ニュース
» 2006年05月12日 07時00分 公開

OSボリューム全体を暗号化するVistaの情報漏えい対策 (2/4)

[Michael Cherry,Directions on Microsoft]
Directions on Microsoft 日本語版

ブートファイルの整合性の検証
 BitLockerはTPMを使用して、コンピュータのROMや、ハードドライブのマスターブートレコードといったブート関連コンポーネントなど、複数のソースの記録データを収集および保存する。また各コンピュータ固有の“フィンガープリント”を作成する。これはドライブが別のコンピュータに移されるか、Windowsの非稼働時にブートレコードが変更されない限り変わらない。したがって、例えば攻撃者がハードドライブを別のシステムに移動したり、TPMモジュールを取り外した場合などは、このフィンガープリントが変化する。BitLockerは、この記録データまたはフィンガープリントが変更されていない場合しか、TPM内に保持されている暗号化キーにアクセスできない。ブートプロセスの整合性が確認されると、BitLockerはTPMを使用して、暗号化されているボリュームのマウントに必要なキーの解除を行い、通常のWindowsの起動を許可する。

 システムが起動すると、保護はWindowsに委ねられる。したがって、強力なパスワードなどこれまでのセキュリティ対策が必須であることに変わりはない。

OSボリュームの暗号化
 BitLockerでは、OSボリューム全体を暗号化できる(対照的にEFSでは、システムファイルの暗号化ができない)。OSボリュームとは、Windows OS(Windowsディレクトリを含む)とページファイルやOSの休止用ファイルなどWindows OSのサポートファイルが保存されている論理ボリュームのことで、BitLockerはこれらのファイルをすべて暗号化できる。

 BitLockerを使用する場合は、OSボリュームのほかに、最低でも50Mバイトのシステムボリュームが必要になる。これは、bootmgrやntldrなどWindowsの読み込みと起動に必要なWindowsブートファイルを保持するための専用ボリュームとなる。このボリュームには、OSボリュームとは別のNTFSでフォーマットされた論理ボリュームを使用する必要がある。また、アクティブなパーティションであり、暗号化されていない状態でなければならない。このボリューム上のすべてのデータは、ユーザーデータも含めて、BitLockerによる暗号化は行われないが、これらのファイルが変更されていないかどうかはTPMに保存されているフィンガープリントによって確認できる。

 現時点では、このBitLocker専用のシステムボリュームとOSボリューム以外のデータボリュームや物理ドライブについては、BitLockerによる暗号化はできない。ただしこれらのドライブはEFSによる暗号化が可能であり、EFSの暗号化キーはBitLockerにより暗号化されたOSボリュームに保存されるため、簡単にはハッキングできない。

 TPM 1.2を装備していないコンピュータでも、OSボリューム全体の暗号化は可能だ。その場合は、コンピュータの起動または休止状態からの再開時に、スタートアップキーを保存したUSBフラッシュドライブを使用する。

追加の認証機能も設定可能

 BitLockerではOSブート整合性の検証とOSボリュームの暗号化のほかに、さらなるデータ保護対策として、コンピュータにアクセスするための暗証番号(PIN)またはスタートアップキーを設定することもできる。ただし、この2つの認証オプションの併用はできず、PINかスタートアップキーのいずれか一方しか使用できない。

暗証番号(PIN)
 ユーザーによるPIN入力を必要とすることで、2段階の認証を実現する。つまり、コンピュータを起動してデータにアクセスするためには、TPMとPINの両方が必要になる。PINを利用することでセキュリティは強化されるが、コンピュータを起動または休止状態から再開するたびにPINの入力が必要になるため、コンピュータの使い勝手は悪くなる。また、PINを忘れたり紛失した場合は、組み込みの復元コンソールとActive Directoryやほかの安全な場所に保存しておいた復元キーを使用して、BitLockerキーを復元する必要がある。

Copyright(C) 2007, Redmond Communications Inc. and Mediaselect Inc. All right reserved. No part of this magazine may be reproduced, stored in a retrieval system, or transmitted in any form or by any means without prior written permission. ISSN 1077-4394. Redmond Communications Inc. is an independent publisher and is in no way affiliated with or endorsed by Microsoft Corporation. Directions on Microsoft reviews and analyzes industry news based on information obtained from sources generally available to the public and from industry contacts. While we consider these sources to be reliable, we cannot guarantee their accuracy. Readers assume full responsibility for any use made of the information contained herein. Throughout this magazine, trademark names are used. Rather than place a trademark symbol at every occurrence, we hereby state that we are using the names only in an editorial fashion with no intention of infringement of the trademark.

注目のテーマ

マーケット解説

- PR -