• [アーティクル]

セキュリティ

BitLocker ドライブ暗号化を使用したデータ保護の概要

Byron Hynes

 

概要:

  • フルボリューム暗号化
  • BitLocker のキー
  • BitLocker をセットアップする

Windows BitLocker ドライブ暗号化は、Windows Vista で最もよく話題になっている機能の 1 つであることは間違いありません。しかし、ほとんどのユーザーは、特にトラステッド プラットフォーム モジュール (TPM) が装備されているコンピュータで、

BitLocker を実際にテストして、その機能としくみを確認する機会をまだあまり与えられていません。この記事では、BitLocker™ の潜在能力を評価し、アップグレード計画に加えられるように、BitLocker の概要について説明します。まず、背景と概念的な情報を提供した後、BitLocker の有効化、データの回復、および管理について説明します。その後、BitLocker がコンピュータの廃棄時にどのように役立つかについて説明します。この記事で使用されている用語の詳細については、補足記事の「ディスクとボリューム」を参照してください。

ディスクとボリューム

ディスクとボリュームに関する用語は、意味を混同してしまうことがよくあります。これらの用語に関する簡単な説明を次に示します。

パーティション : パーティションは、物理ハード ディスクの一部分であり、ディスク上に保存されているパーティション テーブルで定義された論理構造です。

ボリューム : ボリュームは、Windows 内の論理構造です。1 つ以上のパーティションから構成されており、ボリューム マネージャという Windows コンポーネントによって定義されます。ボリューム マネージャと起動コンポーネントを除いた、オペレーティング システムのすべてのコンポーネント、およびアプリケーションは、パーティションではなくボリュームを操作します。通常、Windows クライアント オペレーティング システム (Windows Vista など) の場合、パーティションとボリュームは一対一で対応しています。サーバーの場合は、標準的な RAID 構成のように、複数のパーティションから 1 つのボリュームが構成されることがよくあります。

アクティブ パーティション : アクティブ パーティションとして一度にマークできるパーティションは 1 つのみです。このパーティションには、オペレーティング システムの起動に使用されるブート セクタが含まれています。アクティブ パーティションは、システム パーティションやシステム ボリュームと呼ばれることもありますが、Windows OS ボリュームとは混同しないようにしてください。

Windows OS ボリューム : このボリュームには、System フォルダや System32 フォルダなどの Windows インストールが含まれています。Windows Vista がリリースされる前は、ブート パーティションと呼ばれていました (現在でもこのように呼ばれることがよくあります)。Windows OS ボリュームという呼び方のほうが、意味がわかりやすく、今までのように、ブート パーティションとシステム パーティションを混同することもなくなります。昔の指導者は受講者に、"システム パーティションからブートが実行され、ブート パーティション上にシステム ファイルがある" と教えていました。

Windows Vista より前のオペレーティング システムでは、Windows OS ボリューム (ブート パーティション) とアクティブ パーティション (システム パーティション) は同じディスク領域を指していました。これは、ほとんどのクライアント コンピュータのハード ディスクが、1 つの大きなパーティションとして構成されていたためです。図 A に示されている、Windows Vista のディスクの管理コンソールでは、各パーティションまたはボリュームに割り当てられた機能を確認できます。

図 A パーティションの機能

図 A** パーティションの機能 **(画像を拡大するには、ここをクリックします)

BitLocker は、2 つの機能を提供します。これらは相補的ですが、異なる機能です。1 つ目は、Windows® OS ボリュームのフルボリューム暗号化機能です。2 つ目は、互換性のある TPM が装備されたコンピュータで、初期起動コンポーネントの整合性を検証してから、Windows Vista™ の起動を許可する機能です。

BitLocker のすべての機能を使用するには、コンピュータに、互換性のある TPM マイクロチップと BIOS が装備されている必要があります。具体的には、TPM Version 1.2、および Trusted Computing Group (TCG) によって定義された Static Root of Trust Measurement と TPM をサポートする BIOS が使用されている必要があります。ただし、互換性のある TPM と BIOS を装備していないコンピュータでも、BitLocker 暗号化を使用できます。

フルボリューム暗号化

BitLocker によって提供されるフルボリューム暗号化機能を使用すると、Windows OS ボリュームに書き込まれるすべてのデータを暗号化できます。この機能は、組織のコンピュータ (特にノート パソコンやモバイル コンピュータ) に格納された機密情報を保護するための重要な機能です。

モバイル コンピュータの紛失や盗難は、毎日のように発生しています。また、ポータブル コンピュータの機能が強化され、モバイル ユーザーが増加したため、1 人の社員が、組織の企業秘密、機密文書、顧客の個人情報 (PII) などを何百 GB という単位で持ち運んでいる可能性があります。ニュースを検索すると、このようなデータが非常に多く紛失していることがわかります (Privacy Rights Clearinghouse によると、2005 年以降、1 億件を超える個人情報が紛失または流出しました)。

ほとんどの組織は、既に法律や企業内の指示に従って、多くの種類の個人情報を保護しています。また、おそらく法律で義務付けられていなくても、仕事上、個人情報の保護に関心を持たざるを得ません。

ボリューム全体を暗号化する理由

経験豊富な Windows 管理者であれば、暗号化ファイル システム (EFS) などの Windows ベースの暗号化オプションや、Rights Management Services (RMS) によって提供される暗号化機能と保護機能について、よく知っていると思います。これらの暗号化機能と BitLocker の最も大きな違いは、BitLocker を一度有効にすると、自動的かつ透過的に、ボリューム全体の暗号化が実行される点です。

たとえば、EFS を使用する場合、保護するファイルとフォルダを明確に指定する必要があります。Windows Vista では、EFS の柔軟性を強化できる新しいオプションがいくつか提供されます。また、BitLocker ではなく、EFS や RMS でなければ対処できないシナリオもあります。しかし、EFS や RMS を使用する場合、管理者は膨大な量の構成作業を行う必要があります。また、EFS や RMS は、ボリューム上に格納されたすべてのデータを保護するように設計されていません。

これに対して、BitLocker は、BitLocker によって保護されたボリュームに書き込まれるすべてのデータを暗号化します。たとえば、オペレーティング システム、レジストリ、休止状態のファイルとページング ファイル、アプリケーション、アプリケーションによって使用されるデータなどが暗号化されます。

また、BitLocker は、3 つのアイテムを暗号化しません。暗号化されないアイテムは、ブート セクタ、読み取り不可能としてマークされた不良セクタ、およびボリューム メタデータです。ボリューム メタデータは、BitLocker の管理に使用されるデータの 3 つの冗長なコピーから構成されます。これらのデータには、ボリュームに関する統計情報、一部の解読キーの保護されたコピーなどが含まれています。これら 3 つのアイテムは、一意でもなく、重要でもなく、個人も特定できないため、暗号化する必要はありません。

フルボリューム暗号化は、オフライン攻撃からコンピュータを保護します。オフライン攻撃とは、オペレーティング システムによる制御の回避を試みることによって展開される攻撃です。たとえば、よくあるオフライン攻撃には、コンピュータを盗み、ハード ドライブを取り外し、そのドライブを (別にインストールされた Windows や、異なるオペレーティング システムを実行している) 別のコンピュータに 2 番目のドライブとして取り付けることによって、NTFS アクセス許可やユーザーのパスワードによる制御を回避しようとする方法があります。BitLocker によって保護されたボリュームは、このような攻撃によって読み取ることはできません。

BitLocker がデータを暗号化するしくみ

BitLocker は、Advanced Encryption Standard (AES) アルゴリズムと 128 ビットのキーを使用します。保護を強化する場合は、グループ ポリシーか、BitLocker の Windows Management Instrumentation (WMI) プロバイダを使用して、キーを 256 ビットに拡張できます。

ボリュームの各セクタは、個別に暗号化されます。その暗号化キーの一部は、セクタ番号を基に生成されます。つまり、同一のデータであっても、別のセクタに保存されていれば、これらのデータは異なるバイト列に暗号化され、ディスクに書き込まれます。このため、既知の情報の暗号化を利用してキーを解読することは非常に難しくなりました。

また、BitLocker は、AES を使用してデータを暗号化する前に、ディフューザというアルゴリズムを使用します。暗号化については詳しく説明しませんが、ディフューザについて簡単に説明すると、ディフューザとは、プレーンテキストに対してどんなに小さな変更が加えられた場合でも、セクタ全体の暗号化テキストを変更するアルゴリズムです。これにより、攻撃者はさらにキーやデータを解読しにくくなります。

BitLocker 暗号化アルゴリズムの詳細については、Neil Ferguson の記事「AES-CBC と Elephant ディフューザ : Windows Vista のディスク暗号化アルゴリズム」を参照してください。

BitLocker のキー

暗号化を行う際は、必ずキーについて知っておく必要があります。BitLocker もこの例外ではありません。BitLocker が使用するキーのアーキテクチャは優れていますが、多少複雑です。

セクタ自体は、フルボリューム暗号化キー (FVEK) と呼ばれるキーを使用して暗号化されますが、ユーザーは FVEK を使用したり、FVEK にアクセスしたりすることはできません。さらに FVEK は、ボリューム マスタ キー (VMK) と呼ばれるキーを使用して暗号化されます。このレベルまで抽象化することによって、他の方法では得られないメリットを得ることができますが、処理のしくみは理解しにくくなります。FVEK は、厳重に保護されたシークレットとして保持されます。これは、FVEK が解読された場合、すべてのセクタの再暗号化が必要になるためです。すべてのセクタの再暗号化は時間がかかるため、できれば実行したくない操作です。このため、システムは VMK を使用します。

(VMK を使用して暗号化された) FVEK は、ボリューム メタデータの一部としてディスクに保存されます。FVEK はローカルに保存されますが、暗号化されていない状態でディスクに書き込まれることはありません。

VMK も、1 つ以上のキー保護機能によって暗号化されます (つまり、保護されます)。既定のキー保護機能は TPM です。次のセクションでは、整合性チェックについて説明しますが、このセクションで、TPM の使用方法についても説明します。また、緊急時用に作成されるキー保護機能として、回復パスワードがあります。回復についても、この後のセクションで説明します。

TPM を、数値で表された PIN や、USB ドライブに保存された部分キーと組み合わせることによって、セキュリティを強化することができます。どちらの場合も、二要素認証を実現できます。コンピュータに、互換性のある TPM チップと BIOS が装備されていない場合、キー保護機能をすべて USB ドライブに格納するように BitLocker を構成することができます。このようにして作成されたキーは、スタートアップ キーと呼ばれます。

データを復号化せずに、BitLocker を無効にすることができます。この場合、VMK を保護するのは、暗号化されていない状態で保存された、新しいキー保護機能のみです。システムは、このクリア キーを使用することによって、ドライブが保護されていないかのように、そのドライブにアクセスできます。

起動時に、システムは適切なキー保護機能の検出を試みます。まず TPM に照会し、USB ポートをチェックして、必要な場合はユーザーにキー保護機能の提供 (回復と呼ばれます) を要求します。キー保護機能が検出された場合、Windows は、VMK を復号化し、FVEK を復号化して、ディスクに保存されているデータを復号化できます。図 1 は、この処理手順を示しています。

図 1 BitLocker の既定の起動処理

図 1** BitLocker の既定の起動処理 **

整合性チェック

コンピュータを起動するには、起動処理の初期段階で使用されるコンポーネントが、暗号化されていない状態になっている必要があります。このため、攻撃者は、ディスク上のデータが暗号化された場合でも、(ルートキットなどを使用して) 初期起動コンポーネントのコードを変更することで、コンピュータにアクセスできる可能性があります。

侵入者は、このような攻撃を使用することで、BitLocker のキーやユーザーのパスワードなどの機密情報にアクセスし、その情報を利用して、他のセキュリティ保護を解除できる可能性があります。

BitLocker を作成したチームの最初の目的は、このような攻撃からコンピュータを保護することでした。ある意味では、暗号化によって、その目的はほぼ達成されていました。BitLocker のフルボリューム暗号化を使用することにより、初期起動コンポーネントが変更された場合に、システムの整合性を保護し、Windows が起動しないようにすることができるようになります。

互換性のある TPM が装備されたコンピュータでは、コンピュータを起動するたびに、BIOS、マスタ ブート レコード (MBR)、ブート セクタ、ブート マネージャのコードなどの各初期起動コンポーネントが、実行されるコードを調べ、ハッシュ値を計算し、その値をプラットフォーム構成レジスタ (PCR) と呼ばれる TPM 内のレジスタに格納します。一度 PCR に格納された値は、システムが再起動されるまで、置換または消去することはできません。BitLocker は、PCR に格納された値と TPM を使用して、VMK を保護します。

TPM は、特定の PCR の値に関連付けられたキーを作成できます。このキーの作成時に、TPM はキーを暗号化します。キーを暗号化した TPM のみが、このキーを復号化できます。さらに、その TPM がキーを復号化できるのは、現在の PCR の値が、キーの作成時に指定された値と一致する場合のみです。この暗号化操作を、TPM を使用したキーの "シール" といいます。

既定では、BitLocker は、Core Root of Trust Measurement (CRTM)、BIOS とプラットフォームの機能拡張、オプションの ROM コード、MBR コード、NTFS ブート セクタ、およびブート マネージャの計測値を使用してキーをシールします。これらの計測値のいずれかが突然変更された場合、BitLocker はドライブをロックし、アクセスまたは復号化できないようにします。

既定では、BitLocker は TPM を検出して使用するように構成されています。グループ ポリシーやローカル ポリシーの設定を使用すると、TPM が装備されていないコンピュータでも、BitLocker を動作させ、外付けの USB フラッシュ ドライブにキーを格納することができます。ただし、TPM が装備されていない場合、BitLocker はシステムの整合性を検証できません。

BitLocker を有効にする

BitLocker は、Windows Vista Enterprise と Windows Vista Ultimate で使用できます (また、Windows Server® の次期バージョンであるコード ネーム "Longhorn" でも、オプション コンポーネントとして提供される予定です)。

次の説明は、互換性のある TPM が装備された、テスト用のコンピュータがあることを前提としています。TPM が装備されていないコンピュータで BitLocker を有効にするには、補足記事「TPM が装備されていないコンピュータで BitLocker を使用する」に記載されている手順を参照してください。

TPM が装備されていないコンピュータで BitLocker を使用する

既定では、BitLocker は TPM を使用するように構成されています。コンピュータに TPM が装備されていない場合、既定の Windows では、BitLocker を有効にすることができません。ただし、次の手順 (「Windows BitLocker ドライブ暗号化のステップ バイ ステップ ガイド」から引用しました) を実行すると、TPM が装備されていないコンピュータでも BitLocker を使用できます。

これらの手順を実行するには、管理者としてログオンしている必要があります。TPM が装備されていない場合、そのコンピュータでは、起動処理中に USB フラッシュ ドライブから読み取りを実行できる必要があります。さらに、BitLocker を有効にするとき、およびコンピュータを再起動するときに、USB フラッシュ ドライブが接続されている必要があります。

互換性のある TPM が装備されていないコンピュータで BitLocker ドライブ暗号化を有効にするには、次の手順を実行します。

  1. [スタート] ボタンをクリックし、[検索の開始] ボックスに「gpedit.msc」と入力し、Enter キーを押します。
  2. [ユーザー アカウント制御] ダイアログ ボックスが表示された場合、提示された操作が目的の操作であることを確認し、[続行] をクリックします。
  3. グループ ポリシー オブジェクト エディタのコンソール ツリーで、[ローカル コンピュータ ポリシー] をクリックし、[管理用テンプレート] をクリックします。次に、[Windows コンポーネント] をクリックし、[BitLocker ドライブ暗号化] をダブルクリックします。
  4. [コントロール パネル セットアップ : 詳細なスタートアップ オプションを有効にする] をダブルクリックします。[コントロール パネル セットアップ : 詳細なスタートアップ オプションを有効にする] ダイアログ ボックスが表示されます。
  5. [有効] を選択し、[互換性のある TPM が装備されていない BitLocker を許可する] チェック ボックスをオンにして、[OK] をクリックします。これで、TPM の代わりにスタートアップ キーを使用できるように、ポリシー設定が変更されました。
  6. グループ ポリシー オブジェクト エディタを終了します。
  7. 更新されたグループ ポリシーをすぐに適用するには、[スタート] ボタンをクリックし、[検索の開始] ボックスに「gpupdate.exe /force」と入力して、Enter キーを押します。処理が完了するまで待機します。

BitLocker を有効にするには、ボリュームを正しく構成する必要があります。BitLocker がブート セクタ、ブート マネージャ、および Windows ローダー プログラム (これらのコンポーネントは、上記で説明した、システムの整合性をチェックする機能によって保護されます) を読み取るには、アクティブ パーティションが暗号化されていない状態になっている必要があります。他の Windows コンポーネントも一時的にアクティブ パーティションを使用する場合があるため、最低 1.5 GB 以上のアクティブ パーティションを用意することをお勧めします。また、NTFS アクセス許可を構成して、ユーザーが誤ってこのボリュームにデータを書き込まないようにすることもお勧めします。

Windows 自体は、暗号化が可能な、別の大きいボリュームにインストールされます。新しいシステムに Windows をインストールする場合は、「Windows BitLocker ドライブ暗号化のステップ バイ ステップ ガイド」の指示に従って、手動でボリュームを構成できます。

BitLocker ドライブ準備ツールは、BitLocker 用にシステムを構成する際に役立ちます。このツールを使用すると、ドライブの構成を簡単に実行できます。このツールは、Windows Vista Ultimate Extra として入手するか、Windows Vista Enterprise から利用できます。BitLocker ドライブ準備ツールの詳細については、support.microsoft.com/kb/930063 を参照してください。

BitLocker ドライブ準備ツールは、自動的にボリュームを圧縮 (ボリュームが 1 つのみである場合) し、2 つ目のパーティションを作成します。次に、そのパーティションをアクティブにし、必要な構成の変更をすべて行って、起動ファイルを適切な場所に移動します。

ボリュームの構成が完了したら、簡単に BitLocker を有効にすることができます。これを行うには、コントロール パネルの [セキュリティ] にある、[BitLocker ドライブ暗号化] アイコンをクリックします。UAC の確認に同意すると、図 2 のような画面が表示されます。

図 2 BitLocker の有効化

図 2** BitLocker の有効化 **(画像を拡大するには、ここをクリックします)

この後の動作は、コンピュータの TPM チップの状態によって異なります。TPM チップが初期化されていない場合、TPM 初期化ウィザードが実行されます。ウィザードの指示に従って、TPM を初期化します。この手順には、コンピュータの再起動も含まれます。

TPM が初期化されたら、[回復パスワードの保存] ページ (図 3 を参照) が表示されます。TPM で障害が発生した場合や、他の問題が発生した場合に、データを回復できるようにするには、回復パスワードが必要です。このページでは、回復パスワードを USB フラッシュ ドライブ、ローカル ディスク、またはネットワーク ディスクに保存したり、保管用に印刷したりすることができます。これらのうち、少なくとも 1 つのオプションを選択する必要があります。また、複数のコピーを保存することもできます。回復パスワードを保存したら、有効になった [次へ] ボタンをクリックします。

図 3 回復パスワードの保存

図 3** 回復パスワードの保存 **(画像を拡大するには、ここをクリックします)

[選択されたディスク ボリュームの暗号化] ページが表示されます。このページでは、暗号化を開始する前にシステム チェックを実行するかどうかを選択できます。システム チェックでは、コンピュータの再起動が要求されますが、コンピュータの再起動は、TPM、BIOS、および USB ポートが BitLocker と適切に連携するかどうかを確認するのに最適な方法です。再起動後に問題が検出された場合、エラー メッセージが表示されます。検出されなかった場合は、[暗号化を実行中です] ステータス バーが表示されます。

これで完了です。暗号化はバックグラウンドで完了するため、コンピュータの使用を続行することができます。最初の暗号化が完了したら、完了を通知するメッセージが表示されます。また、ディスク ボリュームの暗号化の進捗状況を確認することもできます。これを行うには、画面の下部にあるツールバーの [BitLocker ドライブ暗号化] アイコンの上にカーソルを合わせます。詳細については、上記で紹介したステップ バイ ステップ ガイドを参照してください。

コンピュータの起動時に、確認のメッセージが表示されたり、その他の明示的な割り込みが発生したりしなかったことに驚いたユーザーもいるかもしれません。BitLocker の既定の構成では、システムの整合性チェックを行ってからボリュームのロックを解除する操作を、すべて TPM が担当するため、処理はユーザーから見て自動的かつ透過的に実行されます。

起動時に、PIN の入力を要求するか、USB フラッシュ ドライブに保存されたキーを要求するように、BitLocker を構成できます。これにより、セキュリティが強化されるため、PIN を入力する手間よりもセキュリティの強化を重視する場合は、この構成を行うことをお勧めします。個人的には、常にこの構成を行うことをお勧めします (つまり、デスクトップ パソコンでは PIN を要求し、ノート パソコンでは USB キーを要求するとよいでしょう)。

BitLocker の回復

暗号化を実行する場合、特にビジネス環境や企業環境では、通常のアクセス方法やキーを使用できない場合でも、承認されたユーザーがデータを取得できる方法を用意しておく必要があります。BitLocker では、この方法を回復と呼んでいます。

初期起動コンポーネントが突然変更された場合、USB スタートアップ キーを紛失した場合、またはユーザーが PIN を忘れた場合、BitLocker は通常の起動処理を完了できません。これは、ボリュームが BitLocker によってロックされたままになり、Windows を起動することができなくなるためです。この場合、ブート マネージャで実行される BitLocker のコードによって、テキスト画面が表示されます。USB フラッシュ ドライブに回復パスワード (回復キーと呼ぶこともあります) を保存した場合、図 4 のような画面が表示されます。

図 4 回復キーの要求

図 4** 回復キーの要求 **(画像を拡大するには、ここをクリックします)

BitLocker が USB フラッシュ ドライブを読み取るには、起動時に USB フラッシュ ドライブが接続されている必要があります。このため、回復パスワードが保存された USB フラッシュ ドライブがある場合は、挿入してから Esc キーを押します。回復パスワードが保存された USB フラッシュ ドライブがない場合は、Enter キーを押して、図 5 のような画面を表示します。この画面は、回復キーを USB ドライブに保存しなかった場合にも表示されます。

図 5 BitLocker パスワードの入力

図 5** BitLocker パスワードの入力 **(画像を拡大するには、ここをクリックします)

このページでは、ドライブのロックを解除できる 48 桁の数字のパスワードが要求されます。回復パスワードの印刷を選択した場合、この数字は紙に出力されます。また、回復パスワードをフォルダに保存した場合、この数字はファイルに保存されています。

企業で回復パスワードを管理するための最も簡単な方法は、Active Directory® に回復パスワードが自動的に保存されるようにすることです。この方法の詳細については、go.microsoft.com/fwlink/?LinkId=87067 を参照してください。

続編の記事では、BitLocker の管理性について詳しく説明しますが、今回の概要の段階で知っておく必要があることは、BitLocker に完全な WMI プロバイダが含まれていることです。この WMI プロバイダを使用すると、WMI に対応した Web ベース エンタープライズ管理 (WBEM) システムから BitLocker (および TPM) を管理できるようになります。つまり、VBScript や Windows PowerShell™ など、WMI オブジェクトにアクセスできるスクリプト言語を使用して、BitLocker のスクリプトを作成することもできます。

BitLocker には、WMI プロバイダを使用して、ローカルまたはリモート コンピュータ上で BitLocker を管理できる、manage-bde.wsf というコマンド ライン ツールも含まれています。このコマンド ラインの詳細情報を表示するには、昇格したコマンド プロンプトを起動し、「manage-bde.wsf /?」と入力します。

安全な廃棄

どんなコンピュータでも、最終的には廃棄する必要があります。通常、企業は、多額の資金と作業時間を費やして、ディスク ドライブのデータがすべて削除されたことを確認してから、ディスク ドライブを処分します。ディスク ドライブから機密データを削除する処理は、時間やコストがかかり、ハードウェアが完全に使用できなくなってしまうものばかりです。BitLocker を使用すると、コスト効率を改善することができます。

BitLocker を使用すると、最初から、データがリスクの高い状態で保存されないことが保証されるため、後からデータの削除について考える必要がなくなります。ディスクに書き込まれるすべてのデータは暗号化されるため、暗号化キーのコピーをすべて破棄すれば、完全にデータにアクセスできない状態にすることができます。ハード ディスク自体への影響はまったくないため、ハード ディスクを再利用することもできます。

BitLocker によって保護されたボリュームは、さまざまな方法で廃棄できます。ボリューム メタデータからキーのコピーをすべて削除し、集中管理された安全な場所に、それらのコピーを保管することもできます。これにより、システムを安全に輸送したり、長期間使用しない場合の一時的な廃棄処理を行うことができます。また、承認されたユーザーのみがデータにアクセスでき、装置の次の所有者など、承認されていないユーザーはデータにアクセスできないようにすることができます。

また、ボリューム メタデータだけでなく、アーカイブ (Active Directory など) からもキーのコピーをすべて削除することもできます (たとえば、新しいキーを作成して、そのキーを保存しないことによって実現できます)。この場合、解読キーが存在しなくなるため、どのユーザーもデータを回復させたり取得したりすることができなくなります。

いずれの場合も、ボリューム メタデータに含まれているキーは、ほぼ瞬時に削除または破棄できます。また、管理者は、複数のシステムにまたがってこの操作を実行できます。このため、最小限の時間と作業で、非常に高いレベルの完全な保護を実現できます。Windows Vista では、フォーマット ユーティリティが更新されました。フォーマット コマンドを使用すると、ボリューム メタデータを削除し、そのボリュームのセクタを上書きして BitLocker のキーを安全に削除できるようになります。

最後に

BitLocker は、特定の脅威からコンピュータを保護するために設計された強力なツールであり、その効果も優れています。ただし、BitLocker によって、すべての脅威からコンピュータを保護できるわけではありません。常に、強力なパスワードなど、適切な防御方法と管理方法を使用することがきわめて重要です。

BitLocker は、オフライン攻撃を対象とした防御方法であり、Windows の実行中は、ボリュームのロックが解除されます。つまり、実行中のシステムを BitLocker によって保護することはできません。EFS や RMS などのテクノロジを使用すると、OS の実行中も情報が保護されるため、BitLocker の機能を補完できます。

BitLocker の詳細については、マイクロソフト Web サイト (technet.microsoft.com/windowsvista/aa905065.aspx) で提供されている記事を参照してください。TPM の仕様と TCG については、TCG Web サイト (go.microsoft.com/fwlink/?LinkId=72757) で提供される、TPM の仕様に関する情報を参照してください。

Byron Hynesは、マイクロソフトの Windows Server ユーザー アシスタンス グループに所属しています。以前は、コンサルタントやトレーナーを務めていました。彼の連絡先は bhynes@microsoft.com (英語のみ) です。

© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.