ESET/マルウェア情報局
Windowsのストレージ暗号化機能「BitLocker」を解説
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「ストレージを暗号化する「BitLocker」とは?利用する上での注意点はあるのか?」を再編集したものです。
標準搭載される暗号化機能BitLocker
BitLockerとは、Windows のPro版やEnterprise版、Education版(Windows Vistaと7ではUltimate、Enterprise版のみ)に標準搭載されているドライブ暗号化機能の名称のことだ。パソコンが紛失や盗難にあった場合でも、ハードディスク内の情報が容易に抜き取られるのを防ぐことができる。BitLockerに対応したバージョンのWindowsであれば無料で利用できるため、導入コストが抑えられるのが大きなメリットだ。
ハードディスク暗号化はセキュリティの観点で重要な施策となっている。日本ネットワークセキュリティ協会による「2018年 情報セキュリティインシデントに関する調査報告書」では、情報漏えいの要因として「紛失・置き忘れ」が最多となっており、26.2%を占めた。
盗難のケースを含め、外部に持ち出されたパソコンから情報が漏えいするリスクは小さくない。悪意のある人の手にわたると、パソコン内に保存されたデータや、社内サービスにログインするための情報など、機密情報が抜き出されてしまう。その対策として、ハードディスク暗号化のニーズは高いと言える。
端末のセキュリティを高める手段として、OSやBIOSをパスワードで保護し、不正ログインのリスクを軽減する方法もあるが、ハードディスクを直接保護できるわけではない。BitLockerのようにハードディスクそのものを暗号化してしまえば、データの不正な読み取りが一層困難になるのだ。
BitLockerはWindowsが起動しているブートドライブに加え、内蔵されたハードディスクやSSDを暗号化の対象とする。また、外付けストレージUSBメモリーなどのポータブルドライブを暗号化するBitLocker To Goという機能もある。
暗号化に対するWindowsの取り組みは歴史が長く、BitLockerはWindows Vistaから継続して実装されてきた。最近のWindows 10やWindows Serverに搭載されているBitLockerでは、基本的な機能に加え、暗号処理の高速化や認証オプションの追加等が行なわれている。
BitLockerの機能はWindowsのエディションによって異なる。具体的には、WindowsのHome版の場合、暗号化済みドライブの読み書きは可能だが、新たにドライブを暗号化することはできない。一方、Pro版やEnterprise版では新たなドライブの暗号化や管理ツールの利用を含め、全ての機能が使えるという違いがある。
BitLockerを支える「TPM」
BitLockerの暗号化は、基本的に、TPM(Trusted Platform Module: トラステッド・プラットフォーム・モジュール)という技術が前提となっている。TPMはマザーボードに付属するセキュリティチップで、多くの法人向けモデルのパソコンに搭載されている。公開暗号鍵の生成と復号処理、固定暗号鍵の保管、管理などの役割を担っている。
BitLockerでは、TPMに暗号化のキー情報を格納するので、そのパソコンでしかロックの解除ができなくなる。そのため、物理的にハードディスクが外されて情報が抜き取られるリスクを軽減できる仕組みになっている。ユーザーにとってもハードディスクにアクセスする際に、パスワード入力が不要になるというメリットがある。
一方で、TPMを搭載していないパソコンやポータブルドライブでも、TPMを使わずにBitLockerを利用する方法も提供されている。この場合、起動時やドライブにアクセスする際、パスワード入力やスマートカードの読み込み、外部キーによるロック解除等を設定する必要がある。
BitLocker搭載パソコンの管理方法
企業においてパソコンの紛失や盗難に備えるには、組織全体でのBitLockerの導入が推奨される。ハードディスク暗号化のポリシーを全社的に適用すれば、情報漏えいのリスクが軽減できるためだ。BitLockerの導入は、パソコンごとの設定が必要となるため、情報システム部門の負担を考慮しなければならない。小規模な組織であれば、各パソコンに管理者権限でログインし、ドライブの暗号化を施していく。
数十台を超える中規模以上の組織の場合、Active Directoryを介した一括管理が推奨される。Active Directoryでは管理対象にあるパソコンに対し、BitLockerの暗号化をグループポリシーとして設定する。BitLockerでは、パスワードを忘れた場合に備えて回復キーが発行されるが、その回復キーもActive Directory内に保存できるので、管理が容易になる。
Active Directory上での設定を行なった後、パソコンごとにグループポリシーの更新とBitLockerの暗号化を行なえば、組織全体で同じ設定が適用可能だ。
BitLockerを利用する上での注意点
導入のハードルが低いBitLockerだが、その一方で、企業で運用する上ではいくつかの注意点がある。まず、エンドユーザーが管理者権限を有していると、暗号化を無効にできてしまう点が挙げられる。BitLockerを導入すると同時に、暗号化はセキュリティ上、必要な対策である点をエンドユーザーに周知し、情報システムの管理者が権限を管理する必要がある。
また、BitLockerではパスワードを忘れた場合に備えて48桁の回復キーが発行されるが、パソコンの台数が増えると、管理が煩雑になるという課題もある。前述のように、Active Directoryでの管理を検討しなければならない。ただし、MacなどActive Directoryでは管理できないデバイスもある。そのようなデバイスが社内に存在する場合、BitLocker以外の技術も含めた暗号化ポリシーの適用が必要になるため、社内の管理台数が多い場合には負担が大きくなる可能性もある。
加えて、BitLockerに関する技術的な問い合わせは、マイクロソフト社が提供するフォーラムに限定されている点もあらかじめ押さえておきたい。企業での利用において問題が発生した場合でも、迅速な反応を得るのが難しいのが実際のところだ。
BitLockerの暗号化対象はあくまでドライブ単位であり、仕様の関係ですべての領域を暗号化できるわけでないことも頭に入れておく必要がある。ディスク全体を暗号化するツールでは、不正にアクセスしようとしてもOS自体が起動しないため、よりセキュリティリスクを低減できる。安全性を重視するのであれば、ディスク全体を暗号化するツールを利用するのが望ましいといえるだろう。
容易に管理・保護できる、総合的なセキュリティ対策を
BitLockerのみを単体で利用した場合を上回るセキュリティ対策を実現するために、デバイスやストレージの暗号化に特化した製品を導入することも検討したい。ハードディスク暗号化を軸としたデータ暗号化を行なうエンドポイント対策製品「ESET Endpoint Encryption」をその一例として紹介する。
ESET Endpoint Encryptionの大きな特徴として、フルディスク暗号化はもちろん、フォルダやファイル、メールやテキストの暗号化にも対応していることが挙げられる。BitLockerの場合、内蔵ドライブ、USBメモリー、リムーバブルHDDの暗号化に限定されてしまうため、どうしても暗号化されない領域が残ってしまう。
また、BitLockerの場合、TPMによる認証に依存するため、OSレベル、メモリーベースの脆弱性を突いた攻撃のリスクがある。ESET Endpoint Encryptionでは信頼性の高いプリブート認証(OS起動前の認証)を採用することで、この認証を通らない限りWindowsが起動されない。そのため、Windowsに対するパスワードクラックに耐性があるのだ。
このほかにも、管理用プログラムが無償で付属し、リモート展開・アクセス制御・クライアント管理が容易に行なえるのも大きい。そして、ベンダーからのサポートも受けられるため、管理部門の運用負荷が軽減される。1ライセンスから購入可能なため、個人から法人まで組織規模の大きさを問わないことも導入しやすいポイントだ。
セキュリティへの要求が高くなる今、ハードディスク暗号化の機能はもはや欠かせないものになっている。情報漏えいの事案が継続して発生している昨今の状況をみても、ひとつのツールを導入するだけでは十分ではない。全社的なポリシー策定や社員教育を施し、時間をかけて成熟度を上げていく取り組みが求められる時代となっている。パソコンを保護する施策を含めた総合的なセキュリティ対策で、個人や企業で保有する情報資産を厳重に防御するようにしてほしい。