Internet Watch logo
記事検索

Windows Vistaのセキュリティ機能、XPとはここが違う

第2回:PC盗難による情報漏洩を防ぐドライブ暗号化機能


 第2回では、Windowsがインストールされているパーティションを暗号化する「BitLocker ドライブ暗号化」を紹介する。同機能は、企業向けにライセンス提供されるEnterpriseエディションのほか、個人向けのUltimateエディションのみで利用可能だ。


スタートアップ中に異常を察知するとドライブをロック

コントロールパネルから「セキュリティ」を選び、「BitLocker ドライブ暗号化」を選択した画面

 Windowsがインストールされているパーティションを暗号化する「BitLocker ドライブ暗号化」では、悪意のあるユーザーがハッキングツールを利用して攻撃してきたり、盗まれたコンピュータや紛失したコンピュータからHDDを抜き出して別のコンピュータからアクセスすることを防ぐことが可能だ。

 BitLocker ドライブ暗号化は、コンピュータのスタートアップ中に、セキュリティ上のリスクを示すシステム状態(ディスクエラーや、BIOSまたはスタートアップファイルへの変更など)を検出した場合、ドライブをロックする。ロックを解除するには「BitLocker 回復パスワード」が要求される。

 この回復パスワードは、BitLocker ドライブ暗号化を有効にする過程で、コンピュータとは別の場所(USBメモリなど)に保存する。ドライブがロックされた際、回復パスワードがないと、自分のファイルへのアクセスができなくなるため、回復パスワードは厳重に保管する必要がある。マイクロソフトでは、回復パスワードは複数のコピーを保存することを推奨している。

 BitLocker ドライブ暗号化を有効にするには、原則としてマイクロチップのTPM(トラステッドプラットフォームモジュール) 1.2以上が搭載されたコンピュータ(Windows Vistaを搭載する市販ノートPCには、TPM 1.2が標準搭載する)で、Windowsがインストールされたドライブのほかに、1.5GB以上の空き容量を持つアクティブパーティションが1つ必要となる。

 この1.5GB以上の領域については、一部のソフトウェアで起動時に起動領域にアプリケーションを一時的に展開するものがあるために、Windows Vistaの起動で使用する以外の領域を確保するために設定されている。Windows Vistaの早期導入企業におけるテストにおいて、1.5GBという容量があれば問題が出ないとのデータが得られたことから、このような数値が設定されたという。

 これらの条件を満たしていれば、コントロールパネルのセキュリティからBitLocker ドライブ暗号化を選んでウィザードに従えば、BitLocker ドライブ暗号化を有効にできる。同機能を有効にすると、ボリュームを暗号化する前に、BitLockerで「回復キー」と「暗号化キー」が正しく読み込めることを確認するためにシステムスキャンが実行される。問題がなければ、コンピュータが再起動した後にドライブの暗号化が開始される。暗号化に要する時間の目安は1GBにつき約1分。なお、同機能を有効にした場合にコンピュータのパフォーマンスが低下する割合は5%以下で、「普通に利用する分には感じない程度」(マイクロソフト)という。

BitLocker ドライブ暗号化を有効にすると、その後に回復パスワードを保存するウィザードが出てくる 「BitLocker システム チェックを実行する」にチェックを入れて「続行」をクリックすると、BitLockerで回復キーと暗号化キーが正しく読み込めることを、ボリュームの暗号化前に確認する。問題がなければ、コンピュータを再起動した後に暗号化が開始される。

ログイン時に「スタートアップキー」を要求することも可能

BitLocker ドライブ暗号化は、TPMを搭載していないコンピュータでも利用できる。この場合、「スタートアップキー」をUSBメモリに保存して、ログイン時には毎回差し込む必要がある

 さらに、BitLocker ドライブ暗号化では、ログイン時に「スタートアップキー」を要求するように設定することも可能だ。通常の設定では、このスタートアップキーはTPMに保存される。そのため、ログオン時にはTPMからスタートアップキーが自動的に読み出され、ユーザーはスタートアップキーの存在を意識せずにログインできる。

 しかし、コンピュータが盗まれてしまった場合には、コンピュータを起動するとスタートアップキーが読み込まれるため、悪意のある人がPCを入手した場合にログインされてしまう恐れがある。こうした事態に対応するため、スタートアップキーを保存したUSBメモリをスタートアップキーとして設定することも可能だ。このUSBメモリを差し込めば、自動的にスタートアップキーが読み込まれる。つまり、コンピュータと一緒にUSBメモリも盗まれない限り、コンピュータにログインされることがなくなるのだ。

 ちなみに、Windows VistaのRC版においては、デフォルトではスタートアップキーがUSBメモリに保存されるようになっていた。製品版では、TPMに保存するようになっているが、その理由としては、「ユーザーがスタートアップキーを保存したUSBメモリを紛失した場合のリスクを考慮したため」(マイクロソフト)だという。

 なお、BitLocker ドライブ暗号化は、TPMを搭載していないコンピュータでも利用できる。この場合、スタートアップキーをUSBメモリに保存して、ログイン時には毎回差し込む必要がある。

 BitLocker ドライブ暗号化を無効にする場合は、有効にするときと同様、コントロールパネルのセキュリティからBitLocker ドライブ暗号化を選んで、無効にするための項目をクリックすればよい。


コンピュータ起動時にスタートアップキーを装着したときの画面 コンピュータ起動時にスタートアップキーを装着しなかったときの画面

コンピュータのスタートアップ中に、セキュリティ上のリスクを示すシステム状態(ディスクエラーや、BIOSまたはスタートアップファイルへの変更など)を検出した場合、ドライブがロックされる。ロックを解除するには「BitLocker 回復パスワード」が要求される


関連情報

URL
  Windows Vista
  http://www.microsoft.com/japan/windows/products/windowsvista/default.mspx
関連記事
XPからの改善点は? Windows Vistaのセキュリティ新機能を紹介(2006/11/21)
・ Windows Vistaのセキュリティ機能、XPとはここが違う
第1回:知らぬ間の不正プログラム侵入を防ぐユーザーアカウント制御(2007/03/01)


( 増田 覚 )
2007/03/07 16:30

INTERNET Watch ホームページ
 Copyright (c)2007 Impress Watch Corporation, an Impress Group company. All rights reserved.