ノートPCのデータを絶対に漏えいさせないために：アプリケーションに見るトラステッド・コンピューティング（1/2 ページ）

TPMを用いてPC内のデータ保護が行えるBitLockerは、企業におけるセキュリティソリューションの切り札になるだろう。常に情報漏えいの危険性を伴っていた外出時のノートPCの利用が、BitLockerによって劇的に安全になるのだ。

[本田雅一，ITmedia]

このコンテンツは、オンラインムック「トラステッド・コンピューティングの世界」のコンテンツです。関連する記事はこちらで一覧できます。

　セキュリティチップのTPM（Trusted Platform Module 1.2）を用いた暗号化、電子証明書保管が、いかに強固なものであるかについて前回の記事で触れた。TPMを用いればソフトウェアによる用いたクラッキングの手法はもちろん、ハードウェアのモニタリングあるいは破壊を伴うような解析を行ったとしても、セキュリティ上重要な秘密鍵や電子証明書を盗むことはできない。

　しかし、情報を保護するための仕掛けとしては非常に強固であるTPMを用いたとしても、実装と運用によっては情報漏洩の可能性が出てくる。従来の実装では、TPMを利用するアプリケーションがOSの上で動作していたからだ。部分的（例えば起動時のパスワード保護など）にはTPMがBIOSレベルで使われていたが、より応用的な機能はOS上で実現するしかなく、そこにセキュリティの穴の可能性が介在する。

　そこで、Windows Vista Ultimate／Eterprise EditionおよびWindows 2008 Serverは、OSレベルでTPMへの対応を図った。OSの対応が進んだことで、より幅広くTPMを活用できるようになるだろう。ここではまずWindowsにおけるTPMサポートについての情報を整理することにしよう。

BitLockerこそが最大のメリット

　Windowsがサポートするのはコンテンツ保護（RMS）、暗号化ファイルシステム（EFS）、それにBitLockerだ。このうちRMSとEFSはOSの機能ではあるが、アプリケーションとして後からインストールする機能でも代替することはできる。しかし、BitLockerはそうはいかない。VistaのTPM対応において、最も大きな価値があるのはBitLockerだ。

　BitLockerとは、ハードディスクのパーティションをまるまる暗号化する機能。例えばTPM対応のセキュリティパッケージやEFSでは、特定のフォルダを暗号化する機能が提供されるが、当然ながら保護されたフォルダの外に置かれたファイルは暗号化されていないため、運用が甘いとノートPCを盗まれた場合に機密情報が漏れてしまう可能性が出てくる。

　しかし、BitLockerはWindowsがインストールされたパーティションをも暗号化できる。起動用のシステムファイルはもちろん、メモリスワップに利用するファイルやハイバネーションに使うファイルまで暗号化するので、それらからメモリ内容を解析して何らかの情報を取り出すといったことも不可能だ。

　Windows Vistaの最初のバージョンでは、BitLockerはWindowsが収められたパーティションしか暗号化できない。OSのインストールされたパーティション以外にデータ用パーティションを設定したり、追加のハードディスクを接続する場合は、別途EFSなどを用いて暗号化しなければ保護できなかった。しかし、先日開発が完了したWindows Vista SP1では複数パーティションをBitLockerで暗号化できるよう改良されている。なお、Windows 2008 Serverは最初のリリースからこれに対応している。