ソフトウェアベースに頼るセキュリティの課題を解決するために、ハードウェアベースでセキュリティ機能を強化しようと立ち上がったのがインテルである。インテルは、多くの企業システムで稼働するコンピュータに標準的に採用されているプロセッサ、およびチップセットにセキュリティ機能を組み込み始めている。これにより、これまで検知することが難しかったソフトウェアの改ざんをハードウェアの機能によって検知可能にし、セキュリティの堅牢性を高めようというのだ。これが「インテル・トラステッド・エグゼキューション・テクノロジー(インテルTXT)」という新しいセキュリティ技術である。
更新: 2013/07/08
j5 create(ジェイファイブ・クリエイト)の魅力や特長
PREMIUM REVIEW
ハードウエアによるBitLocker
CPU:Intel i7-3770
M/B:Intel DQ77MK
SSD:Intel 510 250GB
MEM:OCMEMORY OCM2400CL10D-8GBN 8GB(4GB*2) DDR3-1600動作
BitLockerとは
BitLockerは、Windows Vista/Windows Server 2008から導入された、ハードディスクやリムーバブル・メディア(USBメモリなど)の内容を暗号化してセキュリティを確保する機能である。データを暗号化しているため、例えば紛失や盗難などでディスクだけが盗まれたとしてもデータを読み出すことができなくなる。実際にはデータが読めないわけではなく、暗号化されているだけなので、時間をかければ解読されてしまう可能性があるが、現状では十分安全な方式といえる(ただしパスワードが短すぎると安全性が低くなるので、なるべく複雑で長いものにするなどの対策が必須である)。
用語解説
TPM(Trusted Platform Module)
ハードウェア暗号化などをサポートするICチップ。TPMはシステム内部に固定的に用意されており、取り替えたりできないため、個体を識別するのに利用できる。TPM 1.2と2.0をサポートする
Windows 8のBitLocker
利用できる暗号化の機能(方法)などは、対象となるボリュームのタイプによって異なる。Windows OSのブートに利用するシステム・ボリュームではTPMが使用されるが、ユーザー・データ・ボリュームではTPMは使われず、パスワードのみが使用される。データ・ボリュームはシステムから取り外されることがあるため、TPMには依存しない暗号化方法が使われている。
BitLockerの必要要件、インストール
BitLocker暗号化機能は、Windows 8のProとEnterpriseエディション(x86かx64)、およびWindows RT(ARMアーキテクチャのWindows 8)で利用できる(Windows Server 2012でも利用可能)。Windows 8の無印エディションでは利用できないが、なぜかWindows RTではサポートされている(例えばMicrosoftのタブレットPC「Surface RT」はC:ドライブが暗号化された状態で出荷されている)。また必須ではないものの、暗号化をハードウェア・サポートするTPMがあれば利用される。
システム・ドライブのBitLocker暗号化
それでは実際にBitLockerを使ってみよう。まずはTPMが搭載されているWindows 8システムで、システム・ドライブ(C:)を暗号化してみる。
C:ドライブを暗号化するには、ドライブ名を右クリックして、ポップアップ・メニューから[BitLocker を有効にする]を選択するか、BitLockerの管理ツールを起動してドライブごとに暗号化の有効/無効を設定する。BitLockerの管理ツールは、コントロール・パネルの「システムとセキュリティ」グループを開いて、「BitLockerドライブ暗号化」というツールをクリックして起動する。Windows RTの場合はコントロール・パネルには登録されていないようなので、[Windows]+[Q]の検索チャームで、「BitLocker」を検索するとよいだろう。BitLocker機能はあらかじめインストールされているので、Windowsの機能として追加インストールする必要はない。
ウィザードの最初の画面では、回復キーをどこの保存するかを設定する。「ファイルに保存する」と「回復キーを印刷する」は以前のWindows OSでも利用できたが、Windows 8にMicrosoftアカウントでサインインしていると、「Microsoftアカウントに保存する」という選択肢が表示される
Microsoftアカウントに保存させると、回復キーのデータは指定したアカウントのSkyDrive上に保存される。保存された回復キーは、以下のURLにアクセスすれば確認できる。
SkyDrive上の回復キーのサイト:「http://windows.microsoft.com/recoverykey」または「http://skydrive.com/recoverykey」
このURLにアクセスしてサインインすると、Microsoftアカウントとして登録したメール・アドレスに確認用のメールが送信されるので、メールを開いてそこに書かれている数字コードを確認し、それを指定されたページに貼り付ける。すると次のような回復キーが確認できる。今後回復キーが必要になった場合は、ここからキーの値をコピーして使えばよい。
ウィザードの次の画面では暗号化を行う範囲を指定する。以前のBitLockerではまずボリューム全体を暗号化していたが、Windows 8では現在使用中の部分のみを暗号化できるようになった。そのため大幅に初期化の時間が短縮されている。ただし未初期化部分のデータはそのまま残っているので、もしディスク全体をダンプ出力すれば、以前のデータの痕跡が見えてしまう可能性がある。それが心配ならボリューム全体を暗号化すればよいだろう
次の画面では、システム・チェックをするかどうかを設定する。
「続行」をクリックすると再起動の確認画面が表示されるので、再起動させる。システムを再起動後、再サインインすると、初期化(暗号化処理)が開始される。BitLockerの管理ツールを開けば進行状態をチェックできる。使用しているディスクのサイズにもよるが、完了までは数十分はかかるだろう。とはいえ、バックグラウンドで順次処理されるので、初期化中でも通常の作業をしていても構わない。
全部終わると次のようになる。
このシステムはTPMを持っていたため、システム・ドライブでもBitLockerを有効にできた
し、再起動時にもユーザーがするべき操作は何もない。暗号化のキー・データはTPMチップ上に保存され、システム起動時に自動的にロードされているので、何も操作しなくても自動的に暗号化やその解除が行われている。
だがこれはセキュリティ的にはやや脆弱だろう。ユーザーから見ると、BitLocker暗号化を行っていないシステムの場合と同じであり、ユーザー名とパスワードさえ分かれば、ディスクの内容を見ることができるからだ(システムから取り外したディスクをほかのPCで見ることはできない)。そこで、必要ならPINコードやスタートアップ・キー(USBメモリ)によるセキュリティも同時に取り入れた方がよいだろう。そのためには、manage-bde.exeコマンド(BitLockerの管理用コマンドの1つ)で操作したり、(次の項目で述べる)グループ・ポリシー設定を変更してからもう一度初期化し直すなど、いろいろ方法がある。
暗号化されたシステムのパフォーマンスを見たいただきたい。
【第一の謎】「インテル® バーチャライゼーション・テクノロジー」とは!?の時に、使ったSiSoftwareのSundraを使用しました。
暗号化導入前に比べて、若干スピードは落ちたものの、問題ないレベルにあると思います。レビューには取り上げてませんが、Windowsの起動も、起動プロセスが増えたということで、起動時間も多少延びました。こちらも気にするレベルではありません。
BitLockerそのものは、システムにTPMが必須ではありません。TPMがなくてもBitLockerは使えます。ただ、TPMがあれば、パスワードなどは全てハードウエアで管理されており、よりセキュアなシステムを構築することが出来ます。
まだ導入に当たっては、TPMを持たないシステムだと、導入手順がやや煩雑になり、導入後も起動時に毎回パスワードの入力を求められます。
このように、TPMを持ったシステムでのBitLockerの導入は、一度設定してしまえば、意識することないでしょう。
最後に、パーソナルユースでの暗号化もそれなりに意味はあると思いますが、導入される方は少ないでしょうね(^^ゞ
ZIGSOWにログインするとコメントやこのアイテムを持っているユーザー全員に質問できます。