BitLocker ドライブ暗号化は Windows Server 2008 R2 と、Windows 7 の一部で使用できるデータ保護機能です。BitLocker をオペレーティング システムに統合することにより、コンピューターの紛失、盗難、または不適切な非コミッションによるデータの盗難、データの露出といった脅威に対処します
紛失した、または盗難に遭ったコンピューターのデータは、第三者がソフトウェア攻撃ツールを実行したり、そのコンピューターのハードディスクを別のコンピューターに移したりすることで、不正にアクセスされる可能性があります。BitLocker では、ファイルとシステムに対する保護が強化されるため、データに不正にアクセスされる危険を回避できます。また、BitLocker で保護されたコンピューターが廃棄またはリサイクルされる際に、そのデータにアクセスできないようにすることもできます。
BitLocker は、トラステッド プラットフォーム モジュール (TPM) バージョン 1.2 と共に使用すると、最も強力な保護機能を提供します。TPM とは、ハードウェア コンポーネントの 1 つです。通常、比較的新しいコンピューターには、コンピューターの製造元によって TPM がインストールされています。TPM は BitLocker と連携してユーザー データを保護し、コンピューターが、システムのオフライン中に改ざんされないようにします。
TPM バージョン 1.2 が実装されていないコンピューターでも、BitLocker を使用して Windows オペレーティング システムのドライブを暗号化できます。ただし、この実装方法では、コンピューターを起動したり休止状態から再開したりするたびに、ユーザーが USB 起動キーを挿入する必要があります。また、TPM と連携して起動前に行われるシステム整合性の検証は実行されません。
TPM の他にも、BitLocker には、ユーザーが暗証番号 (PIN) を入力するか、起動キーを含むリムーバブル USB デバイス (フラッシュ ドライブなど) をコンピューターに挿入するまで、通常の起動プロセスをロックするオプションが用意されています。これらの付加的なセキュリティ対策により、多要素認証を実現できます。また、正しい PIN または起動キーが入力されるまで、コンピューターを起動したり休止状態から再開できないようにすることもできます。
システム整合性の検証
BitLocker では、TPM によって、初期ブート コンポーネントおよびブート構成データの整合性が検証できます。このため、これらのコンポーネントが改変されておらず、かつ暗号化されたドライブが元のコンピューターに存在する場合にのみ、暗号化されたドライブへのアクセスが許可されます。
BitLocker は、次の操作を行うことにより起動プロセスの整合性を検証します。
-
初期ブート ファイルの整合性が維持されていることを確認し、ブート セクター ウイルスやルートキットなどによってそれらのファイルに悪意のある変更が加えられていないことを確認するための方法を提供します。
-
ソフトウェア ベースのオフライン攻撃を防ぎ、保護を強化します。代替ソフトウェアでシステムを起動できた場合でも、Windows オペレーティング システムのドライブの暗号化解除キーにアクセスすることはできません。
-
システムが改ざんされた場合、システムをロックします。監視対象のファイルが改ざんされた場合、システムは起動しません。システムが通常の起動を行わないことで、ユーザーは改ざんが行われたことに気付きます。システムのロックアウトが発生した場合、簡単な回復プロセスが開始されます。
ハードウェア、ファームウェア、およびソフトウェアの要件
BitLocker を使用するには、コンピューターが次のような特定の要件を満たしている必要があります。
-
BitLocker で、TPM によるシステム整合性チェックを使用するには、コンピューターに TPM バージョン 1.2 が実装されている必要があります。コンピューターに TPM が実装されていない場合、BitLocker を有効にするには、起動キーをリムーバブル デバイス (USB フラッシュ ドライブなど) に保存する必要があります。
-
また、TPM を実装するコンピューターには、Trusted Computing Group (TCG) 準拠の BIOS が搭載されている必要があります。この BIOS は、オペレーティング システム起動前の信頼チェーンを確立します。また、この BIOS は、TCG で規定された静的な信頼性測定のルートをサポートしている必要があります。TPM を実装しないコンピューターでは、TCG 準拠の BIOS は必要ありません。
-
コンピューターが TPM 対応であるかどうかに関係なく、システムの BIOS では USB Mass Storage Device Class がサポートされている必要があります。つまり、オペレーティング システムが起動する前に USB フラッシュ ドライブの小さなファイルを読み込む機能が必要です。USB の詳細については、USB Web サイトの USB Mass Storage Bulk-Only および Mass Storage UFI Command 仕様に関するページ (英語の可能性あり) (
https://go.microsoft.com/fwlink/?LinkId=83120 ) を参照してください。
-
ハード ディスクは、少なくとも次の 2 つのドライブにパーティション分割されている必要があります。
-
オペレーティング システムとそのサポート ファイルを含むオペレーティング システムのドライブ (またはブート ドライブ)。NTFS ファイル システムでフォーマットされている必要があります。
-
BIOS がシステム ハードウェアを準備した後に、Windows を読み込むために必要なファイルを含むシステム ドライブ。BitLocker は、このドライブでは有効化されません。BitLocker が機能するには、システム ドライブが暗号化されていること、オペレーティング システムのドライブとは異なるドライブで構成されていること、および NTFS ファイル システムでフォーマットされていることが必要です。システム ドライブには、最低 1.5 GB の領域が必要です。
-
オペレーティング システムとそのサポート ファイルを含むオペレーティング システムのドライブ (またはブート ドライブ)。NTFS ファイル システムでフォーマットされている必要があります。
インストールと初期化
BitLocker はオペレーティング システム インストールの一部として自動的にインストールされます。ただし、BitLocker セットアップ ウィザードを使用してオンになるまで BitLocker は有効になりません。このウィザードには、コントロール パネルからアクセスするか、または Windows エクスプローラーでドライブを右クリックしてアクセスすることができます。
オペレーティング システムのインストールと初期設定が完了したら、システム管理者は BitLocker セットアップ ウィザードを使用して、BitLocker を初期化できます。この初期化プロセスには、2 つの段階があります。
-
TPM が搭載されているコンピューターで、TPM 初期化ウィザードまたはコントロール パネルの [BitLocker ドライブ暗号化] 項目を使用して、TPM を初期化します。TPM を初期化するよう設計されたスクリプトを実行することもできます。
-
BitLocker をセットアップします。コントロール パネルの BitLocker セットアップ ウィザードにアクセスします。このウィザードに従って、セットアップを実行し、詳細な認証オプションを選択できます。
ローカル管理者が BitLocker を初期化する場合は、回復パスワードまたは回復キーを作成する必要があります。回復キーまたは回復パスワードがないと、BitLocker によって保護されたドライブで問題が生じた場合に、暗号化されたドライブ上のデータにアクセスしたり、そのデータを回復することができなくなります。
注 | |
BitLocker および TPM の初期化は、そのコンピューターのローカルの Administrators グループに属するメンバーが実行する必要があります。 |
BitLocker を構成および展開する方法の詳細については、Windows BitLocker ドライブ暗号化手順ガイドのページ (英語の可能性あり) (
企業環境への実装
BitLocker では、企業の既存の Active Directory ドメイン サービス (AD DS) インフラストラクチャを使用して、回復キーをリモートに保管しておくことができます。BitLocker には、セットアップと管理を行うためのウィザードがあります。また、スクリプトをサポートする Windows Management Instrumentation (WMI) インターフェイスによって、高い管理性と拡張性が提供されています。また、BitLocker には初期ブート プロセスに統合された回復コンソールがあります。これにより、ユーザーやヘルプ ディスク担当者は、ロックされたコンピューターに再びアクセスできるようになります。
BitLocker のスクリプトの記述に関する詳細については、Win32_EncryptableVolume に関するページ (英語の可能性あり) (
コンピューターの廃棄またはリサイクル
今日では、多くのパーソナル コンピューターが最初の所有者やユーザーの元を離れ、他のユーザーによって再利用されています。企業では、コンピューターが他の部署に再配置されたり、定期的なハードウェアの入れ替えでリサイクルされることがあります。
ドライブが暗号化されていない場合、それをフォーマットした後でも、そのデータを読み込めることがあります。このため、企業は、廃棄するドライブからデータが漏えいするリスクを抑えるために、ドライブを何度も上書きしたり、物理的に破壊したりしています。
BitLocker を使用すると、廃棄処理が簡単になり、その費用効率も高くなります。BitLocker で暗号化されたデータをそのまま残していても、キーを削除することによって、企業はデータが漏えいするリスクを軽減することができます。すべての BitLocker キーが削除された後、BitLocker で暗号化されたデータにアクセスすることはほぼ不可能です。これは、128 ビットまたは 256 ビットの AES 暗号化を解除する必要があるためです。
BitLocker のセキュリティに関する考慮事項
BitLocker では、発生する可能性のあるすべての攻撃からコンピューターを保護することはできません。たとえば、コンピューターの盗難または紛失前に、悪意のあるユーザーや、ウイルス、ルートキットなどのプログラムがコンピューターにアクセスしたため、そのコンピューターが脆弱になっている可能性があります。この場合、後からその脆弱性を利用して、暗号化されたデータにアクセスされる危険性があります。また、USB 起動キーをコンピューターから抜き忘れたり、PIN や Windows ログオン パスワードが第三者に漏れると、BitLocker による保護が機能しなくなる可能性があります。
TPM のみの認証モードは、最も簡単に展開、管理、および使用できます。また、このモードはコンピューターを無人で使用する場合や、無人で再起動する必要がある場合により適しています。ただし、TPM のみのモードは、最低限のデータ保護を提供するにすぎません。組織の部署が、モバイル コンピューターで非常に機密性の高いデータを扱う場合、それらのコンピューターで BitLocker に加えて多要素認証を使用することを検討してください。
BitLocker のセキュリティに関する考慮事項の詳細については、モバイル PC のデータ暗号化ツールキットに関するページ (英語の可能性あり) (
サーバーに BitLocker を実装する
ブランチ オフィスの場所など共有されている環境または保護されていない可能性のある環境にあるサーバーの場合、BitLocker を使用して同一サーバー上でオペレーティング システム ドライブおよび追加データ ドライブを暗号化することができます。
既定では、BitLocker は Windows Server 2008 R2 と共にインストールされません。BitLocker は、Windows Server 2008 R2 の [サーバー マネージャー] ページから追加してください。サーバーへのインストール後、システムを再起動する必要があります。WMI を使用して、BitLocker をリモートで有効にすることができます。
BitLocker は、64 ビット プロセッサ アーキテクチャを使用する拡張ファームウェア インターフェイス (EFI) サーバーでサポートされています。
注 | |
BitLocker では、クラスター構成はサポートされていません。 |
キー管理
BitLocker を使用してドライブを暗号化し、保護した後は、ローカル管理者およびドメイン管理者はコントロール パネルの [BitLocker ドライブ暗号化] 項目の [BitLocker の管理] ページを使用して、ドライブのロックを解除するパスワードの変更、ドライブのパスワードの削除、ドライブのロックを解除するスマート カードの追加、回復キーの再印刷、ドライブの自動的なロック解除、キーの複製、PIN のリセットを行うことができます。
注 | |
コンピューターで使用できるキーの種類はグループ ポリシーを使用して管理できます。BitLocker でのグループ ポリシーの使用の詳細については、BitLocker 展開ガイドに関するページ (英語の可能性あり) ( |
BitLocker による保護を一時的に無効にする
管理者は、次のような場合に、BitLocker を一時的に無効にすることができます。
-
メンテナンスを行うために、ユーザー操作 (PIN の入力や起動キーの挿入など) なしにコンピューターを再起動する。
-
BIOS を更新する。
- オプションの読み取り専用メモリ (オプション ROM) を含むハードウェア コンポーネントをインストールする。
-
BitLocker の回復を開始せずに、重要な初期ブート コンポーネントをアップグレードする。次に例を示します。
-
マスター ブート レコード (MBR) が変更される可能性がある、異なるバージョンのオペレーティング システムまたは別のオペレーティング システムのインストール。
-
ディスクのパーティション分割。パーティション テーブルが変更される可能性があります。
-
他のシステム タスクの実行。TPM によって検証されるブート コンポーネントが変更されます。
-
マスター ブート レコード (MBR) が変更される可能性がある、異なるバージョンのオペレーティング システムまたは別のオペレーティング システムのインストール。
-
BitLocker の回復を開始せずに、マザーボードをアップグレードして、TPM を交換するか取り外す。
-
BitLocker の回復を開始せずに、TPM を無効にするかクリアする。
-
BitLocker の回復を開始せずに、BitLocker で保護されたドライブを他のコンピューターに移動する。
このようなシナリオを総称して、コンピューターのアップグレード シナリオと呼びます。BitLocker は、コントロール パネルの [BitLocker ドライブ暗号化] 項目で、有効または無効にできます。
BitLocker で保護されているコンピューターをアップグレードするには、次の手順を実行する必要があります。
-
BitLocker を無効モードにして、BitLocker を一時的に無効にします。
-
システムまたは BIOS をアップグレードします。
-
BitLocker を再び有効にします。
BitLocker を強制的に無効モードにしても、ドライブは暗号化されたままです。ただし、ドライブ マスター キーは、ハード ディスクに格納されている暗号化されていない対称キーで暗号化されます。暗号化されていない対称キーはアクセス可能な状態になるため、BitLocker のデータ保護は無効になりますが、それ以降のコンピューターの起動はすべてユーザー操作なしで行うことができます。BitLocker を再び有効にすると、暗号化されていないキーはディスクから削除され、BitLocker の保護が再び有効になります。また、ドライブ マスター キーにキーがかけられて、再び暗号化されます。
暗号化されたドライブ (物理ディスク) を、BitLocker で保護されている別のコンピューターに移動する場合、特別な手順は必要ありません。これは、ドライブ マスター キーを保護するキーが、暗号化されていない状態でそのディスクに格納されているためです。
注意 | |
わずかな時間でもドライブ マスター キーの保護を解除することは、セキュリティ上のリスクとなります。これは、ドライブ マスター キーやフルドライブ暗号化キーの保護が暗号化されていないキーによって解除されている間に、攻撃者がそれらのキーにアクセスする可能性があるためです。 |
BitLocker の無効に関する詳細については、Windows BitLocker ドライブ暗号化手順ガイドのページ (
システムの回復
回復プロセスが開始されるのは、次のような場合です。
-
BitLocker で保護されたドライブを新しいコンピューターに移動した場合。
-
新しい TPM を搭載する新しいマザーボードを取り付けた場合。
-
TPM をオフにするか無効にした場合。またはクリアした場合。
-
BIOS を更新した場合。
-
オプション ROM を更新した場合。
-
重要な初期ブート コンポーネントをアップグレードしたため、システム整合性の検証が失敗した場合。
-
PIN を忘れたとき (PIN 認証が有効な場合)。
-
起動キーを含む USB フラッシュ ドライブを紛失したとき (起動キー認証が有効な場合)。
管理者は、アクセス制御の一環として、回復を開始することができます (コンピューターを再配置する場合など)。たとえば、暗号化されたドライブをロックし、ユーザーがそのドライブのロックを解除するには BitLocker 回復情報を取得しなければならないように設定することができます。
回復セットアップ
IT 管理者は、グループ ポリシーを使用することにより、BitLocker を有効にするユーザーに対して、特定の回復方法を必須、禁止、オプションのいずれかに指定できます。回復パスワードを AD DS に格納することができます。管理者は、コンピューターの各ユーザーに対して、Active Directory ドメイン サービスへの回復パスワードの格納を必須、禁止、オプションのいずれかに指定できます。また、回復データを USB フラッシュ ドライブに格納することもできます。
回復パスワード
回復パスワードはランダムに生成される 48 桁の数値で、BitLocker のセットアップ時に作成することができます。コンピューターが回復モードになると、ファンクション キー (F0 から F9) を使用して回復パスワードを入力するよう求めるメッセージが表示されます。回復パスワードは、BitLocker を有効にした後に管理およびコピーすることができます。将来の使用に備えて、コントロール パネルの [BitLocker ドライブ暗号化] の [BitLocker の管理] ページを使用して、回復パスワードを印刷するかファイルに保存してください。
ドメイン管理者は、BitLocker が有効になると同時に回復パスワードを自動的に生成し、AD DS にその回復パスワードをバックアップするように、グループ ポリシーを構成することができます。また、コンピューターがネットワークに接続され、かつ回復パスワードの AD DS へのバックアップが成功しない限り、BitLocker によってドライブが暗号化されないように設定することもできます。
回復キー
回復キーは、BitLocker のセットアップ中に作成して、USB フラッシュ ドライブに保存できます。また、回復キーは、BitLocker を有効にした後に管理およびコピーすることができます。コンピューターが回復モードになると、回復キーをコンピューターに挿入するよう求めるプロンプトが表示されます。