BitLocker について調べる

完了

BitLocker は、オペレーティング システムと、オペレーティング システムのボリュームがコンピューター上の他のボリュームに加えて格納するデータに対する保護を提供します。 これにより、オペレーティング システムが実行されていないときにコンピューターが改ざんされた場合でも、コンピューターの格納データが暗号化されたままになります。 BitLocker は、Windows で密接に統合されたソリューションを提供します。このため、コンピューターの紛失、盗難、不適切な廃棄によるデータの盗難や漏えいの脅威に対処することができます。

紛失された、または盗難にあったコンピューター上のデータは、悪意のあるユーザーがソフトウェア攻撃ツールを実行したり、コンピューターのハード ディスクを別のコンピューターに転送したりすることで、不正アクセスに対して脆弱になる可能性があります。 BitLocker では、ファイルとシステムに対する保護が強化されるため、データに不正にアクセスされる危険を回避できます。 BitLocker は、BitLocker で保護されたコンピューターを使用停止またはリサイクルするときに、データにアクセスできないようにするのにも役立ちます。

BitLocker は、オフライン データ保護とシステム整合性検証を提供する次の 2 つの機能を実行します。

  • Windows オペレーティング システムのボリュームおよび構成されたデータ ボリュームに保存されているすべてのデータを暗号化します。 これには、Windows オペレーティング システム、休止状態とページングのファイル、アプリケーション、アプリケーション データが含まれます。 BitLocker では、Microsoft 以外のアプリケーションに対するアンブレラ型保護も提供されます。暗号化されたボリュームにアプリケーションをインストールすると、それらも自動的にベネフィットが得られます。
  • 既定では、コンピューター メインボードでトラステッド プラットフォーム モジュール (TPM) チップを使用するように構成されており、スタートアップ プロセスの初期段階でオペレーティング システムが使用するスタートアップ コンポーネントの整合性を確保することができます。 BitLocker は BitLocker で保護されたボリュームをロックするため、オペレーティング システムが実行されていないときにコンピューターが改ざんされた場合でも保護されたままになります。

システム整合性の検証

BitLocker は TPM を使用して、次の方法でスタートアップ プロセスの整合性を検証します。

  • 初期ブート ファイルの整合性が維持されていることを確認する方法を提供し、ブートセクター ウイルスやルート キットなどによってそれらのファイルに悪意のある変更が加えられていないことを確認することができます。
  • ソフトウェア ベースのオフライン攻撃を防ぎ、保護を強化します。 代替ソフトウェアでシステムを起動できた場合でも、Windows オペレーティング システムのボリュームの復号化キーにアクセスすることはできません。
  • 改ざんを検出したときにシステムをロックします。 監視対象のファイルで改ざんが発生したと BitLocker が判断した場合、システムは起動しません。 システムが通常の起動を行わないことで、ユーザーは改ざんが行われたことに気付きます。 システムのロックアウトが発生した場合、BitLocker は簡単な回復プロセスを提供します。

BitLocker は TPM と組み合わせて、初期スタートアップ コンポーネントの整合性を検証します。これにより、これらのコンポーネントに悪意のあるコードを挿入しようとするなどの追加のオフライン攻撃を防ぐことができます。 この機能は、コンピューターが起動できるように、スタートアップ プロセスの最も早い部分のコンポーネントは暗号化されていない状態を維持する必要があるため、重要です。

その結果、攻撃者は初期スタートアップ コンポーネントのコードを変更し、ディスク データが暗号化されている場合でもコンピューターにアクセスできます。 その後、攻撃者が BitLocker キーやユーザー パスワードなどの機密情報にアクセスすると、攻撃者は BitLocker やその他の Windows セキュリティ保護を回避できます。

BitLocker と EFS の比較

前に説明したように、BitLocker と EFS の両方で暗号化機能が提供されます。 ただし、これらのテクノロジは同じではなく、同じ目的を持っていません。 EFS はファイルおよびフォルダー レベルで保護を提供することに重点を置きますが、BitLocker はボリュームまたはディスク レベルでこれを行います。 EFS でファイルを保護すると、そのファイルは、ユーザー (または適切なアクセス許可を持つ別のユーザー) がロックを解除するまで保護され、その保護はファイルの場所に依存しません。 一方、BitLocker で保護されているドライブ上のファイルは、その特定のドライブ上にある限り保護されます。 次の表は、BitLocker と EFS 暗号化の機能を比較したものです。

BitLocker の機能 EFS の機能
ボリューム (Windows システム ファイルと休止状態ファイルを含むオペレーティング システム ボリューム全体) を暗号化します。 ファイルを暗号化します。
ユーザー証明書は必要ありません。 ユーザー証明書が必要です。
オペレーティング システムを変更から保護します。 オペレーティング システムを変更から保護しません。

デバイスの暗号化

デバイス暗号化は、組み込みの Windows 機能です。 既定では、デバイス暗号化は、BitLocker と同じテクノロジを使用する Advanced Encryption Standard (AES) 128 ビット暗号化を使用して、オペレーティング システム ドライブとシステム上の固定データ ドライブを保護します。 デバイス暗号化は、Microsoft アカウントまたはドメイン アカウントで使用できます。

デバイス暗号化は、デバイスが常に保護されるように、新しいデバイスの Windows 10 以降のすべてのバージョンで自動的に有効になります。 Windows 10 にアップグレードする、またはクリーン インストールされた、サポートされているデバイスでも、デバイス暗号化が自動的に有効になります。

BitLocker To Go

ノート PC が紛失または盗難にあった場合、通常、データの損失はコンピューター資産の損失よりも大きな影響を与えます。 リムーバブル記憶域デバイスを使用するユーザーが増えるにつれて、コンピューターが失われることなくデータが失われる可能性があります。 BitLocker To Go は、USB フラッシュ ドライブなどのリムーバブル記憶域デバイスに BitLocker のサポートを拡張することで、データの盗難や漏えいに対する保護を提供します。 BitLocker To Go を管理するには、グループ ポリシー、Windows PowerShell、および BitLocker ドライブ暗号化コントロール パネル アプリを使用します。

Windows では、ユーザーがエクスプローラーを開き、ドライブを右クリックし、[BitLocker を有効にする] を選択することで、リムーバブル メディアを暗号化できます。 ユーザーは、パスワードやスマート カードの使用など、ドライブのロック解除の方法を選択できます。

ロック解除の方法を選択したら、ユーザーは回復キーを印刷または保存する必要があります。 この 48 桁のキーを Active Directory Domain Services (AD DS) に自動的に格納するように Windows を構成すると、ユーザーがパスワードを忘れた場合など、他のロック解除の方法が失敗した場合にこれを使用することができます。 最後に、暗号化を開始するには、ユーザーがロック解除の選択を確認する必要があります。 BitLocker で保護されたドライブをコンピューターに挿入すると、Windows オペレーティング システムによって暗号化されたドライブが検出され、ロック解除のダイアログが表示されます。

Microsoft BitLocker Administration and Monitoring (MBAM)

実装するセキュリティ テクノロジと同様に、一元管理することをお勧めします。 BitLocker は、グループ ポリシーを使用して一元的に管理できますが、機能が制限されています。 Microsoft Desktop Optimization Pack の一部である MBAM により、すべての機能を使用でき、BitLocker および BitLocker To Go の管理とサポートが容易になります。 最新バージョンの MBAM 2.5 Service Pack 1 には、次の主な機能があります。

  • 社内のクライアント コンピューター上のボリュームを暗号化するプロセスを管理者が自動化できます。
  • 個々のコンピューターから会社そのものまで、そのコンプライアンスの状態をセキュリティ責任者が特定できます。
  • Microsoft Endpoint Configuration Manager により、一元的なレポートおよびハードウェア管理を行うことができます。
  • ヘルプ デスクの負荷を軽減し、BitLocker 回復要求によりエンド ユーザーをサポートします。
  • エンド ユーザーがセルフサービス ポータルを使って、暗号化されたデバイスを個別に回復できます。
  • セキュリティ責任者は、回復キー情報へのアクセスを監査できます。
  • Windows Enterprise のユーザーが外出先で仕事をするときも、会社のデータを確実に保護することができます。
  • 社内に設定した BitLocker 暗号化のポリシー オプションを強制します。
  • Endpoint Configuration Manager など、既存の管理ツールと統合されています。
  • IT がカスタマイズ可能な回復ユーザー エクスペリエンスを提供します。

Screenshot of Microsoft MBAM prompting for the KeyID and reason for recovering access to an encrypted drive.