デバイスの暗号化と適用条件
「デバイスの暗号化」は、Windowsがインストールされたあと、最初のユーザー登録をして、該当ユーザーがログインしたときに実行されるCドライブの暗号化である。いわゆるOOBEの最中に開始され、利用者がMicrosoftアカウント、Azure Active Directoryのどちらかでユーザー登録をした場合も有効になる。
Windows 11のGUIでは、「デバイスの暗号化」と表記されるが、Microsoftのドキュメントでは、「BitLocker 自動デバイス暗号化(automatic device encryption)」(Auto-DE)と表記されることがある。つまり、BitLockerの1種なのである。
「デバイスの暗号化」は、ラップトップやタブレットなど、外部にもちだす可能性のあるハードウェアに対して、最低限のセキュリティを提供するために自動的に有効にされる。この条件がWindows 11 Ver.24H2で変更になる。簡単に言えば、従来は対象にならなかったマシンでも「デバイスの暗号化」が自動で有効になる。
緩和される条件は、
モダンスタンバイ
未登録のDMAポート
の2つである。前者は、ポータブルPCとデスクトップPCの違いとして利用される条件だ。正式には、モダンスタンバイまたは、ハードウェア セキュリティ テスト インターフェイス (HSTI)に対応しているかどうかが。
未登録のDMAポートとは、DMAデバイスがレジストリに登録されているかどうかである。レジストリは、
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses
で、通常は製造メーカーがプレインストール時の設定として登録する。このため、自作マシンなどは未登録のDMAポートのままになっている可能性があった。
24H2での「デバイスの暗号化」有効化条件の緩和は、これまで範囲外だったデスクトップマシンなどにまで、BitLockerによるドライブ暗号化を拡大するものだ。マシンが盗難やハッキングされた、といった場合にドライブを直接読み取られて、パスワードキャッシュなどの重大な情報が漏洩する可能性が低くなる。
少なくともログインできない状態なら、ファイルシステムを消去するしか方法がなく、比較的安全が保たれる。
BitLockerは、ドライブの暗号化で、不正なハードウェアアクセスなどの対策とはなるものの、地味な技術で、普段、恩恵に与ることもなれば、意識することも少ない。
ただ、トラブル時にWindows REを使う、ハードウェアの大規模な変更などで「BitLocker回復キー」を要求されることがあることは意識しておいた方がいいだろう。今年7月には、Windows Updateのあと、回復キーの入力を求められることがあった。少なくとも、BitLocker適用の有無と適用されていたら回復キーの入手方法ぐらいは確認しておくべきだ。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
この連載の記事
-
第520回
PC
WindowsターミナルのPreview版 v1.25では「操作」設定に専用エディタが導入 -
第519回
PC
「セキュアブート」に「TPM」に「カーネルDMA保護」、Windowsのセキュリティを整理 -
第518回
PC
WindowsにおけるUAC(ユーザーアカウント制御)とは何? 設定は変えない方がいい? -
第517回
PC
Windows 11の付箋アプリはWindowsだけでなく、スマホなどとも共有できる -
第516回
PC
今年のWindows 11には26H2以外に「26H1」がある!? 新種のCPUでのAI対応の可能性 -
第515回
PC
そもそも1キロバイトって何バイトなの? -
第514回
PC
Windows用のPowerToysのいくつかの機能がコマンドラインで制御できるようになった -
第513回
PC
Gmailで外部メール受信不可に! サポートが終わるPOPってそもそも何? -
第512回
PC
WindowsのPowerShellにおけるワイルドカード -
第511回
PC
TFS/ReFS/FAT/FAT32/exFAT/UDF、Windows 11で扱えるファイルシステムを整理する -
第510回
PC
PowerShellの「共通パラメーター」を理解する - この連載の一覧へ
