連載
» 2008年01月24日 16時45分 UPDATE

サクッとおいしいVistaチップス 32枚め:Vistaのドライブ暗号化機能「BitLocker」を理解する (1/2)

「PC紛失時や盗難時の情報漏えいを手軽に防ぐ手段はないの?」――VistaのBitLocker機能ならば、その期待に応えてくれるかもしれない。

[織田薫,ITmedia]

Vista Enterprise/Ultimateだけで使える特別な暗号化機能

今回のチップスが使えるエディションは?
エディション Home Basic Home Premium Business Ultimate
対応状況 × × ×
tm0801tips32_08.jpg

 Windows Vistaには、PCの紛失や盗難による情報漏えいを防ぐための新機能「BitLocker」が用意されている。BitLockerは、Enterprise/Ultimateのエディションのみで利用可能だ(Vista Businessには非対応)。Vista Enterpriseは企業向けのボリュームライセンスで販売されているため、一部の企業ユーザー以外でBitLockerを使うにはVista Ultimateが必須となる。

 BitLockerは主に大企業での運用を想定したセキュリティ機能だが、Vista UltimateをモバイルノートPCなどで使っている場合は、データ保護のために試してみて損はないだろう。

 BitLockerは、特定のハードウェアを組み合わせることで、OSが格納されたドライブを暗号化する機能だ。前回紹介したファイルの暗号化機能「EFS」と異なり、ユーザーごとの制御を行うことはできない。OSが格納されたドライブ以外を暗号化したい場合、EFSを使う必要があり、BitLockerとEFSは併用できる。

 BitLockerで保護できるのはOSを起動するまでのデータセキュリティで、OSを起動してしまえば、BitLockerの利用を意識することなく使える。また、EFSと異なりパフォーマンスの低下も少なく、一般的には低下しても数%程度に収まる。

BitLockerの利用にはTPMかUSBメモリが必要

 BitLockerを利用する場合、HDDに暗号化されて保存されているデータを復号するための鍵が必要になる。HDDを暗号化する鍵(FVEK:Full Volume Encryption Key)、およびその鍵を暗号化する鍵(VMK:Volume Master Key)はVistaによって自動的に提供され、ユーザーが直接操作することはできない。FVEKの暗号化は無線LANでおなじみのAES方式(128ビット/256ビット)を採用している。

BitLockerで採用している鍵
必要なもの セキュリティ
TPMのみ 低い
USBメモリのみ まずまず
TPM+PINコード 高い
TPM+USBメモリ 最高

 ユーザーが管理できるのはVMKを復号する鍵で、「TPMを利用する方法」「TPMにUSBメモリもしくはPINコードを組み合わせて利用する方法」「USBメモリを利用する方法」が用意されている。TPM(Trusted Platform Module)は、いわゆるセキュリティチップでPCにあらかじめ搭載されている必要がある。BitLockerがサポートするのは、TPM 1.2以上だ。PINコードは4〜20桁の暗証番号となる。

 TPMのみを利用する場合は、起動時にUSBメモリやPINコードの入力は求められない。TPMから暗号鍵を自動的に取り出し、HDDの内容を復号する鍵を取り出すという流れだ。この際、VMKを暗号化してTPMに格納するのにSRK(Storage Root Key)というもう1つの鍵が使われる。起動後は、BitLockerを適用していない場合とまったく同じように使えるため、PCを紛失した場合はHDD内のデータが保護されないと考えてよい(TPMに格納された鍵を盗まれない限り安全なので、HDD単体の盗難には意味がある)。

 TPMにUSBメモリもしくはPINコードを組み合わせて利用する場合は、起動時にUSBメモリの挿入かPINコードの入力が必要になるため、ノートPCを盗まれても第三者がOSを起動することはできない。HDD内のファイルは暗号化されているため、データ漏えいの危険性が低くなる。ノートPCでBitLockerを利用するのであれば、この方法を使うように構成したほうがよいだろう。ノートPCとUSBメモリを組み合わせて別々に管理していれば、なお効果的だ。

 USBメモリのみを利用する場合は、起動時にUSBメモリの挿入が求められる。その場合、BIOSが起動時のUSBフラッシュドライブの読み込みをサポートしている必要がある。この方法を使うには、あらかじめグループポリシーの設定を変更しておく(※)。

※スタートボタンをクリックし、検索ボックスに「gpedit.msc」と入力してEnterキーを押す。「グループポリシーオブジェクトエディタ」が起動するので、「ローカルコンピュータポリシー」の「コンピュータの構成」→「管理用テンプレート」→「Windowsコンポーネント」→「BitLockerドライブ暗号化」と進む。次に「コントロールパネルセットアップ:詳細なスタートアップオプションを有効にする」から「互換性のあるTPMが装備されていないBitLockerを許可する」のチェックボックスをオンにする。



 次にBitLockerを利用する手順を見ていこう。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

この記事が気に入ったら
ITmedia PC USER に「いいね!」しよう