BitLocker

Windows BitLockerドライブ暗号化とは

Windows BitLockerドライブ暗号化は、Microsoft Windowsに標準搭載されているデータ暗号化機能です。Windows Vistaで初めて導入され、以降のバージョンでも利用可能です。この機能は、ディスク全体を暗号化することで、コンピューターの盗難や紛失時における情報漏洩のリスクを低減します。

概要

BitLockerは、Windows OS上で、ハードディスクやSSDなどの記憶媒体全体を暗号化する機能です。暗号化されたドライブは、別のコンピューターに接続しても、正しいパスワードや認証キーを入力しない限り、内容にアクセスすることはできません。これにより、物理的な盗難や紛失によるデータ漏洩を防ぐことができます。Trusted Platform Module (TPM)が搭載されているコンピューターでは、TPMを利用して暗号化キーを保護できます。

BitLockerは、Microsoft Encrypting File System (EFS) とは異なる機能であり、それぞれが異なる種類の攻撃に対する保護を提供します。EFSはファイルやディレクトリ単位で暗号化できる一方、BitLockerはドライブ全体を暗号化します。これにより、BitLockerはFAT32などの異なるファイルシステム形式のUSBメモリも暗号化することが可能です。

暗号化アルゴリズム

BitLockerでは、複数の暗号化アルゴリズムが利用可能です。

AES-CBC: Windows VistaとWindows 7では、128ビットまたは256ビットのAES-CBCとElephant diffuserが使用されていました。Windows 8ではAES-CBCのみが使用されました。
XTS-AES: Windows 10バージョン1511以降では、XTS-AESも選択できるようになりました。オペレーティングシステムドライブと固定データドライブでは、XTS-AES 128ビットが既定で使用されます。

暗号化によるパフォーマンス低下は一般的に3〜5%程度ですが、SSDのTrim機能には対応しています。

利用可能なWindowsエディション

BitLockerによる暗号化機能は、Windowsの上位エディションでのみ利用可能です。

クライアントWindows
Vistaと7: Ultimate、Enterpriseエディション
8と8.1: Pro、Enterpriseエディション
10と11: Pro、Enterprise、Educationエディション
Windows Server: 2008以降のすべてのエディション

ただし、BitLockerで暗号化されたドライブの読み取りは、下位エディションでも可能です。

暗号化アルゴリズムの互換性

Windows 10 バージョン 1511以降では、XTS-AESが既定の暗号化アルゴリズムとなりました。これにより、以前のバージョンのWindowsでは、XTS-AESで暗号化されたドライブを読み取れない場合があります。

特に、固定データドライブを別のコンピューターで使用する場合、AES-CBC 128ビットまたは256ビットを使用する必要があります。

BitLocker To Go

Windows 7以降では、USBメモリなどのリムーバブルディスクを暗号化できるBitLocker To Go機能が追加されました。また、BitLocker To Go非対応のWindows XPやVista向けには、暗号化されたディスクを読み取るためのBitLocker To Goリーダーが提供されていました。

デバイスの暗号化

Windows RT 8とWindows 8.1 (無印) には、システムドライブのみを暗号化する機能限定版「デバイスの暗号化」が導入されています。Homeエディションでも利用可能です。

InstantGo

InstantGoは、TPM 2.0、Microsoftアカウントと連携した管理者アカウントを必須とする暗号化機能です。BitLockerが利用可能なエディションでは、BitLockerから管理できます。

暗号化モード

BitLockerは、以下の認証機構を組み合わせて利用できます。

透過動作モード: TPMハードウェアを利用して、ユーザーは通常通りにWindowsにログオンできます。このモードはコールドブートアタックに対して脆弱です。
ユーザー認証モード: OS起動前にPINやパスワードによる認証が必要です。
USBキーモード: 起動用のキーを含むUSBデバイスを接続する必要があります。CCIDプロトコルを使用すると、キーのセキュリティをより強化できます。

これらの認証方法を組み合わせることで、より強固なセキュリティを実現できます。

BitLockerの動作

BitLockerは論理ボリューム暗号化システムであり、ハードディスクドライブ全体や複数の物理ドライブで構成されたボリュームを暗号化できます。有効時には、TPMとの連携により、オフラインでの物理的攻撃やブートセクタ感染型マルウェアから保護します。

BitLockerを利用するには、少なくとも2つのNTFSフォーマット済みボリュームが必要です。一つはオペレーティングシステム用、もう一つはブート用です。ブートボリュームは暗号化する必要はありません。

一度ボリュームが暗号化されると、BitLockerは低水準デバイスドライバを使用してファイルを透過的に暗号化および復号します。オペレーティングシステムカーネルが起動すると、BitLockerとEFSの両方で保護が行われます。これにより、異なる種類の攻撃に対して、多層的な防御が実現できます。

Active Directory環境では、BitLockerのキーエスクロウ機能を利用することもできます。

注意点

BitLockerは強力な暗号化機能ですが、不正なブートマネージャーによる攻撃を受ける可能性があります。TPMを設定することで、このリスクを低減できます。

外部リンク

BitLocker - Windows security | Microsoft Docs
Windows でのデバイスの暗号化

もう一度検索