正しい BitLocker の対策の選択
このセクションでは、ブートキットやルートキット、ブルート フォース攻撃によるサインイン、ダイレクト メモリ アクセス (DMA) 攻撃、Hyberfil.sys 攻撃、メモリ残存による攻撃から組織を保護するために使用できる最適な対策について概要を説明します。
BitLocker を使って Windows 10 PC を保護できます。どのオペレーティング システムを使っているかにかかわらず、Microsoft および Windows 認定デバイスは攻撃に対する対策を提供し、データのセキュリティを強化します。ほとんどの場合、この保護の実装にプリブート認証は不要です。
図 2、3、4 は、最新バージョンの Windows を搭載している PC に対するさまざまな種類の攻撃を軽減するための推奨される方法をまとめたものです。オレンジ色の部分は、システムの既定の設定から追加の構成が必要なことを示します。
図 2. Windows 7 の最適な対策を選ぶ方法
図 3. Windows 8 の最適な対策を選ぶ方法
図 4. Windows 8.1 の最適な対策を選ぶ方法
最新の InstantGo デバイス (主にタブレット) は、BitLocker 暗号化キーを危険にさらす可能性があるあらゆる攻撃から既定で保護されるように設計されています。他の Windows デバイスも、同じように保護できます。DMA ポート ベースの攻撃は一般的な攻撃方法としてよく使われますが、InstantGo デバイスではこのような種類のポートが禁止されているため、この攻撃は不可能です。InstantGo に対応していないデバイスでも DMA ポートが組み込まれることはきわめてまれです。モバイル デバイスでは特にそうです。これは、Thunderbolt が広く採用されれば変化する可能性があります。そのため、IT 部門で新しいデバイスを購入するときは、このことを考慮する必要があります。いずれの場合も DMA ポートを完全に無効にすることができます。開発者以外の環境では DMA ポートが使われることが少ないため、このオプションが一般的になってきています。
メモリ残存による攻撃は、適切な構成によって軽減できます。システム メモリが固定され、リムーバブルでない場合は、公開された方法を使用してこの攻撃を行うことは不可能です。システム メモリを取り外して別のデバイスに読み込むことができる場合でも、攻撃者にとっては攻撃方法として非常に信頼性が低いものになります。これについては、DRDC Valcartier グループの分析 (「An In-depth Analysis of the Cold Boot Attack」をご覧ください)。
Windows 7 PC には新しいデバイスと同じセキュリティ上のリスクがありますが、DMA 攻撃やメモリ残存による攻撃に対してはるかに脆弱です。Windows 7 デバイスは DMA ポートが組み込まれていることや UEFI ベースのセキュア ブートをサポートしていないことが多く、固定メモリを使用していることはまれであるためです。Windows 7 デバイスでプリブート認証を不要にするには、外部メディアからのブート機能を無効にし、BIOS 構成をパスワードで保護したうえで、DMA ポートを無効にします。システム メモリを取り外して別のコンピューターに挿入し、そのコンテンツにアクセスすることができる場合、デバイスがメモリ残存による攻撃の標的になる可能性があります。その可能性が懸念される場合は、デバイスをテストし、この種の攻撃の影響を受けやすいかどうかを判断することをお勧めします。
最終的には、多くのお客様にとってプリブート認証は、組織内のデバイスのサブセットのみについてセキュリティを強化するものであり、対象サブセットは縮小していきます。プリブート認証の実装を選択する前に、このドキュメントで説明した攻撃方法と軽減対策をデバイスの評価とあわせて慎重に検討することをお勧めします。プリブート認証の実装はデバイスのセキュリティ強化につながらないばかりか、ユーザー環境を危険にさらし、サポートのコスト増につながる可能性があります。