ニュース
» 2006年05月12日 07時00分 公開

OSボリューム全体を暗号化するVistaの情報漏えい対策 (3/4)

[Michael Cherry,Directions on Microsoft]
Directions on Microsoft 日本語版

スタートアップキー
 PINと同様にスタートアップキーも2段階の認証を実現する。スタートアップキーは各コンピュータ固有の長い数値列で、USBフラッシュドライブに保存できる(スマートカードは不可)。このUSBフラッシュドライブは、コンピュータの起動時または休止状態からの再開時には、必ず取り付けておく。スタートアップキーが保存されているデバイスは、電源を入れてからPCが起動するまでのコンピュータの始動時に当該コンピュータに挿入されている必要がある(OSのマウント前にBIOSがスタートアップキーデバイスを検出する必要がある)。ただしWindowsへのログオンが完了したら、このデバイスは取り外してコンピュータとは別に保管しなければならない。この点は、特にユーザーが移動中の場合に重要だ。こうしておくことで、実際にラップトップが盗難に遭った場合でも、盗んだ側に必要なスタートアップキーが渡らずに済む。

利用可能なBitLocker機能

OSブートファイルの整合性チェック ボリューム全体の暗号化 暗証番号によるPCの保護*1 スタートアップキーによるPCの保護*1
TPM 1.2搭載
TPM非搭載 × × ○*2
Windows VistaのBitLockerの各種機能(表上段)を利用できるかどうかは、基盤となるハードウェアにバージョン1.2(以上)のTPM(Trusted Platform Module)が搭載されているかどうかによる。
*1 暗証番号またはスタートアップキーのいずれかのみ(併用は不可)。
*2 スタートアップキーを保存したUSBフラッシュドライブが必要。


保護データにアクセスできなくなったら?

 BitLockerにより保護されたデータにアクセスできなくなる条件はいくつかある。例えば、ハードドライブが別のマシンに移された場合や、マザーボードがアップグレードされた場合、ブートファイルが変更された場合、PINまたはスタートアップキーを紛失した場合は、保護データにアクセスできなくなる。BitLockerには、暗号化されたデータを復元するための復元キーと復元プロシージャが用意されている。復元プロセスにはTPMを一切必要としないため、TPMが故障や紛失した場合や、ブートコンポーネントを検証できない場合でも、復元を行うことが可能だ。

 復元にあたっては、BitLockerのセットアップ中にランダムに生成される48桁の復元キーを使用して、BitLockerキーのコピーの解読が行われる。この復元キーは、USBフラッシュドライブ、またはファイルやActive Directoryに保存するか、印刷しておく。また、グループポリシーを使った復元方法の設定も可能だ。

BitLockerの制限

 BitLockerによりセキュリティを強化できるが、保護の適用期間や暗号化できるボリュームの制限、復元キーの保管が必須であるなど、いくつかの制限がある。

保護はオフライン時のみ
 BitLockerによる保護はオフライン時のみ、つまりWindowsが実行されていない間に限られる。したがって、BitLockerは既存のセキュリティ関連サービスやセキュリティ対策に置き換わるものではなく、これらを補完するものである。不正なソフトウェアからの保護には、やはりアンチウイルスやアンチスパム製品は欠かせない。コンピュータのログオン権を持つ不正ユーザーに対する保護もBitLockerでは提供されないため、これまでと同様に強力なパスワードを設定し、適切に管理することでWindows Vistaのセキュリティは確保する必要がある。また、BitLockerはある種のハードウェア攻撃に対しても効力がない。ただし、この種の攻撃にはかなりの専門知識が必要で、攻撃対象のコンピュータにハードウェアデバッガが取り付けられている必要がある。

Copyright(C) 2007, Redmond Communications Inc. and Mediaselect Inc. All right reserved. No part of this magazine may be reproduced, stored in a retrieval system, or transmitted in any form or by any means without prior written permission. ISSN 1077-4394. Redmond Communications Inc. is an independent publisher and is in no way affiliated with or endorsed by Microsoft Corporation. Directions on Microsoft reviews and analyzes industry news based on information obtained from sources generally available to the public and from industry contacts. While we consider these sources to be reliable, we cannot guarantee their accuracy. Readers assume full responsibility for any use made of the information contained herein. Throughout this magazine, trademark names are used. Rather than place a trademark symbol at every occurrence, we hereby state that we are using the names only in an editorial fashion with no intention of infringement of the trademark.

注目のテーマ

マーケット解説

- PR -