Windows 10 にはすでに BitLocker と Windows デバイス暗号化という 2 種類の暗号化機能があり、22H2 リリース以降、Windows 11 Enterprise および Education には個人データ暗号化が追加されます。
BitLockerとデバイス暗号化は実質的に同じフルディスク暗号化技術ですが、BitLocker(Windows Pro、Enterprise、Educationでのみ利用可能)には管理ツールがあり、管理者はシステム上の1つまたは複数のドライブの暗号化を制御したり、キーのバックアップと復元を行ったりできます。デバイス暗号化はWindows Homeに含まれており、PC上のすべてのドライブを暗号化します。セカンダリドライブを除外するオプションはありません。BitLockerという名称が異なるのは、同じ管理ツールとオプションを利用できると誤解されてしまうためです。
個人データ暗号化は、ドライブ全体を暗号化しないため、これらのいずれかに取って代わるものではありません。その代わりに、Windows Hello for Business によって保護される 256 ビット AES-CBC 暗号化キーを使用して、個々のファイルとフォルダーを保護します。ただし、この暗号化キーは、Windows Hello for Business を使用するように構築されたアプリケーションを通じてのみ保護されます。
ジャンプ先:
- Windowsでのファイル暗号化
- 個人データの暗号化を有効にする
- PDEはBitLockerのパートナーです
Windowsでのファイル暗号化
Windows では、すでに次の方法で選択したファイルを暗号化できます。
- ファイルエクスプローラーで選択します。
- 右クリックして「プロパティ」を選択します。
- [全般]タブの[属性]セクションで[詳細設定]ボタンをクリックします。
- 「データを保護するためにコンテンツを暗号化する」チェックボックスをオンにします。
これは Windows に組み込まれている暗号化ファイル システムを使用しますが、いくつかの欠点があります。
EFS経由の暗号化による複雑さ
EFSはWindows 2000にまで遡り、TPMがPCに普及するずっと前のことです。そのため、暗号化キーの保護にハードウェアセキュリティは使用されていません。暗号化キーはWindows内に保存されるため、攻撃者がキーを抽出したり、Windowsアカウントへのハッキングを試みたりする可能性があります。
EFSで暗号化されたファイルには、暗号化したユーザーアカウントのみがアクセスできます。これはシームレスです。そのユーザーアカウントでログインすると、特別な操作をすることなく暗号化されたファイルにアクセスできますが、別のアカウントでログインした場合は、ファイルを開くことができません。
PDE はより安全なキーのために Windows Hello を使用します
BitLocker は、Windows を起動するとすぐに暗号化されたドライブのロックを解除します。PDE は、ユーザーがログインし、Windows Hello を使用してログインしたときにのみ、暗号化されたファイルのロックを解除します。
Windows Hello for Business を使用すると、個人データ暗号化によって暗号化キーが安全なハードウェアに保存され、生体認証または PIN で認証した場合にのみキーが解放されます。PIN もハードウェア セキュリティで保護されており、パスワードとは異なり、そのアカウントを使用する他のデバイスに移動されることはありません。
これはより安全ですが、ユーザーにとってはより透明性が高くなります。ただし、パスワードを使用してアカウントにサインインすることにした場合は、個人データ暗号化で保護されたファイルが表示されないことには慣れる必要があります。
個人データの暗号化を有効にする
個人データ暗号化の使用にはいくつかの制限があります。PC は Azure AD に参加している必要があり、ハイブリッドデバイス(組織の Active Directory に参加しているが、Azure AD にも登録されているデバイス)であってはなりません。リモートデスクトップ接続はサポートされていません。また、ネットワーク共有経由で個人データ暗号化で保護されたファイルを表示することはできません。また、Windows Hello for Business の代わりに FIDO キーを使用することも、Windows への自動再起動サインオンを使用することもできません。
個人データ暗号化キーが誤って公開されないようにするには、休止状態、クラッシュ ダンプ、および Windows エラー報告を無効にする必要があります。これは、個人データ暗号化を有効にするために使用するのと同じ MDM ソリューション (Intune または CSP によるグループ ポリシー経由) を通じて実行できます。
Windowsがロックされている場合でも、暗号化されたファイルにアクセスできるかどうかを選択できます。レベル2の保護を選択した場合、Windowsのロック画面が表示されてから1分間は暗号化されたファイルにアクセス可能ですが、その後は復号キーが破棄されます。OneDriveを使用する必要はありませんが、個人データ暗号化キーを紛失した場合に備えて、バックアップを用意しておくことをお勧めします。
EFSとは異なり、PDE(Personal Data Encryption)を有効にすると、ファイルエクスプローラーでファイルを暗号化できなくなります。実際、PDE用のユーザーインターフェースは存在しません。これは、開発者がアプリケーションで使用するAPIを通じて制御されるためです。PDEを最初に有効にしたのは、メールメッセージと添付ファイルの両方を暗号化できる組み込みのメールアプリです。
PDEはBitLockerのパートナーです
繰り返しますが、個人データ暗号化は BitLocker に代わるものではありません。組織が追加の保護が必要であると判断したファイルに対して BitLocker と併用するように設計されています。
特に機密性の高い情報を扱う基幹業務アプリケーションをお持ちの場合は、PDE API を使用することで、ファイルへのアクセスを、アクセス権を持つ従業員のみが、Azure AD に参加している管理対象デバイスからのみ行えるように設定できます。個々の従業員にファイルを暗号化するツールを提供するのではなく、コンプライアンスポリシーで設定することをお勧めします。ファイル暗号化ツールは、悪意のある内部関係者がデバイスに保存すべきでないデータを隠蔽し、組織外に持ち出そうとする可能性があるためです。
Azure Information ProtectionやPurview Information Protectionなどのツールで保護されたファイルでは、機密ラベルと暗号化がファイルに永続的に適用されますが、Personal Data Encryptionで保護されたファイルは、ファイルエクスプローラーで手動で復号化できます。手順は以下のとおりです。
- ファイルを右クリックします。
- [プロパティ]を選択します。
- EFS 暗号化を適用するのと同じ場所である [全般] タブの [詳細設定] ボタンをクリックします。
- データを保護するために「コンテンツを暗号化する」オプションのチェックを外します。
同じ方法でファイルを再度暗号化することはできないことに注意してください。これはアプリケーションでのみ実行できます。
暗号化されたファイルが多数ある場合は、CIPHERコマンドを使用してフォルダー内の1つまたは複数のファイルを復号できます。ただし、Windows Hello for Businessでログインし、既にアクセス権を持っている場合にのみ実行できます。これはセキュリティ上の欠陥ではありません。アクセス権があれば、ファイルの内容をコピーして他の場所に貼り付けることができるからです。
「個人データ暗号化」という名称は、少々紛らわしい。Windows Hello for Business でのログイン方法に紐づいているため、個人情報と関連しているものの、個人が自由に選択できるものではなく、個人ファイルの保護にも使用できない。むしろ、これは Windows の情報処理をより安全にするための新たな構成要素であり、ただし、それを利用するアプリケーションが増えれば、その効果は発揮されるだろう。
