セキュリティ対策の要点解説

  • [アーティクル]

第 21 回 Windows Vista のセキュリティ機能 ~ BitLocker その 1 ~

公開日: 2007年9月26日

マイクロソフト株式会社 セキュリティ レスポンス チーム 小野寺 匠 著

前回は、ブラウザの利用中に、マルウェア (ウイルス、ワーム等) がパソコンに侵入するのを防ぐ、保護モードについて触れました。今回は、改めて情報漏えいを防止するための一手法として Microsoft BitLocker ドライブ暗号化 (BitLocker) について触れます。

Windows Vista では、ファイル等を暗号化する方法として Encrypting File System (EFS: 暗号化ファイル システム)と、BitLocker の2つが提供されています。(Information Rights Management: IRMも含めると 3 種類あります)

情報漏えいを考えたとき、どちらを使うべきでしょうか? 答えは、「両方使う」となります。EFS と BitLocker は、それぞれ対応する脅威に違いがあります。

まず、保護する対象について考えてみます。EFS が保護するのは個々のファイルです。フォルダに対して暗号可能設定を行えますが、実際に暗号化されるのはフォルダ内の個々のファイルになります。BitLocker は、ディスク ボリュームそのものを暗号化します。そのため、その中にある、ファイルもフォルダも全て暗号化の対象となります。これより、BitLocker では、EFSでは暗号化が出来なかった OS のシステムファイルそのものや、ユーザーに依存にしない共通ファイルも暗号化することが可能となります。

次は、どの様な時に暗号化が有効に作用するかについて考えます。BitLocker は、ボリューム全体を暗号化するため、電源を OFF にしているときにディスクが抜き取られた場合でも対処可能です。もちろん、EFS でも、ディスクを抜き出された場合でも、ファイルの内容を読み取る事はできません。しかし、EFS のみで暗号化した場合、ファイルの存在そのものは、知ることが可能です。BitLocker では、ボリューム全体を暗号化しているため、ボリューム内にどの様なファイルが存在しているかを知ることも出来ません。逆に OS が起動してしまった後は、BitLocker による暗号化の恩恵は殆ど得る事がありません。BitLocker は、ディスクボリューム全体を暗号化し、ディスクへのアクセスが発生する毎に OS がその暗号化・複合化の処理を透過的に行っています。そのため、OS 起動中は、ユーザーから見ると、暗号化されていないようにすら感じられます。しかし、EFS では、ファイルをユーザー毎に暗号化するため、そのシステム上のファイルを、暗号化を行ったユーザーのみが参照する事が可能です。別のユーザーが同時に利用するような場合でも、ユーザー毎の秘密が保たれる点が違います。

最初にお伝えしたとおり、BitLocker と EFS では、其々守るべき物や時に違いがあります。そのため、そもそも「どちらか」を選択する対象ではなく、「どれ」を使用するかの選択となります。色々な利用シーンがありますが、ノート PC などの持ち歩き可能な PC は、紛失や盗難のリスクが高く、PC の起動パスワードや、OS のログオンパスワードだけでは、ディスクその物を抜き取られて、別の PC で解析される脅威には対応できません。そのため、最低限 EFS での暗号化をデータが保存されているフォルダ全体に行うことをお勧めします。そして、私見ですが、ファイル名そのものにも、意外と個人情報や重要な事項が含まれている事を考えると、BitLocker での暗号化も併せて行いたいところです。

ノート PC とは逆にサーバールームにある様な厳重に管理され、かつ共有されるようなシステムの場合は、BitLocker での暗号化を行い万一のディスク盗難や、故障時交換などで外部に持ち出されたディスクからの情報漏えいに対しする備えに使う事が可能です。EFS は、その仕組み上ユーザー毎に暗号化を行いますので、共有されるシステムの場合は、利用する利点が多いとはいえないかもしれません。ファイルサーバー等で、特に機密性の高いデータを保存する場合になどに限定するなどの使い分けが必要です。

最後に、社内で個人が使用している PC などは、他のユーザーとの共同利用は少ないと仮定すると、データの暗号化は EFS を中心に行うことがまず一歩だと考えます。その上で、BitLocker での暗号化も行えれば更に安全であることは確かですが、各 PC 上にどの程度の重要なデータが存在するかで選択可能です。

暗号化機能に限らずセキュリティ機能は使えば使うほど安全になりますが、それに伴って、利便性を損なう場合もあります。闇雲にセキュリティを高めるのではなく、企業全体で守るべき物と場所が何処であるかを把握して、予想される脅威の少しだけ先を行ったセキュリティ対策を常に行い続けることがバランスの取れたセキュリティ対策といえます。次回は、BitLocker を実際に使う場合の条件や手順について触れます。

この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。

ページのトップへ

購読無料

セキュリティ ニュースレターでは、セキュリティに関する様々な情報を毎月お届けしています。 セキュリティ ニュースレターを購読する

バックナンバー

ページのトップへ