BitLockerはWindows 8 Proにも標準搭載
「BitLockerドライブ暗号化」は、Windows Vista Enterprise(およびUltimate)の機能として初めて提供された機能です。BitLockerドライブ暗号化は、ボリューム全体を暗号化することで、コンピュータが盗難や紛失にあっても、ハードディスクからデータが漏えいすることが無いように、ディスクへのアクセスをブロックします。
Windows Vista Enterprise(およびUltimate)ではOSドライブの暗号化のみに対応していましたが、Windows 7 Enterprise(およびUltimate)では、データ・ドライブの暗号化と、USBメモリなどのリムーバブル・ドライブの暗号化に対応しました。リムーバブル・ドライブの暗号化機能のことを特に、「BitLocker To Go」と呼びます。
BitLockerドライブ暗号化はこれまで、Windowsの最上位エディションであるEnterprise(およびUltimate)に提供される機能でしたが、Windows 8では企業向けエディションのすべてに搭載されます。つまり、ソフトウェア・アシュアランス(SA)で提供されるWindows 8 Enterpriseだけでなく、リテールおよびボリューム・ライセンス製品のWindows 8 Proでも利用可能です。なお、コンシューマー向けのWindows 8には、BitLockerドライブ暗号化機能は提供されません。
BitLockerドライブ暗号化は、OSドライブ、データ・ドライブ、リムーバブル・ドライブで有効化できます。今回は、OSドライブの暗号化について取り上げます。OSドライブの暗号化は、モバイルPCを持ち歩くビジネス・ユーザーにとって、非常に有効なセキュリティ対策になります。正規のユーザーは、BitLockerドライブ暗号化を使用しても、コンピュータの操作性やパフォーマンスにほとんど影響はありません。暗号化されていないコンピュータと同じように、操作することができます。
一方で、万が一、コンピュータを紛失してしまったとしても、ハードディスク内のデータはボリュームごと暗号化されているので、コンピュータを起動することもできなければ、ハードディスクを取り出して中身にアクセスすることもできません。
OSドライブの暗号化にはTPM搭載PCが必要
BitLockerドライブ暗号化によるOSドライブの暗号化は、非常に簡単にセットアップできます。[コントロールパネル]の[BitLockerドライブ暗号化]から開始することもできますが、Windowsエクスプローラーのコンテキスト・メニューから開始することもできます。
OSドライブを暗号化するためには、暗号化の対象となるOSがインストールされたボリューム(通常、C:ドライブ、Windowsでは古くからブートボリュームと呼びます)と、ブート・マネージャー(Bootmgr)などの起動用のコンポーネントを配置したシステム・ボリュームを分割した、2つのパーティションが必要です。
暗号化されるのはブート・ボリュームのほうで、システム・ボリュームは暗号化されません。Windows Vistaでは、BitLocker用にパーティションを再構成するのが面倒な作業でした。しかし、Windows 7以降は、BitLockerを使用するしないに関係なく、OSの既定のインストールでBitLocker対応のパーティション構成が準備されます。Windows 8を新規インストールした場合は、350MBのシステム・パーティションが作成されているはずです。そのため、通常、OSドライブでBitLockerを有効化するために、パーティション構成について意識する必要はありません。
OSドライブの暗号化には、もう1つ重要なハードウェア要件があります。それは、トラステッド・プラットフォーム・モジュール(TPM)と呼ばれるセキュリティチップを搭載していることです。OSドライブの暗号化において、TPMは暗号化キーなどOSドライブのロックを解除するための重要なキーを封印するために使用されます。
またTPMは、Windowsの起動プロセスの整合性を検証し、改ざんが行われたと判断すると、Windowsの起動をブロックします。TPMの設計上、TPMに封印された暗号化キーを取り出すことは不可能ですし、TPMを取り外して他のコンピュータに移動することも不可能なので、OSドライブの暗号化の強度が高まります。
OSドライブでBitLockerの有効化を開始すると、まず、TPMが調査され、使用可能な状態になっていない場合、BitLockerドライブ暗号化のウィザードがコンピュータを再起動して、TPMを使用可能な状態に準備します(TPMを使用するには、BIOSで有効化後、初期化して所有権を取得する必要があります)。このとき、コンピュータ再起動時にBIOS設定の変更要求が検出されるので、それを受け入れる必要があります。
TPM+スタートアップ・キーまたはPINを使用するには
TPMの準備が完了すると、次の画面が表示され、すぐに暗号化を開始できるようになります。OSドライブの暗号化では、TPMによる自動的なロック解除のほか、追加のロック解除方法としてUSBメモリに格納したスタートアップ・キーまたはPIN(個人識別番号)の入力を求めることができます。しかし、既定では、暗号化のロックを解除するオプションは提供されません。
TPMに2つ目のロック解除方法を追加すると、BitLockerドライブ暗号化のセキュリティ・レベルをさらに強化できます。TPMを搭載したコンピュータが改ざんされていない要件に加えて、ユーザーが所有するUSBメモリ(スタートアップ・キー)またはユーザーが記憶しているPINという2要素認証になるからです。3要素認証(TPM+PIN+USBメモリ)も可能ですが、その場合、manage-bde.exeコマンドを使用してBitLockerを有効化する必要があります。
ちなみに、Windows Server 2012ベースの企業ネットワークでは、社内ネットワークでは追加のロック解除方法を省略し、社外でのみ追加のロック方法を要求するという、「BitLockerネットワーク・ロック解除」という方法もサポートされます。その場合は、TPMに加えて、UEFI対応のハードウェアと、DHCPドライバーを搭載したUEFIファームウェアが必要です。
追加のロック解除方法の選択を可能にするには、次のローカルコンピュータ・ポリシー(Gpedit.mscで編集可能)または企業のグループ・ポリシーの設定を有効化します。
コンピューターの構成\管理用テンプレート\Windowsコンポーネント\BitLockerドライブ暗号化\オペレーティングシステムのドライブ\スタートアップ時に追加の認証を要求する
このポリシーを事前に有効化しておくと、BitLockerドライブ暗号化ウィザードは、次のような画面を表示するので、ここで追加のロック解除方法を指定します。なお、「BitLockerでドライブのロックを自動的に解除する(USBフラッシュドライブでパスワードまたはスタートアップ・キーが必要)」が、追加のロック解除方法を使用しない既定の動作になります。
Let'snoteは物理的にも高い堅牢性
Windows 8のBitLockerドライブ暗号化は、ハードディスクの情報を保護しますが、ビジネス・パーソンから高い人気を誇るビジネス・モバイルのLet'snoteシリーズでは、高い堅牢性を誇り、物理的な衝撃などによる情報破損からデータを保護できることから、ビジネス・シーンで高い支持を集めています。
中でもLet'snoteシリーズ初のウルトラブック(一部機種除く)となるAX2シリーズ(関連記事)は、ウルトラブックならではの薄さや軽量性、タブレットとしても利用できる汎用性などを備える一方で、高い堅牢性を維持していることで注目を集めています。
生産する兵庫県神戸市にあるパナソニックITプロダクツビジネスユニット神戸工場には、様々な検査機器が用意されており、各種耐久検査が行われています(関連記事)。
AX2シリーズも他のLet'snoteシリーズ同様、76cm落下試験(底面/動作時)、100kgf加圧振動試験 (非動作時)、30cm自由落下試験(非動作時)、局部加圧試験(非動作時)、ヒンジ耐久試験、キーボード打鍵試験などの厳しい検査をくぐり抜けて出荷されています(タブレット形状時は除く)。ビジネス・ユースに最適な堅牢性を実現しています。
大切なビジネス・データを守るという点において、Windows 8のデータ保護機能と合わせて利用を検討してみてはいかがでしょうか。
- Windows7 ウィンドウズ7
- Windows7 Professional 日本語版(32ビット)5000.00円
- Windows7 Professional 日本語版(64ビット)5000.00円
- office2010マイクロソフト
