BitLocker デバイス暗号化の概要
この記事では、BitLocker デバイス暗号化が Windows を実行しているデバイス上のデータを保護する方法について説明します。 一般的な概要と記事の一覧については、「 BitLocker 」を参照してください。
ユーザーが旅行すると、organizationの機密データが使用されます。 機密データがどこに保存されているとしても、未承認のアクセスから保護する必要があります。 Windows には、Windows 2000 オペレーティング システムの暗号化ファイル システム以降、悪意のある攻撃者から保護する保存データ保護ソリューションを提供する点で長い歴史があります。 最近では、BitLocker はフル ドライブとポータブル ドライブの暗号化を提供しました。 Windows では、既存のオプションを改善し、新しい戦略を提供することで、データ保護が一貫して向上します。
Windows 11、Windows 10、および Windows 7 のデータ保護
次の表に、特定のデータ保護の問題と、Windows 11、Windows 10、および Windows 7 での対処方法を示します。
| Windows 7 | Windows 11とWindows 10 |
|---|---|
| スタートアップを保護するために PIN と共に BitLocker を使用する場合、キオスクなどの PC をリモートで再起動することはできません。 | 最新の Windows デバイスは、BitLocker デバイス暗号化によってすぐに保護され、コールド ブート攻撃から BitLocker 暗号化キーをシームレスに保護するための SSO をサポートしています。 ネットワーク ロック解除により、内部ネットワークに接続されると PC が自動的に起動します。 |
| BitLocker を有効にすると、プロビジョニング プロセスに数時間かかることがあります。 | BitLocker の事前プロビジョニング、ハード ドライブの暗号化、および使用領域のみの暗号化により、管理者は新しいコンピューターで BitLocker をすぐに有効にできるようになります。 |
| 自己暗号化ドライブ (SED) での BitLocker の使用はサポートされません。 | BitLocker では、暗号化されたハード ドライブへの暗号化のオフロードがサポートされます。 |
| 管理者は、別個のツールを使って暗号化されたハード ドライブを管理する必要があります。 | BitLocker では、オンボード暗号化ハードウェア ビルトインによる暗号化されたハード ドライブがサポートされるため、管理者は使い慣れた BitLocker 管理ツールを使って管理できます。 |
| 新しいフラッシュ ドライブの暗号化に、20 分以上かかる場合があります。 | BitLocker To Go で使用されるスペースのみの暗号化を使用すると、ユーザーはリムーバブル データ ドライブを数秒で暗号化できます。 |
| システム構成の変更が生じたとき、BitLocker により回復キーの入力がユーザーに求められることがあります。 | BitLocker では、ディスクの破損が発生した場合、または PIN またはパスワードが失われた場合にのみ、回復キーを入力する必要があります。 |
| ユーザーは、PIN を入力して PC を起動し、パスワードを入力して Windows にサインインする必要があります。 | 最新の Windows デバイスは、BitLocker デバイス暗号化をすぐに使用して保護され、コールド ブート攻撃から BitLocker 暗号化キーを保護するのに役立つ SSO をサポートしています。 |
ドライブとファイルの暗号化の準備
最適な種類のセキュリティ対策は、実装時と使用時にユーザーに対して透過的です。 セキュリティ機能のために遅延や困難が発生するたびに、ユーザーがセキュリティをバイパスしようとする可能性が高くなります。 この状況は特にデータ保護に当てはまります。これは組織が避ける必要があるシナリオです。 ボリューム全体、リムーバブル デバイス、または個々のファイルの暗号化を計画する場合でも、Windows 11とWindows 10は、合理化された使用可能なソリューションを提供することで、これらのニーズを満たします。 実際には、データ暗号化を準備し、デプロイを迅速かつスムーズにするために、いくつかの手順を事前に実行できます。
TPM の事前プロビジョニング
Windows 7 では、TPM を準備する際にいくつかの課題が発生しました。
- TPM をオンにすると、デバイスの BIOS または UEFI ファームウェアに移行する必要があります。 デバイスで TPM をオンにするには、デバイスの BIOS または UEFI ファームウェア設定に物理的に移動して TPM をオンにするか、Windows でドライバーをインストールして Windows 内から TPM を有効にする必要があります。
- TPM が有効になっている場合、1 つ以上の再起動が必要になる場合があります。
これにより、Windows 7 での TPM の準備が問題になりました。 IT スタッフが新しい PC をプロビジョニングしている場合は、TPM を準備するために必要な手順を処理できます。 ただし、既にユーザーの手に入っているデバイスで BitLocker を有効にする必要がある場合、それらのユーザーは技術的な課題に苦労する可能性があります。 その後、ユーザーは IT に電話してサポートを受けるか、BitLocker を無効のままにします。
Microsoft には、オペレーティング システムが TPM を完全に管理できるようにするWindows 11とWindows 10のインストルメンテーションが含まれています。 BIOS にアクセスする必要はなく、再起動を必要とするすべてのシナリオが排除されました。
ハード ドライブの暗号化の展開
BitLocker は、システム ドライブとデータ ドライブの両方など、ハード ドライブ全体を暗号化できます。 BitLocker の事前プロビジョニングにより、BitLocker が有効な新しい PC のプロビジョニングに必要な時間を大幅に減らすことができます。 Windows 11とWindows 10を使用すると、管理者は、Windows をインストールする前に、またはユーザー操作なしで自動展開タスク シーケンスの一部として、Windows プレインストール環境内から BitLocker と TPM をオンにすることができます。 使用済みディスク領域のみの暗号化と空のドライブ (Windows がまだインストールされていないため) と組み合わせると、BitLocker を有効にするには数秒しかかかりません。
以前のバージョンの Windows では、管理者が Windows のインストール後に BitLocker を有効にする必要がありました。 このプロセスは自動化できますが、BitLocker はドライブ全体を暗号化する必要があります。これは、ドライブのサイズとパフォーマンスに応じて数時間から 1 日以上かかる可能性のあるプロセスであり、デプロイが遅延しました。 Microsoft では、Windows 11とWindows 10の複数の機能を使用して、このプロセスを改善しました。
BitLocker デバイス暗号化
Windows 8.1以降、Windows では、モダン スタンバイをサポートするデバイスで BitLocker デバイス暗号化が自動的に有効になります。 Windows 11とWindows 10を使用すると、Microsoft では、モダン スタンバイデバイスや、Windows 10またはWindows 11の Home Edition を実行するデバイスなど、より広範なデバイスで BitLocker デバイス暗号化のサポートを提供しています。
Microsoft は、将来的にほとんどのデバイスが BitLocker デバイス暗号化の要件を満たすと予想しています。この要件により、最新の Windows デバイス全体で BitLocker デバイス暗号化が普及します。 BitLocker デバイス暗号化は、デバイス全体のデータ暗号化を透過的に実装することで、システムをさらに保護します。
標準の BitLocker 実装とは異なり、BitLocker デバイス暗号化は自動的に有効になるため、デバイスは常に保護されます。 次の一覧では、BitLocker デバイス暗号化を自動的に有効にする方法について説明します。
Windows 11またはWindows 10のクリーンインストールが完了し、すぐに使えるエクスペリエンスが完了すると、コンピューターは最初の使用のために準備されます。 この準備の一環として、BitLocker デバイス暗号化はオペレーティング システム ドライブで初期化され、コンピューター上の固定データ ドライブは、標準の BitLocker 中断状態と同等のクリア キーで初期化されます。 この状態では、Windows エクスプローラーに警告アイコンが表示されます。 次の箇条書きで説明するように、TPM 保護機能の作成後に黄色の警告アイコンが削除され、回復キーがバックアップされます。
デバイスがドメインに参加していない場合は、デバイスに対する管理特権が付与されている Microsoft アカウントが必要です。 管理者が Microsoft アカウントを使ってサインインすると、クリア キーが削除され、回復キーがオンラインの Microsoft アカウントにアップロードされ、TPM 保護機能が作成されます。 デバイスに回復キーが必要な場合、ユーザーは代替デバイスを使用するように案内され、回復キーのアクセス URL に移動して、Microsoft アカウントの資格情報を使用して回復キーを取得します。
ユーザーがドメイン アカウントを使用してサインインする場合、ユーザーがデバイスをドメインに参加させ、回復キーが正常にActive Directory Domain Services (AD DS) にバックアップされるまで、クリア キーは削除されません。 回復キーを AD DS にバックアップするには、次のグループ ポリシー設定を有効にする必要があります。
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ>オペレーティング システム ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしないでください
この構成では、コンピューターがドメインに参加して、回復キーが AD DS にバックアップされ、TPM 保護機能が作成されて、クリア キーが削除されると、回復パスワードが自動的に作成されます。
ドメイン アカウントでのサインインと同様に、ユーザーがデバイス上の Azure AD アカウントにサインインすると、クリア キーが削除されます。 上の箇条書きで説明したように、ユーザーが Azure AD で認証されると、回復パスワードが自動的に作成されます。 次に、回復キーが Azure AD にバックアップされて、TPM 保護機能が作成され、クリア キーが削除します。
Microsoft では、それをサポートするすべてのシステムで BitLocker デバイス暗号化を自動的に有効にすることをお勧めします。 ただし、BitLocker デバイス暗号化の自動プロセスは、次のレジストリ設定を変更することで防止できます。
- サブキー:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker - 型:
REG_DWORD - 値:
PreventDeviceEncryptionと1等しい (True)
管理者は、Microsoft BitLocker の管理と監視 (MBAM) を使用して、BitLocker デバイス暗号化が有効になっているドメインに参加しているデバイスを管理できます。 この場合、BitLocker デバイス暗号化により、追加の BitLocker オプションが自動的に使用できるようになります。 変換や暗号化は必要なく、構成の変更が必要な場合は、設定された BitLocker ポリシー全体を MBAM が管理できます。
注
BitLocker デバイス暗号化では、XTS-AES 128 ビット暗号化方法が使用されます。 別の暗号化方法や暗号強度が必要であっても、デバイスが既に暗号化されている場合は、新しい暗号化方法や暗号強度を適用する前に、最初に暗号化を解除する必要があります。 デバイスの暗号化を解除した後、異なる BitLocker 設定を適用できます。
使用済みのディスク領域のみの暗号化
以前のバージョンの Windows の BitLocker では、データのない領域を含むボリューム上のすべてのバイトを暗号化したため、ドライブの暗号化に長い時間がかかる可能性があります。 データを持たない領域を含め、ボリューム上のすべてのバイトを暗号化することは、完全なディスク暗号化と呼ばれます。 ディスク全体の暗号化は、ドライブを暗号化するための最も安全な方法です。特に、ドライブに以前に移動または削除された機密データが含まれていた場合。 ドライブに移動または削除された機密データが以前に存在していた場合、機密データのトレースは未使用としてマークされたドライブの一部に残る可能性があります。
暗号化時間を短縮するために、Windows 11およびWindows 10の BitLocker を使用すると、ユーザーはデータを含むディスクの領域のみを暗号化できます。 データが含まれていない領域と空のディスク領域は暗号化されません。 新しいデータは、作成時に暗号化されます。 ドライブ上のデータ量に応じて、このオプションを使用すると、初期暗号化時間を 99% 以上短縮できます。
機密データが暗号化されていない状態で既に格納されている可能性がある既存のボリューム上の使用領域のみを暗号化する場合は注意してください。 使用済み領域暗号化を使用する場合、以前に暗号化されていないデータが格納されているセクターは、新しい暗号化されたデータによって上書きされるまで、ディスク回復ツールを使用して回復できます。 対照的に、まったく新しいボリューム上の使用領域のみを暗号化すると、ディスクに書き込まれるすべての新しいデータが暗号化されるため、セキュリティ リスクなしでデプロイ時間を大幅に短縮できます。
暗号化されたハード ドライブのサポート
SED は何年も利用されてきましたが、ドライブに重要な重要な管理機能がないため、以前のバージョンの Windows では使用をサポートできませんでした。 Microsoft は、ストレージ ベンダーと協力してハードウェア機能を強化してきたため、BitLocker では暗号化されたハード ドライブと呼ばれる次世代の SED がサポートされるようになりました。
暗号化されたハード ドライブは、ドライブ上のデータを暗号化するためのオンボード暗号化機能を提供します。 この機能は、PC のプロセッサからドライブ自体に暗号化計算をオフロードすることで、ドライブとシステムの両方のパフォーマンスを向上させます。 専用の専用ハードウェアを使用して、ドライブによってデータが迅速に暗号化されます。 Windows 11またはWindows 10でドライブ全体の暗号化を使用する場合は、暗号化されたハード ドライブのいずれかがセキュリティと予算の要件を満たしているかどうかを判断するために、ハード ドライブの製造元とモデルを調査することをお勧めします。
暗号化されたハード ドライブの詳細については、「 暗号化されたハード ドライブ」を参照してください。
プリブート情報保護
ほとんどのセキュリティ制御と同様に、情報保護の効果的な実装では、使いやすさとセキュリティが考慮されます。 通常、ユーザーはシンプルなセキュリティ エクスペリエンスを好みます。 実際、セキュリティ ソリューションが透過的になればなるほど、ユーザーが従う可能性が高くなります。
コンピューターの状態やユーザーの意図に関係なく、組織が PC 上の情報を保護することが重要です。 この保護は、ユーザーにとって煩雑になることはありません。 望ましくない以前の状況の 1 つは、ユーザーがプレブート中に入力を求められた後、Windows サインイン中に再び入力を求められる場合です。 ユーザーに入力を複数回求めることは避ける必要があります。
Windows 11とWindows 10を使用すると、最新のデバイスや、堅牢な情報保護構成が設定されている場合でも、場合によっては古いデバイスでもプレブート環境から真の SSO エクスペリエンスを実現できます。 分離された TPM は、BitLocker の暗号化キーを保存時でも安全に保護ことができ、オペレーティング システム ドライブを安全にロック解除することができます。 キーが使用中のためメモリ内にあるときは、ハードウェアと Windows 機能を組み合わせるとキーをセキュリティで保護し、コールド ブート攻撃による未承認のアクセスを防ぐことができます。 PIN ベースのロック解除などの他の対策は利用できますが、ユーザーフレンドリではありません。デバイスの構成によっては、キー保護に関して追加のセキュリティが提供されない場合があります。 詳細については、「 BitLocker の対策」を参照してください。
パスワードと PIN の管理
システム ドライブで BitLocker が有効になっていて、PC に TPM がある場合は、BitLocker がドライブのロックを解除する前に PIN を入力する必要があります。 このような PIN 要件により、PC への物理的なアクセス権を持つ攻撃者が Windows サインインにアクセスすることさえできなくなり、攻撃者がユーザー のデータやシステム ファイルにアクセスしたり、変更したりすることがほぼ不可能になります。
起動時に PIN を要求することは、2 番目の認証要素として機能するため、便利なセキュリティ機能です。 ただし、この構成には一部のコストが伴います。 最も大きなコストの 1 つは、PIN を定期的に変更する必要がある場合です。 Windows 7 および Windows Vista オペレーティング システムで BitLocker を使っていた企業では、ユーザーが BitLocker の PIN またはパスワードを更新するとき、システム管理者に連絡する必要がありました。 この要件により、管理コストが増加するだけでなく、ユーザーが BitLocker PIN またはパスワードを定期的に変更する意思が減りました。
Windows 11とWindows 10ユーザーは、管理者の資格情報を使用せずに、BitLocker PIN とパスワードを自分で更新できます。 この機能によりサポート コストが削減されるだけでなく、ユーザーが PIN とパスワードをより頻繁に変更するようになるため、セキュリティも向上します。 さらに、モダン スタンバイ デバイスでは、スタートアップに PIN は必要ありません。これらは、起動頻度が低く、システムの攻撃面をさらに減らす他の軽減策を実施するように設計されています。
スタートアップ セキュリティのしくみと、Windows 11とWindows 10が提供する対策の詳細については、「ブート前攻撃から BitLocker を保護する」を参照してください。
ネットワーク ロック解除の構成
一部の組織には、場所固有のデータ セキュリティ要件があります。 場所固有のデータ セキュリティ要件は、価値の高いデータが PC に格納されている環境で最も一般的です。 ネットワーク環境は、重要なデータ保護を提供し、必須の認証を適用する場合があります。 そのため、ポリシーでは、これらの PC が建物から離れたり、企業ネットワークから切断されたりしてはならないと規定されています。 物理的なセキュリティ ロックやジオフェンスなどの安全対策は、このポリシーを事後対応型コントロールとして強制するのに役立つことがあります。 これらのセーフガードを超えて、PC が企業ネットワークに接続されている場合にのみデータ アクセスを許可するプロアクティブなセキュリティ制御が必要です。
ネットワーク ロック解除により、Windows 展開サービスが実行されているワイヤード (有線) 企業ネットワークに接続されたときに、BitLocker で保護されている PC を自動的に起動できるようになります。 PC が企業ネットワークに接続されていない場合は、ユーザーが PIN を入力してドライブのロックを解除する必要があります (PIN ベースのロック解除が有効になっている場合)。 ネットワーク ロック解除には、次のインフラストラクチャが必要です。
動的ホスト構成プロトコル (DHCP) をサポートする Unified Extensible Firmware Interface (UEFI) ファームウェア バージョン 2.3.1 以降がインストールされたクライアント PC。
Windows 展開サービス (WDS) ロールで少なくともWindows Server 2012を実行しているサーバー
DHCP サーバーの役割がインストールされたサーバー
ネットワーク ロック解除機能を構成する方法の詳細については、「 BitLocker: ネットワーク ロック解除を有効にする方法」を参照してください。
Microsoft BitLocker の管理と監視
Microsoft Desktop Optimization Pack、Microsoft BitLocker 管理および監視 (MBAM) の一部により、BitLocker と BitLocker To Go の管理とサポートが容易になります。 最新バージョンの MBAM 2.5 Service Pack 1 には、次の主な機能があります。
管理者は、企業全体のクライアント コンピューター上のボリュームを暗号化するプロセスを自動化できます。
セキュリティ担当者は、個々のコンピューターまたは企業全体の準拠状態をすばやく判断できます。
Microsoft Configuration Managerで一元的なレポートとハードウェア管理を提供します。
ヘルプ デスクの負荷を軽減し、BitLocker 回復要求によりエンド ユーザーをサポートします。
エンド ユーザーは、セルフ サービス ポータルを使って、暗号化されたデバイスを自分で回復できます。
セキュリティ担当者は、回復キー情報へのアクセスを簡単に監査できます。
企業データの保護を保証することにより、Windows Enterprise ユーザーがどこにいても作業を継続できるようにします。
エンタープライズに設定されている BitLocker 暗号化ポリシー オプションを適用します。
Microsoft Configuration Manager などの既存の管理ツールと統合されます。
IT がカスタマイズ可能な回復ユーザー エクスペリエンスを提供します。
Windows 11とWindows 10をサポートします。
重要
企業は、MBAM を使用して、2019 年 7 月にメインストリーム サポートが終了するまで、オンプレミスでドメインに参加している BitLocker を使用してクライアント コンピューターを管理したり、2026 年 4 月まで延長サポートを受けたりすることができます。
今後、MBAM の機能がConfiguration Managerに組み込まれます。 詳細については、「 BitLocker 管理の計画」を参照してください。
Configuration Managerを使用していない企業は、Azure AD の組み込み機能とMicrosoft Intuneを使用して、管理と監視を行うことができます。 詳細については、「Intuneを使用したデバイス暗号化の監視」を参照してください。