BitLocker は、システムのオフラインの間、次の方法でデータを保護します。

• Windows オペレーティング システムのボリューム全体を暗号化します。これには、ユーザー データ ファイルおよびシステム ファイル、休止状態のファイル、ページ ファイル、および一時ファイルが含まれます。
  
  
• Microsoft 以外のアプリケーションも完全に保護されます。つまり、暗号化されたボリュームにインストールされるため、自動的に保護の対象となります。
  
  

BitLocker では、TPM によって、初期ブート コンポーネントおよびブート構成データの整合性が検証されます。このため、これらのコンポーネントが改変されておらず、かつ暗号化されたドライブが元のコンピュータに存在する場合にのみ、暗号化されたボリュームへのアクセスが許可されます。

BitLocker は、次の方法で起動プロセスの整合性を検証します。

• 初期ブート ファイルの整合性が維持されていることを確認し、ブート セクタ ウイルスやルートキットなどによってそれらのファイルに悪意のある変更が加えられていないことを確認するための方法を提供します。
  
  
• ソフトウェア ベースのオフライン攻撃を防ぎ、保護を強化します。代替ソフトウェアでシステムを起動できた場合でも、Windows オペレーティング システムのボリュームの複合化キーにアクセスすることはできません。
  
  
• システムが改ざんされた場合、システムをロックします。監視対象のファイルが改ざんされた場合、システムは起動しません。システムが通常の起動を行わないことで、ユーザーは改ざんが行われたことに気付きます。システムのロックアウトが発生した場合、簡単な回復プロセスが開始されます。
  
  

日常の作業で、ユーザーが BitLocker の保護機能を意識することはほとんどありません。ハードウェア障害、ハードウェアの変更、またはセキュリティ侵害などによってシステム ロックアウトが発生すると、簡単で効率的な回復プロセスが開始されます。

BitLocker は Windows Vista と密接に統合されており、シームレスで管理しやすいデータ保護ソリューションを企業に提供します。たとえば、企業の既存の Active Directory® ドメイン サービス (AD DS) インフラストラクチャを使用して、回復キーをリモートに保管しておくことができます。BitLocker には、セットアップと管理を行うためのウィザードがあります。また、スクリプトをサポートする Windows Management Instrumentation (WMI) インターフェイスによって、高い管理性と拡張性が提供されています。また、BitLocker には初期ブート プロセスに統合された回復コンソールがあります。これにより、ユーザーやヘルプ ディスク担当者は、ロックされたコンピュータに再びアクセスできるようになります。

BitLocker のスクリプトの記述に関する詳細については、Win32_EncryptableVolume に関するページ (http://go.microsoft.com/fwlink/?LinkId=85983) (英語の可能性あり) を参照してください。

BitLocker を使用すると、コンピュータを簡単に廃棄またはリサイクルすることができます。暗号化されたボリュームのデータにアクセスできないようにするには、ボリュームへのアクセスに必要な BitLocker キーを削除します。

通常 PIN 機能は、起動を高速化する必要のあるサーバーや、再起動にユーザーが介入できないサーバーでは使用されません。多くのサーバー環境では、稼働時間とリモート管理は重要な問題になっています。交代勤務の始業時に社員がサーバーを起動する支社では BitLocker と PIN 認証を有効にすることが可能です。この場合は、起動時に責任者が PIN を入力します。

USB 起動キーはサーバーでもサポートされています。ただし、データをより強力に保護するには、起動後にサーバーから抜き忘れないようにする必要があります。このため、データを最大限に保護するためには、各サーバーの起動時にユーザーが起動キーを挿入し、また次に必要になるときまでキーを抜いておく必要があります。

BitLocker は、Windows Server 2008 でインストールされる 64 ビット プロセッサ アーキテクチャを使用する拡張ファームウェア インターフェイス (EFI) サーバーでサポートされています。

オペレーティング システムのボリュームとシステム ボリューム以外のボリュームは、データ ボリュームと呼ばれます。データ ボリュームの BitLocker 暗号化は、Windows Server 2008 でのみサポートされています。Windows Server 2008 のデータ ボリュームは、オペレーティング システムのボリュームと同じ方法で暗号化されます。オペレーティング システムでは、BitLocker で保護されたデータ ボリュームを通常のボリュームとして読み取ることができます。

自動ロック解除

クラスタ構成

データ ボリュームの回復

図 2 に、さまざまなサブコンポーネントで構成される BitLocker アーキテクチャの概要を示します。この図は、BitLocker のユーザー モード コンポーネントとカーネル モード コンポーネント (TPM を含む) 、およびそれぞれのコンポーネントがオペレーティング システムの各層にどのように統合されているかを示しています。

BitLocker は、コンピュータのハードウェア機能と目的のセキュリティ レベルに応じて、次の 4 つの認証モードをサポートしています。

• TPM を使用する BitLocker (付加的な認証なし)
  
  
• TPM と PIN を使用する BitLocker
  
  
• TPM と USB 起動キーを使用する BitLocker
  
  
• TPM を使用しない BitLocker (USB 起動キーが必要)
  
  

BitLocker が有効になっている場合、Windows Vista が起動するたびに、ボリューム保護セットに基づいた一連の手順がブート コードによって実行されます。これらの手順には、システムの整合性チェックに加えて、保護ボリュームのロックを解除する前に実行する必要がある他の認証手順 (PIN または USB 起動キーの認証) が含まれます。

図 1 に示すように、BitLocker では回復時に回復キー (USB デバイスに格納される) または回復パスワード (数値パスワード) が使用されます。回復キーまたは回復パスワードは、BitLocker の初期化中に作成します。セキュリティ侵害が試行されたりシステム障害などが発生した場合、承認を受けたユーザーは回復キーを挿入する、または回復パスワードを入力することによって、暗号化されたボリュームに再度アクセスできるようになります。

BitLocker では、次の順序でキーが検索されます。

1. クリア キー : システム整合性の検証が無効になり、BitLocker ボリューム マスタ キーに自由にアクセスできる状態になります。認証は必要ありません。
   
   
2. 回復キーまたは起動キー (存在する場合) : 回復キーまたは起動キーが存在する場合、すぐにそのキーが使用されます。ボリュームのロック解除に、他の方法が試行されることはありません。
   
   
3. 認証
   
   
   1. TPM : TPM によって初期ブート コンポーネントが正常に検証され、ボリューム マスタ キーの保護が解除されます。
      
      
   2. TPM + 起動キー : TPM によって初期ブート コンポーネントが検証されます。ユーザーは、正しい起動キーを含む USB フラッシュ ドライブを挿入する必要があります。
      
      
   3. TPM + PIN : TPM によって初期ブート コンポーネントが検証されます。ユーザーは、正しい PIN を入力する必要があります。
      
      
4. 回復
   
   
   1. 回復パスワード : ユーザーは、正しい回復パスワードを入力する必要があります。
      
      
   2. 回復キー : 上記のいずれの手順でもドライブのロックを正常に解除できない場合、回復キーを含む USB フラッシュ ドライブを挿入するよう求めるプロンプトが表示され、その後コンピュータが再起動します。
      
      

外部ボリュームとは、別のコンピュータ上であらかじめ BitLocker が有効化されてから、異なる Windows Vista コンピュータ上に移動されたオペレーティング システムのボリュームです。外部ボリュームを別の Windows Vista コンピュータに移動することにより、障害が発生したコンピュータ上にある、BitLocker で保護されたデータを迅速かつ簡単に回復することができます。外部ボリュームで使用できる認証方法は回復のみです。回復には、回復キーまたは回復パスワードが必要です。回復の詳細については、「システムの回復」を参照してください。

Windows Vista Enterprise および Windows Vista Ultimate では、BitLocker はオペレーティング システム インストールの一部として自動的にインストールされます。ただし、BitLocker コントロール パネルを使用して有効にしない限り、BitLocker は機能しません。

オペレーティング システムのインストールと初期設定が完了したら、システム管理者は Windows Vista のコントロール パネルを使用して、BitLocker を初期化できます。この初期化プロセスには、2 つの段階があります。

1. TPM が搭載されているコンピュータで、TPM 初期化ウィザードまたは BitLocker コントロール パネルを使用して、TPM を初期化します。TPM を初期化するよう設計されたスクリプトを実行することもできます。TPM 初期化ウィザードは、TPM 管理コンソール ウィザードからアクセスできます。TPM 管理コンソール ウィザードは、BitLocker コントロール パネルのリンクから開くことができます。BitLocker コントロール パネルを開くと、自動的に TPM の初期化が開始されます (必要な場合)。TPM をリモートで初期化することもできます。通常、コンピュータの TPM を初期化する際には、ユーザーはコンピュータの前にいる必要があります。ただし、TPM が既に有効になった状態でコンピュータが出荷されている場合、その必要はありません。BitLocker の TPM サービス コンポーネントには管理 API が含まれています。これを使用して、所有者の設定や TPM 管理パスワードの作成などの初期化手順をスクリプト化することができます。
   
   
2. BitLocker をセットアップします。Windows Vista コントロール パネルの BitLocker セットアップ ウィザードにアクセスします。このウィザードに従って、セットアップを実行し、詳細な認証オプションを選択できます。
   
   

注意
ローカル管理者が BitLocker を初期化する場合は、回復パスワードまたは回復キーを作成する必要があります。回復キーまたは回復パスワードがないと、オペレーティング システムのボリュームで問題が生じた場合に、暗号化されたドライブ上のデータにアクセスしたり、そのデータを回復することができなくなります。

BitLocker および TPM の初期化は、そのコンピュータのローカルの Administrators グループに属するメンバが実行する必要があります。管理者以外のユーザーも、BitLocker データ保護の益を受けることができますが、データ保護を有効化または無効化することはできません。

Windows Vista で BitLocker を構成および展開する方法の詳細については、Windows BitLocker ドライブ暗号化手順ガイドのページ (http://go.microsoft.com/fwlink/?LinkID=53779) (英語の可能性あり) を参照してください。

BitLocker の初期化とボリュームの暗号化が完了すると、認証時と定期的な管理タスクを実行する場合にのみ、BitLocker が表示されます。

BitLocker は、コンピュータのハードウェア機能と目的のセキュリティ レベルに応じて、次の 4 つの認証モードをサポートしています。

• TPM を使用する BitLocker
  
  
• TPM と PIN を使用する BitLocker
  
  
• TPM と USB 起動キーを使用する BitLocker
  
  
• TPM を使用しない BitLocker (USB 起動キーが必要)
  
  

認証に TPM のみを使用して他の BitLocker 認証を使用しない場合、BitLocker が有効になっているコンピュータは、通常のコンピュータと同じように使用できます。ユーザーが Windows を起動すると、通常のログオン時と同様に、ユーザー名とパスワードの入力を求める画面が表示されます。BitLocker についての知識がない場合、さらに高レベルなデータ保護機能がコンピュータに実装されていることに気付かないことがあります。

強力なセキュリティを実行するように BitLocker が構成されている場合、Windows Vista を起動するには、PIN を入力するか、USB 起動キーを挿入する必要があります。この場合、通常の起動または再開プロセスが変更され、追加の認証要素を入力するように求めるメッセージが表示されます。

BitLocker の認証モードの詳細については、Windows BitLocker ドライブ暗号化手順ガイドのページ (http://go.microsoft.com/fwlink/?LinkID=53779) (英語の可能性あり) を参照してください。

TPM のみのシナリオ

TPM のみのシナリオでは、TPM が搭載されているコンピュータで BitLocker を有効にしますが、他の認証は有効にしません。ハード ディスクは、次の 2 つのボリュームにパーティションで分割されます。

1. システム ボリューム
   
   
2. Windows Vista オペレーティング システムのボリューム
   
   

図 4 に示すように、BitLocker はオペレーティング システムのボリュームをフルボリューム暗号化キーで暗号化します。フルボリューム暗号化キーはボリューム マスタ キーで暗号化され、ボリューム マスタ キーは TPM によって暗号化されます。

ローカル管理者は、Windows Vista のコントロール パネルのセキュリティ項目を使用して、このシナリオを有効または無効にすることができます。BitLocker を無効にすると、ボリュームは復号化され、キーはすべて削除されます。その後、再度 BitLocker を有効にすると、新しいキーが作成されます。

注意
ローカル管理者が BitLocker を有効にする場合は、回復パスワードまたは回復キーを作成する必要があります。回復キーまたは回復パスワードがないと、オペレーティング システムのボリュームで問題が生じた場合に、暗号化されたドライブ上のデータにアクセスしたり、そのデータを回復することができなくなります。

強化された認証シナリオ

強化された認証シナリオでは、前述の基本的なシナリオに、別の認証が追加されます。図 5 に示すように、TPM を搭載するコンピュータで BitLocker を使用すると、次のような 2 つの多要素認証オプションが追加されます。

• TPM と PIN (システム整合性チェックとユーザーによる情報の入力)
  
  
• TPM と USB フラッシュ ドライブに格納される起動キー (システム整合性チェックとユーザーによるキーの挿入)
  
  

これらのシナリオの利点として、すべてのキー情報がローカル コンピュータに格納されない点が挙げられます。

PIN 認証

このシナリオでは、BitLocker の初期化中に、管理者が数値の PIN を設定します。BitLocker では、SHA-256 を使用して PIN がハッシュされます。このハッシュの最初の 160 ビットは、承認データとして TPM に送信され、ボリューム マスタ キーを保護するのに使用されます。これで、ボリューム マスタ キーは TPM と PIN の両方で保護されることになります。ボリューム マスタ キーの保護を解除するには、コンピュータを起動、または休止状態から再開するたびに、PIN を入力する必要があります。

注
通常、サーバーの実装では、起動を高速化する必要があったり、再起動にユーザーが介入できない場合には PIN 認証は使用されません。

起動キー認証

このシナリオでは、BitLocker の初期化中に、管理者が起動キーを作成します。起動キーは BIOS で列挙されるいずれかの記憶装置 (ホット プラグ可能な USB フラッシュ ドライブなど) に格納されます。ユーザーはコンピュータを起動、または休止状態から再開するたびに、そのデバイスをコンピュータに挿入する必要があります。起動キーが格納されている USB フラッシュ ドライブは、電源を入れるときから起動が完了するまでコンピュータに挿入しておく必要があります。ただし、Windows が読み込まれた後は取り外す必要があります。

起動キーのみのシナリオ (TPM なし)

このシナリオでは、管理者は TPM を装備しないコンピュータ上で BitLocker を有効にします。コンピュータ ユーザーは、コンピュータを起動、または休止状態から再開するたびに、起動キーを格納する USB フラッシュ ドライブをコンピュータに挿入する必要があります。

注
起動キーのみのシナリオを使用するシステムのセキュリティ プロファイルは、TPM を使用するシステムのセキュリティ プロファイルとは異なります。TPM 非搭載のシステムでは、初期ブート コンポーネントの整合性が検証されません。

TPM 非搭載のコンピュータの起動キーは、BitLocker セットアップ ウィザードまたはスクリプトで BitLocker を初期化する際に作成する必要があります。起動キーは BitLocker によって生成されます。ユーザーが USB フラッシュ ドライブを挿入すると、システムはそのドライブに起動キーを格納します。

ユーザーは、BitLocker コントロール パネルの項目を使用して、起動キーのバックアップ コピーを作成することができます。起動キーは暗号化されない未処理のバイナリ データとして、".bek" ファイルに保存されます。起動キーを紛失した場合は、回復キーまたは回復パスワードを使用してボリュームを回復し、新しい起動キーを生成する必要があります (この処理により、元の起動キーは無効になります)。紛失した起動キーを使用していた他のすべてのボリュームで同様の手順を実行し、承認されていないユーザーによって、紛失した起動キーが使用されないようにします。

管理

管理者は、BitLocker コントロール パネルを使用して BitLocker を管理できます。BitLocker コントロール パネルは、Windows Vista コントロール パネルのセキュリティ項目からアクセスできます。さらに、IT 管理者向けに、リモートでスクリプト機能を実行するためのコマンド ライン管理ツール (manage-bde.wsf) も用意されています。

Windows Vista で BitLocker を構成および展開する方法の詳細については、Windows BitLocker ドライブ暗号化手順ガイドのページ (http://go.microsoft.com/fwlink/?LinkID=53779) (英語の可能性あり) を参照してください。

キー管理

BitLocker によるボリュームの暗号化と保護が完了したら、ローカル管理者やドメイン管理者は BitLocker コントロール パネルの [キーの管理] ページを使用して、キーを複製したり、PIN をリセットしたりすることができます。

BitLocker の構成と TPM の管理

Windows Vista コントロール パネルのセキュリティ項目からアクセスできる BitLocker コントロール パネルには、BitLocker の状態が表示されます。このコントロール パネルで、BitLocker の有効化と無効化を行うことができます。インストールまたはアンインストールが要求されたために、BitLocker がデータの暗号化または復号化を実行している場合は、その進行状況のステータスが表示されます。また、管理者は BitLocker コントロール パネルを使用して、TPM 管理 MMC にアクセスすることができます。詳細については、「初期化」を参照してください。

コンピュータの更新およびアップグレード : BitLocker の保護を無効にする

管理者は、次のような場合に、BitLocker を一時的に無効にすることができます。

• メンテナンスを行うために、ユーザー操作 (PIN の入力や起動キーの挿入など) なしにコンピュータを再起動する。
  
  
• BIOS を更新する。
  
  
• BitLocker の回復を開始せずに、重要な初期ブート コンポーネントをアップグレードする。次に例を示します。
  
  
  • マスタ ブート レコード (MBR) が変更される可能性がある、異なるバージョンのオペレーティング システムまたは別のオペレーティング システムのインストール。
    
    
  • ディスクのパーティション分割。パーティション テーブルが変更される可能性があります。
    
    
  • 他のシステム タスクの実行。TPM によって検証されるブート コンポーネントが変更されます。
    
    
• BitLocker の回復を開始せずに、マザーボードをアップグレードして、TPM を交換するか取り外す。
  
  
• BitLocker の回復を開始せずに、TPM を無効にするかクリアする。
  
  
• BitLocker の回復を開始せずに、BitLocker で保護されたディスク ボリュームを他のコンピュータに移動する。
  
  

このようなシナリオを総称して、コンピュータのアップグレード シナリオと呼びます。BitLocker は、Windows のコントロール パネルの [BitLocker] 項目で、有効または無効にできます。

BitLocker が有効になっているコンピュータをアップグレードするには、次の手順を実行する必要があります。

1. BitLocker を無効モードにして、BitLocker を一時的に無効にします。
   
   
2. システムまたは BIOS をアップグレードします。
   
   
3. BitLocker を再び有効にします。
   
   

BitLocker を強制的に無効モードにしても、ボリュームは暗号化されたままです。ただし、ボリューム マスター キーは、ハード ディスクに格納されている暗号化されていない対称キーで暗号化されます。暗号化されていない対称キーはアクセス可能な状態になるため、BitLocker のデータ保護は無効になりますが、それ以降のコンピュータの起動はすべてユーザー操作なしで行うことができます。BitLocker を再び有効にすると、暗号化されていないキーはディスクから削除され、BitLocker の保護が再び有効になります。また、ボリューム マスタ キーにキーがかけられて、再び暗号化されます。

暗号化されたボリューム (物理ディスク) を、BitLocker が有効になっている別のコンピュータに移動する場合、特別な手順は必要ありません。これは、ボリューム マスター キーを保護するキーが、暗号化されていない状態でそのディスクに格納されているためです。

注意
わずかな時間でもボリューム マスター キーの保護を解除することは、セキュリティ上のリスクとなります。これは、ボリューム マスター キーやフルボリューム暗号化キーの保護がクリア キーによって解除されている間に、攻撃者がそれらのキーにアクセスする可能性があるためです。

BitLocker の無効に関する詳細については、Windows BitLocker ドライブ暗号化手順ガイドのページ (http://go.microsoft.com/fwlink/?LinkID=53779) (英語の可能性あり) を参照してください。

今日では、多くのパーソナル コンピュータが最初の所有者やユーザーの元を離れ、他のユーザーによって再利用されています。企業では、コンピュータが他の部署に再配置されたり、定期的なハードウェアの入れ替えで社外に持ち出されることがあります。

ドライブが暗号化されていない場合、それをフォーマットした後でも、そのデータを読み込めることがあります。このため、企業は、廃棄するドライブからデータが漏えいするリスクを抑えるために、ドライブを何度も上書きしたり、物理的に破壊したりしています。

BitLocker を使用すると、廃棄処理が簡単になり、その費用効率も高くなります。BitLocker で暗号化されたデータをそのまま残していても、キーを削除することによって、企業はデータが漏えいするリスクを軽減することができます。すべての BitLocker キーが削除された後、BitLocker で暗号化されたデータにアクセスすることはほぼ不可能です。これは、128 ビットまたは 256 ビットの AES 暗号化を解除する必要があるためです。

注意
このセクションで説明している手順は、将来データを使用する必要がない場合にのみ実行してください。手順を実行すると、暗号化されたボリュームのデータは回復できなくなります。

管理者は、Windows Vista からボリュームをフォーマットすることで、ボリュームの BitLocker キーを削除できます。この操作をサポートするため、"format" コマンドが更新されています。オペレーティング システムのボリュームをフォーマットするには、Windows Vista インストール DVD に含まれる回復環境を使用して、コマンド プロンプトを開きます。

また、管理者は、すべての BitLocker キー プロテクタを完全に削除するスクリプトを作成することもできます。このスクリプトを実行して、コンピュータを再起動すると、BitLocker で暗号化されたデータはすべて回復できなくなります。安全対策として、BitLocker では、暗号化された各ボリュームで、少なくとも 1 つのキー プロテクタを維持する必要があります。つまり、新しい外部キー プロテクタを 1 つ作成することにより、ドライブが廃棄可能な状態になります。このとき、作成した外部キーの情報は保存しないようにします。次に、ボリュームから他のキー プロテクタをすべて削除します。BitLocker のスクリプトの記述に関する詳細については、Win32_EncryptableVolume に関するページ (http://go.microsoft.com/fwlink/?LinkId=85983) (英語の可能性あり) を参照してください。

ボリュームから BitLocker キーが削除されたら、その他のタスクを実行して廃棄処理を完了します。たとえば、TPM をクリアして出荷時の既定の設定にリセットし、保存されているボリューム回復情報 (印刷された用紙、USB デバイスに格納されているファイル、および Active Directory に格納されている情報など) を破棄します。

IT 管理者は、グループ ポリシーを使用することにより、BitLocker を有効にするユーザーに対して、特定の回復方法を必須、禁止、オプションのいずれかに指定できます。回復パスワードを Active Directory ドメイン サービス (AD DS) に格納することができます。管理者は、コンピュータの各ユーザーに対して、Active Directory ドメイン サービスへの回復パスワードの格納を必須、禁止、オプションのいずれかに指定できます。また、回復データを USB フラッシュ ドライブに格納することもできます。

回復を行うには、USB フラッシュ ドライブに格納された回復キーか、回復パスワードから生成される暗号化キーを使用して、ボリューム マスタ キーのコピーを復号化する必要があります。どの回復シナリオでも TPM は使用されません。このため、TPM がブート コンポーネントの検証に失敗した場合や動作不良を起こした場合、または TPM が取り外された場合でも回復は可能です。

回復パスワード

回復キー