デバイスの暗号化と適用条件
「デバイスの暗号化」は、Windowsがインストールされたあと、最初のユーザー登録をして、該当ユーザーがログインしたときに実行されるCドライブの暗号化である。いわゆるOOBEの最中に開始され、利用者がMicrosoftアカウント、Azure Active Directoryのどちらかでユーザー登録をした場合も有効になる。
Windows 11のGUIでは、「デバイスの暗号化」と表記されるが、Microsoftのドキュメントでは、「BitLocker 自動デバイス暗号化(automatic device encryption)」(Auto-DE)と表記されることがある。つまり、BitLockerの1種なのである。
「デバイスの暗号化」は、ラップトップやタブレットなど、外部にもちだす可能性のあるハードウェアに対して、最低限のセキュリティを提供するために自動的に有効にされる。この条件がWindows 11 Ver.24H2で変更になる。簡単に言えば、従来は対象にならなかったマシンでも「デバイスの暗号化」が自動で有効になる。
緩和される条件は、
モダンスタンバイ
未登録のDMAポート
の2つである。前者は、ポータブルPCとデスクトップPCの違いとして利用される条件だ。正式には、モダンスタンバイまたは、ハードウェア セキュリティ テスト インターフェイス (HSTI)に対応しているかどうかが。
未登録のDMAポートとは、DMAデバイスがレジストリに登録されているかどうかである。レジストリは、
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses
で、通常は製造メーカーがプレインストール時の設定として登録する。このため、自作マシンなどは未登録のDMAポートのままになっている可能性があった。
24H2での「デバイスの暗号化」有効化条件の緩和は、これまで範囲外だったデスクトップマシンなどにまで、BitLockerによるドライブ暗号化を拡大するものだ。マシンが盗難やハッキングされた、といった場合にドライブを直接読み取られて、パスワードキャッシュなどの重大な情報が漏洩する可能性が低くなる。
少なくともログインできない状態なら、ファイルシステムを消去するしか方法がなく、比較的安全が保たれる。
BitLockerは、ドライブの暗号化で、不正なハードウェアアクセスなどの対策とはなるものの、地味な技術で、普段、恩恵に与ることもなれば、意識することも少ない。
ただ、トラブル時にWindows REを使う、ハードウェアの大規模な変更などで「BitLocker回復キー」を要求されることがあることは意識しておいた方がいいだろう。今年7月には、Windows Updateのあと、回復キーの入力を求められることがあった。少なくとも、BitLocker適用の有無と適用されていたら回復キーの入手方法ぐらいは確認しておくべきだ。
この連載の記事
-
第508回
PC
Scalable Vector Graphics(SVG)そもそも何なのか? -
第507回
PC
Windows 11の「開発者モード」とは何か? -
第506回
PC
Windows 11は早くも来秋登場の26H2プレビューの準備が始まる -
第505回
PC
結構変化しているWindows 11のエクスプローラーの基本設定を見直す -
第504回
PC
新しいOutlookとOutlook Classic、そろそろ古いOutlookとExchangeの組み合わせは引退の頃合いか -
第503回
PC
機能が増えたこともあり、寄せ集めから統合化に進むWindowsの便利ツール「PowerToys」 -
第502回
PC
Windows 11でBluetoothのオーディオ新規格「Bluetooth LE Audio」を試す -
第501回
PC
Windows 11 Ver.25H2での変更点、新機能を整理する -
第500回
PC
Windows 11 Ver.25H2が完成した -
第499回
PC
Windowsでの致命的だが回復可能なエラーに備える手段を2つ紹介 -
第498回
PC
Windows Terminalの安定版V1.23が公開 設定UIが改良される - この連載の一覧へ
