MicrosoftのBitLockerはフルディスク暗号化を可能にし、ドライブに保存されたデータは最新かつ最強の暗号化規格を用いて保護され、不正アクセスを防止します。BitLockerのサブセットであるBitLocker To Goは、USBフラッシュドライブなどの外部メディア上のデータを保護するために使用される点を除けば、ほぼ同様の仕組みで動作します。また、データを正しく読み取るには、暗号化を解除するためのキーが必要になります。
この包括的なガイドでは、BitLocker の機能やシステム要件など、BitLocker に関する重要な情報を網羅しています。Microsoft が BitLocker の開発ライフサイクルを通じて新しい情報を公開するたびに、このガイドも更新されますので、定期的にご確認ください。
参照: 暗号化ポリシー (Tech Pro Research)
エグゼクティブサマリー
- BitLocker とは何ですか? BitLocker (および BitLocker To Go) は、Windows PC または USB フラッシュ ドライブ上のデータを暗号化し、復号化キーまたはユーザーのアカウント資格情報を持たないユーザーによる不正アクセスを防止するディスク全体の暗号化プログラムです。
- なぜBitLockerが重要なのでしょうか?多くの場合、保存データに暗号化が実装されていれば、データ侵害を軽減できた可能性があります。この「最後の手段」により、データが不正アクセスから確実に保護されます。
- BitLocker は誰に影響しますか? PC に Windows Vista 以降がインストールされているユーザーは誰でも、BitLocker を有効にしてデータを保護できます。
- どの OS が BitLocker をサポートしていますか? BitLocker は現在、Windows Vista 以降のすべてのユーザーが利用できますが、すべてのバージョンの OS がサポートされているわけではありません。
- BitLocker を入手するにはどうすればよいですか? BitLocker は、Windows Vista から Windows 10、Windows Server 2008 から Windows Server 2016 まで、サポートされているすべてのバージョンの Windows のネイティブ機能です。
追加リソース
- Microsoft BitLocker の管理と監視 TechNet (Microsoft)
- Windows 10のヒント:BitLocker回復キーのコピーを1つ(または2つ)保存する(ZDNet)
BitLocker とは何ですか?
BitLockerは、ハードドライブまたはUSBフラッシュドライブのディスク全体を暗号化するMicrosoftの暗号化プログラムです。最新の暗号化アルゴリズムと最新CPUのパワーと効率性を活用することで、起動ディスクの内容全体が暗号化され、ディスクを復号するためのログインアカウントまたは回復キーを持つ者を除き、ディスクに保存されたデータへの不正アクセスを防止します。
参照: TechRepublic のすべてのチートシートと賢い人向けガイド
BitLocker のディスク全体の暗号化を有効にすると、データは詮索好きな目から保護され、物理的またはネットワーク経由でこのデータにアクセスしようとすると、認証を求めるプロンプトが表示されるか、データのバックアップにアクセスしようとしてもデータにアクセスできないことを示すエラー メッセージが表示されます (BitLocker はバックアップも暗号化するため)。
追加リソース
- BitLocker (および BitLocker-to-Go) 初心者向け (ZDNet)
- BitLocker ドライブ暗号化の概要 (Microsoft)
BitLocker が重要なのはなぜですか?
セキュリティはすべての人の責任です。BitLocker の強力なディスク全体暗号化規格と柔軟性は、固定デバイスやポータブルデバイスに保存されたデータを不正アクセスから保護するのに非常に役立ちます。多くの暗号化方式と同様に、BitLocker 単体では、デバイスへの攻撃を防御したり、脅威アクターを阻止したり、フィッシング攻撃者が侵入経路を見つけるために全員にメールを送信するのを防いだりすることはあまりできません。しかし、BitLocker は最後の手段として機能し、攻撃者が暗号化アルゴリズムを破ってデータを読み取るには多大な労力が必要になるため、ある程度の安心感を与えてくれます。
これは、モバイル デバイスや信頼できないネットワークに依存するモバイル プロフェッショナル、人事、財務、機密データなどを扱う部門スタッフ、または基本的に、デバイスが紛失または盗難に遭った場合にデータを詮索好きな目から保護してプライベートに保ちたいと考えているすべての人にとって特に便利です。暗号化により、データが読み取り不可能な状態ではほとんど価値がないか、まったく価値がないことを保証します。
追加リソース
- 国民が基本的人権として暗号化を必要とする理由 (TechRepublic)
- 通信の暗号化:適切に行うことがなぜ重要なのか(TechRepublic)
- Windows 10のヒント:BitLocker暗号化でリムーバブルストレージデバイスを保護する(ZDNet)
- BitLocker: 回復キーを取得する (コーネル大学)
- BitLocker および TPM 回復情報を AD DS にバックアップする TechNet (Microsoft)
BitLocker は誰に影響を与えますか?
BitLockerは、個人所有のデバイスを使用しているか会社所有のデバイスを使用しているかに関係なく、すべてのWindowsユーザーに影響します。データ暗号化は、暗号化キーを使用してコンテンツを暗号化することでデータを保護します。これにより、たとえ何らかの理由でデバイスからデータが削除されたとしても、ユーザーのログインが処理されるか回復キーが使用されるまで、不正アクセスを防止できます。回復キーが使用されると、データは再び読み取り可能になります。
システム管理者は、企業内の管理対象デバイスにBitLockerを実装することで、保存中の企業データをいかなる状況下でも確実に保護できます。データ漏洩、盗難、流出、さらにはバックアップさえも暗号化するように設定できます。Active Directoryを活用することで、デバイス上のデータを緊急に復旧する必要がある場合に備え、回復キーを保存しておき、後で取得することができます。
追加リソース
- 企業におけるBYODのリスク軽減(無料PDF)(TechRepublic)
- BYOD(個人所有デバイスの持ち込み)ポリシー(Tech Pro Research)
- 会社所有機器の自宅での使用に関するポリシー(Tech Pro Research)
BitLocker の代替として最も人気のあるものは何ですか?
MicrosoftのBitLockerは、ハードドライブとUSBデバイスの暗号化(BitLocker To Go経由)をネイティブでサポートしています。Active Directoryネットワークと組み合わせることで、回復キーをADスキーマの属性として保存し、管理者が必要に応じて管理できるようにすることで、一元管理が可能になります。ファイル、特にドライブのデータセキュリティや暗号化を実現する方法は、これらだけではありません。以下に、高度な機能とクロスプラットフォームサポートを提供するサードパーティ製のデータセキュリティ製品をいくつかご紹介します。
AppleのFileVault 2は、OS X/macOS 10.7以降のすべてのバージョンに搭載されている、Apple独自のフルディスク暗号化アプリケーションです。256ビットキーによるXTS-AES-128暗号化をサポートし、Macの起動ボリュームを保護します。これにより、ボリュームのアカウント認証情報または復号化に必要なマスター復旧キーを持たない不正なユーザーによるアクセスを防止します。
FileVault 2 を有効にすると、Mac ユーザーはデバイスからバックアップを実行する際にバックアップボリュームも暗号化されるので安心です。さらに、Open Directory ネットワークのユーザーは、Time Machine サーバを利用してボリューム全体ではなく暗号化されたファイルを個別にバックアップすることで、データ復旧計画を効率化できます。最後に、iCloud 対応アカウントでは、マスター復旧キーを iCloud アカウント内に安全に保存し、問題発生時にキーを安全に復旧するオプションがあります。
参照:サイバーセキュリティの必勝戦略(ZDNet特別レポート)|レポートをPDFでダウンロード(TechRepublic)
VeraCryptは、Windows、Linux、macOSのクロスプラットフォーム対応を提供する、無料のオープンソースディスク暗号化ソフトウェアです。フルディスク暗号化アプリケーションであるTrueCryptから派生したものですが、セキュリティ監査で複数の脆弱性が発見されたため、開発者はサポートを中止しました。
TrueCryptの使用権を獲得したVeraCryptは、以前のアプリをフォークし、脆弱性を修正するとともに、ファイルの保存方法を強化するための変更を加えました。VeraCryptは、ファイル内に仮想的に暗号化されたディスクを作成し、OSが読み取り可能なディスクとしてマウントします。ディスク全体、パーティション、USBフラッシュドライブなどのストレージデバイスを暗号化でき、リアルタイムのオンザフライ暗号化を提供します。ハードウェアアクセラレーションによりパフォーマンスが向上します。また、TrueCryptの隠しボリュームとOSの隠し機能もサポートしています。
GnuPGは、Phil Zimmerman氏が開発し、後にSymantec社に買収されたPGP暗号化プログラムをベースにしています。Symantec社が提供するPGPとは異なり、GnuPGは完全にフリーソフトウェアであり、GNUプロジェクトの一部です。このソフトウェアはコマンドラインベースで動作し、パフォーマンス向上のための対称鍵暗号と、安全な鍵交換の容易さを目的とした公開鍵暗号を組み合わせたハイブリッド暗号化を提供します。
GUIがないことは必ずしもすべての人に受け入れられるものではないかもしれませんが、プログラムの柔軟性により、署名付き通信、ファイル暗号化、そして(ある程度の設定で)ディスク暗号化によるデータ保護が可能です。ユニバーサル暗号エンジンと呼ばれるGnuPGは、CLI、シェルスクリプト、あるいは他のプログラムから直接実行でき、他のアプリケーションのバックエンドとして機能することも少なくありません。
LibreCryptは、Windowsを完全にサポートし、Linuxディストリビューションも部分的にサポートする透過的なフルディスク暗号化プログラムです。オープンソースであり、問題解決と新機能の導入に尽力するユーザーによるオンラインコミュニティがあります。Windowsで最も使いやすい暗号化プログラムとしてよく挙げられるLibreCryptは、暗号化されたコンテナも作成でき、Windowsエクスプローラーでリムーバブルディスクとしてマウントして簡単にアクセスできます。
サポートされている多数の暗号化およびハッシュ標準とモードに加えて、ユーザーを認証し、ファイル レベル、パーティション、またはディスク全体でデータを復号化するためのスマート カードとセキュリティ トークンもサポートしています。
EncFSは、FUSEライブラリを使用してユーザー空間で実行される暗号化ファイルシステムです。このライブラリは、ユーザー空間のファイルシステムへのインターフェースとして機能し、ホストOSでネイティブサポートされていないファイルシステムをマウントして使用できるようにします。FUSE/EncFSはオープンソースリリースであり、Linux、BSD、Windows、Androidデバイス、macOSをサポートしています。コミュニティメンバーによって翻訳されているため、複数の言語で利用可能です。
GitHub でのアクティブなコミュニティ サポートと定期的な更新により、EncFS は、マウントして安全なデータ ファイルを格納できるファイル システムを作成する機能をユーザーに提供します。また、その後、オフライン攻撃や不正なユーザー アクセスから保護するためにアンマウントすることもできます。
追加リソース
- AppleのFileVault 2で暗号化されたデータを復元する方法(TechRepublic)
- VeraCrypt で USB フラッシュドライブを暗号化する方法 (TechRepublic)
- GnuPG を使用して PGP キーを操作する方法 (TechRepublic)
どの OS が BitLocker をサポートしていますか?
BitLockerは現在、Vista以降のサポートされているWindowsバージョンで利用可能です。具体的には、以下のリリースのWindowsクライアントオペレーティングシステムでのみサポートされています。Windows Server 2008以降のすべてのリリースで利用可能です。
- Windows Vista: Enterprise および Ultimate エディション
- Windows 7: Enterprise および Ultimate エディション
- Windows 8/8.1: Pro および Enterprise エディション
- Windows 10: Pro、Education、Enterprise エディション
追加リソース
- Windows 7 の BitLocker To Go で USB ドライブを保護する (TechRepublic)
- Microsoft BitLocker 管理および監視 2.5 (Microsoft)
- Windows のディスク暗号化は「数秒」で簡単にバイパスされる可能性がある (ZDNet)
BitLocker を入手して使用するにはどうすればよいですか?
お使いのWindows PCにサポートされているバージョンのWindowsがインストールされている場合、BitLockerはすでに利用可能ですが、デフォルトでは無効になっています。有効にするには、コントロールパネルから「BitLockerドライブ暗号化」システム設定に移動し、「BitLockerをオンにする」リンクをクリックしてください。
ウィザードの指示に従って回復パスワードを作成し、ドライブのロックを解除してください。マザーボードにTPM 1.2以降が搭載されていない場合は、BIOSとブートドライブの信頼パスを検証してドライブの整合性を確保するために、起動パスワードを設定するか、USB起動ドライブを設定する必要があります。次に、回復キーのバックアップ方法を選択し、最後にドライブの暗号化方法を選択します。これにより、システムのチェックが実行され、デバイスの暗号化プロセスが開始されます。
追加リソース
- 暗号化:チートシート(TechRepublic)
- 組織で BitLocker を準備する: 計画とポリシー (Microsoft)
- BitLocker Active Directory 回復パスワード ビューアーの概要 TechNet (Microsoft)
- BitLocker 回復キー: FAQ (Microsoft)
- Windows 10のヒント:BitLockerを使用してシステムドライブを暗号化する(ZDNet)
- Windows 10のヒント:Microsoftアカウントのセキュリティとプライバシー設定を管理する(ZDNet)
