【検証機のパーツ構成】
CPU:Intel i7-3770
M/B:Intel DQ77MK
SSD:Intel 510 250GB
MEM:OCMEMORY OCM2400CL10D-8GBN 8GB(4GB*2) DDR3-1600動作
BitLockerとは
BitLockerは、Windows Vista/Windows Server 2008から導入された、ハードディスクやリムーバブル・メディア(USBメモリなど)の内容を暗号化してセキュリティを確保する機能である。データを暗号化しているため、例えば紛失や盗難などでディスクだけが盗まれたとしてもデータを読み出すことができなくなる。実際にはデータが読めないわけではなく、暗号化されているだけなので、時間をかければ解読されてしまう可能性があるが、現状では十分安全な方式といえる(ただしパスワードが短すぎると安全性が低くなるので、なるべく複雑で長いものにするなどの対策が必須である)。
用語解説
TPM(Trusted Platform Module)
ハードウェア暗号化などをサポートするICチップ。TPMはシステム内部に固定的に用意されており、取り替えたりできないため、個体を識別するのに利用できる。TPM 1.2と2.0をサポートする
Windows 8のBitLocker
利用できる暗号化の機能(方法)などは、対象となるボリュームのタイプによって異なる。Windows OSのブートに利用するシステム・ボリュームではTPMが使用されるが、ユーザー・データ・ボリュームではTPMは使われず、パスワードのみが使用される。データ・ボリュームはシステムから取り外されることがあるため、TPMには依存しない暗号化方法が使われている。
BitLockerの必要要件、インストール
BitLocker暗号化機能は、Windows 8のProとEnterpriseエディション(x86かx64)、およびWindows RT(ARMアーキテクチャのWindows 8)で利用できる(Windows Server 2012でも利用可能)。Windows 8の無印エディションでは利用できないが、なぜかWindows RTではサポートされている(例えばMicrosoftのタブレットPC「Surface RT」はC:ドライブが暗号化された状態で出荷されている)。また必須ではないものの、暗号化をハードウェア・サポートするTPMがあれば利用される。
システム・ドライブのBitLocker暗号化
それでは実際にBitLockerを使ってみよう。まずはTPMが搭載されているWindows 8システムで、システム・ドライブ(C:)を暗号化してみる。
C:ドライブを暗号化するには、ドライブ名を右クリックして、ポップアップ・メニューから[BitLocker を有効にする]を選択するか、BitLockerの管理ツールを起動してドライブごとに暗号化の有効/無効を設定する。BitLockerの管理ツールは、コントロール・パネルの「システムとセキュリティ」グループを開いて、「BitLockerドライブ暗号化」というツールをクリックして起動する。Windows RTの場合はコントロール・パネルには登録されていないようなので、[Windows]+[Q]の検索チャームで、「BitLocker」を検索するとよいだろう。BitLocker機能はあらかじめインストールされているので、Windowsの機能として追加インストールする必要はない。
ウィザードの最初の画面では、回復キーをどこの保存するかを設定する。「ファイルに保存する」と「回復キーを印刷する」は以前のWindows OSでも利用できたが、Windows 8にMicrosoftアカウントでサインインしていると、「Microsoftアカウントに保存する」という選択肢が表示される
Microsoftアカウントに保存させると、回復キーのデータは指定したアカウントのSkyDrive上に保存される。保存された回復キーは、以下のURLにアクセスすれば確認できる。
SkyDrive上の回復キーのサイト:「
http://windows.microsoft.com/recoverykey」または「
http://skydrive.com/recoverykey」
このURLにアクセスしてサインインすると、Microsoftアカウントとして登録したメール・アドレスに確認用のメールが送信されるので、メールを開いてそこに書かれている数字コードを確認し、それを指定されたページに貼り付ける。すると次のような回復キーが確認できる。今後回復キーが必要になった場合は、ここからキーの値をコピーして使えばよい。
ウィザードの次の画面では暗号化を行う範囲を指定する。以前のBitLockerではまずボリューム全体を暗号化していたが、Windows 8では現在使用中の部分のみを暗号化できるようになった。そのため大幅に初期化の時間が短縮されている。ただし未初期化部分のデータはそのまま残っているので、もしディスク全体をダンプ出力すれば、以前のデータの痕跡が見えてしまう可能性がある。それが心配ならボリューム全体を暗号化すればよいだろう
次の画面では、システム・チェックをするかどうかを設定する。
「続行」をクリックすると再起動の確認画面が表示されるので、再起動させる。システムを再起動後、再サインインすると、初期化(暗号化処理)が開始される。BitLockerの管理ツールを開けば進行状態をチェックできる。使用しているディスクのサイズにもよるが、完了までは数十分はかかるだろう。とはいえ、バックグラウンドで順次処理されるので、初期化中でも通常の作業をしていても構わない。
全部終わると次のようになる。
このシステムはTPMを持っていたため、システム・ドライブでもBitLockerを有効にできた
し、再起動時にもユーザーがするべき操作は何もない。暗号化のキー・データはTPMチップ上に保存され、システム起動時に自動的にロードされているので、何も操作しなくても自動的に暗号化やその解除が行われている。
だがこれはセキュリティ的にはやや脆弱だろう。ユーザーから見ると、BitLocker暗号化を行っていないシステムの場合と同じであり、ユーザー名とパスワードさえ分かれば、ディスクの内容を見ることができるからだ(システムから取り外したディスクをほかのPCで見ることはできない)。そこで、必要ならPINコードやスタートアップ・キー(USBメモリ)によるセキュリティも同時に取り入れた方がよいだろう。そのためには、manage-bde.exeコマンド(BitLockerの管理用コマンドの1つ)で操作したり、(次の項目で述べる)グループ・ポリシー設定を変更してからもう一度初期化し直すなど、いろいろ方法がある。
暗号化されたシステムのパフォーマンスを見たいただきたい。
【第一の謎】「インテル® バーチャライゼーション・テクノロジー」とは!?の時に、使ったSiSoftwareのSundraを使用しました。
暗号化導入前に比べて、若干スピードは落ちたものの、問題ないレベルにあると思います。レビューには取り上げてませんが、Windowsの起動も、起動プロセスが増えたということで、起動時間も多少延びました。こちらも気にするレベルではありません。
BitLockerそのものは、システムにTPMが必須ではありません。TPMがなくてもBitLockerは使えます。ただ、TPMがあれば、パスワードなどは全てハードウエアで管理されており、よりセキュアなシステムを構築することが出来ます。
まだ導入に当たっては、TPMを持たないシステムだと、導入手順がやや煩雑になり、導入後も起動時に毎回パスワードの入力を求められます。
このように、TPMを持ったシステムでのBitLockerの導入は、一度設定してしまえば、意識することないでしょう。
最後に、パーソナルユースでの暗号化もそれなりに意味はあると思いますが、導入される方は少ないでしょうね(^^ゞ