OSボリュームをBitLockerで暗号化するのは、とても簡単だ。Windows 8.1のエクスプローラーでOSボリューム(Cドライブ)を右クリックして、「BitLockerを有効にする」を実行すればいい。もし、IT管理者がAD配下のPCに対してBitLockerを設定するなら、ADのグループポリシー管理でBitLockerを利用する設定にすればいい。
ただ、OSボリュームを暗号化するBitLockerは、TPMの利用が推奨されているため、デフォルト設定では、TPMが無いPCに対しては暗号化できない。そこで、グループポリシーを変更して、TMP以外の手段を利用できるように設定する。これにより、パスワードやUSBメモリをBitLockerのアクセスキーとして利用することが可能になる。
OSボリュームをBitLockerで暗号化する場合、OSボリュームの暗号化に時間がかかる。以前は、使用していない領域を含めた全体を暗号化していたため、非常に時間がかかった。Windows 8.1では使用領域を先行して暗号化するため、待ち時間は少しは短くなった。
実際に試してみると、1テラバイトのOSボリューム(使用領域は80Gバイトほど)を暗号化するのに、30分ほどかかった。このため、BitLockerの暗号化は、時間に余裕のある場合に行った方がいいだろう。ただ、暗号化の最中でもPCは利用できる(暗号化処理で動作がもたつき、さらに暗号化の時間がかかることになるが)。このため、企業などではWindows 8.1のPCの導入時に、週末や長期休暇などのタイミングを使えば、ユーザーの仕事を妨げることはないだろう。
USBメモリなどのリムーバブルデバイスのBitLocker暗号化も、OSボリュームの暗号化と手順は変わらない。OSボリュームは数百GバイトのHDDを暗号化するために時間はかかるが、USBメモリは数Gバイト程度なので暗号化はすぐに終了する(8GバイトのUSBメモリで30秒ほどだった)。
リムーバブルメディアのBitLocker暗号化をした場合、ユーザーがパスワードなどを変更できる。このあたりは、ユーザーの使い勝手を考えてユーザー個人で管理できるようになっている。
BitLocker暗号化を行ったドライブは、ディスクアクセスのたびに暗号化、復号化されるため、若干ディスクアクセスが遅くなる。また、暗号化/復号化の度にCPUパワーが必要なので、あまり遅いCPUだと使いにくい。ただ、現状のWindows 8.1に対応したPCなら、CPU性能は問題無いだろう。
これから企業でデスクトップPC以外に、ノートPCやタブレットなどが利用されてくる状況を考えると、BitLockerなどの暗号化手段によって、端末を安全に保つことは必須になるだろう。BitLockerは、ADと連携しているため、IT管理者の視点では管理がしやすい(回復情報はADに格納される)。
今後のセキュリティリスクも考慮すれば、企業や組織ではPCの暗号化を全面的に採用すべきだ。コスト面でも、Windows 8.1 Enterprise/Proを導入すれば、追加コストなしにBitLocker暗号化が利用できる。Windows Server 2012/2012 R2を導入しているなら、BitLockerの管理もしやすい。Windows 8.1を使うなら、BitLockerの採用をぜひ検討すべきだろう。
Copyright © ITmedia, Inc. All Rights Reserved.