【ここが変わったWindows Vista：特別編】

Vistaの知られざる機能を探る――“BitLockerドライブ暗号化”とは

情報漏洩の危険からOSを保護するVistaの新機能“BitLockerドライブ暗号化”

パソコン盗難による情報漏洩を防ぐBitLocker

ひところは毎日のように、日本のどこかでノートパソコンを紛失したり盗まれたりして、病院の医療カルテや役所の個人情報、銀行の口座情報が流出するといったことが新聞紙上を賑わしていた。ノートパソコンを盗難から完全に守るのは難しいので、次善の策としてはノートパソコンに個人情報などを入れて持ち歩かないのが一番だ。しかし利便性を考えれば、ノートパソコンにもこれらの情報を入れて、外出先や自宅で仕事を行ないたいというのも本音だろう。そこで考えられたのが、仮にノートパソコンが盗まれてもHDDからデータを盗まれないよう、不正な手段ではパソコン自体が起動しないようにするのがBitLockerの役目だ。

同社Windows本部Windows OSマーケティング部兼ビジネスWindows製品部部長の中川 哲氏はWindows XPでのデータ保護機能について、「Windows XPでは、コンテンツの保護(Right Management System)(※1)と、ファイルやフォルダごとの暗号化(EFS：Encrypting File System)といったデータ保護機能を持っていました」と述べている。新しく導入されたBitlockerは、Windows XP/2000が持っていたファイルやフォルダー単位の暗号化とは異なり、ボリューム(いわゆるCドライブやDドライブ)単位で暗号化を行なうことで、パソコンの紛失や盗難による情報漏洩を防ごうというものだ。

※1　コンテンツの編集抑制、転送抑制機能

下記の表は、Vistaが備えるセキュリティー機能の違いを示したものだ。複数のセキュリティー機能を組み合わせることで、多層的な防御を実現しているのが分かる。

「BitLockerはパーティションを暗号化する機能のため、ファイルやフォルダーを暗号化するEFSの機能が向上したものと勘違いされる場合も多いのですが、EFSとはまったく違ったコンセプトのデータ保護機能です。基本的にOSがインストールされたボリュームだけを暗号化します。そのため、OSを起動するときに暗号化を解く鍵が用意されていないと、OS自体が起動しないようになっています」(システムテクノロジー統括本部インフラストラクチャテクノロジー本部クライアントプラットフォームグループテクノロジースペシャリストの胡口敬郎氏)

BitLockerでは、OS本体がインストールされたパーティション(OSボリューム)全体を暗号化する。同じ暗号化と言っても、Windows XP/2000のファイルシステムがサポートする“暗号化ファイルシステム”(EFS：Encrypting File System)とは異なる機能だ。OSボリューム内にあるすべてのファイル、例えばスワップファイルやテンポラリーファイル、休止状態への移行(ハイバネーション)時にメモリー内容を保存するファイル(hiberfil.sys)も、BitLockerでは暗号化される。

またBitLockerで暗号化されるのは、OSボリュームのみである。1台のHDDを複数のパーティションに分割していたり、複数台のHDDを使っているような環境では、OSボリューム以外はBitLockerでは暗号化されない。OSボリューム以外を暗号化したい場合は、EFSを使って暗号化する必要がある。これはOSボリューム全体を保護することで同ボリューム内にある重要なデータも保護できるほか、正規のユーザー以外にはOSを起動できなくすることで、EFSで暗号化した他のボリュームも間接的に保護できるためである。

なお、BitLockerは『Windows Vista Enterprise』『Windows Vista Ultimate』のエディションのみが搭載する機能である。Vista Enterpriseはボリュームライセンスのみでの販売のため、一般ユーザーがBitLockerを使うには、Ultimateが必要になる。

ASCII倶楽部

お知らせ