これなら、社外に持ち出すノートPCのセキュリティレベルを高く保てる。
Copyright © ITmedia, Inc. All Rights Reserved.