連載
» 2017年03月02日 05時00分 UPDATE

超入門BitLocker:第3回 BitLockerで内蔵HDD/SSDを暗号化して保護する (1/2)

今回はPC内部のディスク(内蔵HDD/SSD)上にあるデータボリュームを暗号化したり、OSボリューム(C:ドライブ)そのものを暗号化したりする機能について解説する。

[打越浩幸,デジタルアドバンテージ]
「超入門BitLocker」のインデックス

連載目次

本入門連載では、システム管理者やシステムエンジニアの方々を主な対象として、IT業界でよく使われる技術や概念、サービスなどの解説をコンパクトにまとめておく。



 前回はUSBメモリやリムーバブルディスクなどを保護するBitLocker To Goの使い方を紹介した。今回はPC内部のディスクデータ(内蔵HDD/SSD上のボリュームに格納されたデータ)を保護する機能について見ていく。なお当初のBitLockerは内蔵ディスクを暗号化する機能しか持っていなかったので、To Goのような特別な呼び方はない(あえて言うなら標準BitLockerとでも呼ぶべきか)。

ディスクの種類によるBitLockerの機能の違い

 BitLockerで取り扱うディスクには、以下の3種類がある。

  • オペレーティングシステムドライブ――C:(ブートボリューム)のこと
  • 固定データドライブ――内蔵ディスク上にある、C:以外のデータボリュームのこと
  • リムーバブルデータドライブ――USBメモリや外部ディスクなどの取り外し可能なドライブのこと。BitLocker To Goで保護

 データ暗号化の基本的な仕組みは、どのディスクタイプでもあまり違いはない。だが内蔵ディスクの場合は認証方法などが少し異なる。例えば、起動や再起動のたびにパスワードを入力するのはとても面倒だろう。だからといって常に自動ロック解除していたのでは、暗号化している意味がない。

 そこでBitLockerでは内蔵ディスクに対して、次のような取り扱いを行っている(詳細はこの後に順次説明していく)。

■OSのブートディスク(C:)の保護機能

  • 原則としてTPM(セキュリティ用のICチップ)を使った認証が「必須
  • より安全性を高めるため、TPMと同時に別の認証方法も併用可能
  • TPMが利用できない場合は、安全性は劣るが、(オプションとして)スタートアップキーかパスワード入力による認証方法も選択可能
  • 障害などでロックを解除できない場合は、回復コードの入力を求める(これは非常時のための手段であって常用するものではない)

■データディスク(内蔵ディスク上のC:以外のボリューム)の保護機能

  • ボリュームごとにBitLockerを利用するかどうかを選択可能
  • ロックを解除する方法はBitLocker To Goと同様に、パスワード入力や回復キー、外部キー、TPM、その他の手段を併用する
  • 自動ロック解除機能を使うためには「ブートディスク(C:。OS本体)のBitLocker保護が必須

内蔵データディスクのBitLockerによる保護

 まずは、C:以外のデータディスクをBitLockerで保護する手順を見てみよう。暗号化の手順はBitLocker To Goの場合とほとんど同じである。エクスプローラ上でドライブ名を右クリックして[BitLockerで有効にする]を選択するか、コントロールパネルの[システムとセキュリティ]−[BitLockerドライブ暗号化]ツールで対象ドライブの[BitLockerで保護する]を実行する。

データディスクの暗号化 データディスクの暗号化
データディスクを暗号化する手順はリムーバブルディスクを暗号化するのと同じである。このシステムの場合は、パスワードかスマートカードを使って暗号化を解除できるので、どちらかを選択して先へ進む。

 ウィザードのこの後の手順は、第2回で説明したリムーバブルディスクの場合と同じなので省略する。暗号化が完了すると、BitLockerの管理画面は次のようになる。

データディスクとリムーバブルディスクの違い データディスクとリムーバブルディスクの違い
データディスクの操作には管理者権限が必要など、いくらか扱いに違いがある。
  (1)作成した内蔵の固定ディスク。
  (2)ほぼ全ての操作に管理者権限が必要。
  (3)パスワードの変更は一般ユーザーでも可能。
  (4)内蔵ディスクなので自動ロック解除機能を使いたいが、そのためには少し制約がある(後述)。
  (5)BitLocker To Goドライブは一般ユーザー権限でも自由に操作可能。

 リムーバブルディスクと比較すると、必要な権限が異なるだけで、それ以外は特に違いはない。

データディスクの自動ロック解除には制約あり

 いちいち手動でロックを解除するのは面倒なので、自動ロック解除をさせたいところだが、そのリンク(上の画面の(4))をクリックすると次のようなメッセージが表示され、自動ロック解除を設定できない。

自動ロック解除を設定できないというエラー 自動ロック解除を設定できないというエラー
BitLockerで保護したデータディスクを自動ロック解除させようとしても、このようなエラーが表示され、設定できない。この機能を使いたければ、先にC:ドライブをBitLockerで保護すること。

 これは、OSのブートディスク(C:)がBitLockerで保護されていないので、自動ロック解除を有効にできないという意味だ。

 実は、自動ロック解除をオンにするとOSシステム内に解除用のキー情報が登録される。そのため、C:ドライブが保護されていないとキー情報が露出する(安全に保存できない)ことになる。結果として、C:ドライブにアクセスできると容易にデータディスクの暗号化を解除できてしまうので、保護の意味がなくなってしまう。

 こうした理由から、自動ロック解除を利用したいなら、C:ドライブもBitLockerで暗号化する必要がある。

       1|2 次のページへ

Copyright© 1999-2017 Digital Advantage Corp. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。