ケース スタディ: Contoso Pharmaceuticals

更新日: 2010年9月

適用対象: Windows 7, Windows Server 2008 R2

このケース スタディでは、Contoso Pharmaceuticals が BitLocker 戦略の設計に使用したプロセスについて説明します。

監査およびビルド プロセス

Contoso の IT 部門は、現在のビルド プロセスとセキュリティ ポリシーについて検討し、BitLocker を展開して会社のインフラストラクチャに組み込むために変更が必要かどうかを判断しました。

現在の IT 部門の構成

Contoso の IT 部門は 3 つの異なる IT グループ、つまり 1 つの中枢 IT 部門と 2 つのビジネス IT 部門で構成されています。Contoso の IT 部門は、集中組織と分散組織が混在する環境を管理しています。

Central IT

この部門は、ユーザー認証、電子メール サービス、ネットワーク サービス、コア デスクトップ展開と管理サービスなどの、会社全体に関係する IT テクノロジとコア インフラストラクチャ サービスを管理しています。

ビジネス IT

部署に焦点を合わせた 2 つの IT 組織である Sales と Research は、それぞれの組織の IT 機能とエンジニアリングを管理しています。ただし、部署より大きい組織のサポートは行っていません。

次の表は、Contoso での新しいデスクトップ展開が会社の 3 つの組織すべてで行われることを示しています。コンピューターが組織に入る場所と組織から出る場所、およびコンピューターが到着したときの構成および展開の方法を理解することが重要です。

Contoso の IT 部門のサービスの役割と対象範囲

IT 組織 サービスの役割 サポート対象のユーザー サポート対象のデスクトップ コンピューター

Central

  • すべてのネットワーク サポート

  • 全ユーザーに対する電子メール サービス

  • ユーザー認証

  • デスクトップ管理サービス

  • オペレーティング システム ヘルプ デスク サポート

  • 新しいデスクトップの展開と廃棄

  • 企業セキュリティ

120,000

100,000

Sales

  • 部署アプリケーションのサポート

  • 部署ヘルプ デスク

  • 新しいデスクトップの展開

30,000

35,000

Research

  • 部署アプリケーションのサポート

  • 部署ヘルプ デスク

  • 新しいデスクトップの展開

45,000

55,000

展開と管理を複雑にする要因として、Contoso には複数の物理的な所在地があります。次の図は、Contoso の物理的な所在地を示したものです。

ce7a8f9e-f629-49ce-9126-7e8ef0f03dc5

システム ビルド プロセス

新しいコンピューターが Contoso の環境に入ってくるとき、納入場所はコンピューターの宛先によって決まります。

たとえば、新しいコンピューターを注文したのが Central IT 部門に所属する IT 管理者の場合、コンピューターはイリノイ州のシカゴで構成されます。そのコンピューターが南西地区の営業拠点向けのものである場合は、構成のために宛先サイトに直接出荷されます。

次の表は、Contoso での基本的なシステム構成作業の処理方法を示したものです。

システム構成作業

IT 部門 システム構成 構成場所

Central

Central IT が集中管理拠点で新しいコンピューターを構成してから、ユーザーの元に届けます。

イリノイ州シカゴ

Sales

Research

ユーザーが新しいコンピューターを直接受け取り、Sales および Research IT がそれをリモートで構成する必要があります。

Sales または Research のオフィス所在地

3 つのグループのそれぞれが、Windows 7 展開ツールを使用して Windows 7 オペレーティング システムをビルドおよび展開する新しい方法を独自に作成しています。Contoso は、会社の標準オペレーティング システムとして Windows 7 のみをインストールしています。

各部署では、別々のプロセスが使用されています。ただし、インフラストラクチャへの依存性の一部は共有しています。次の表に、各部署が使用しているプロセスと、依存しているインフラストラクチャ コンポーネントを示します。

Contoso のビルド プロセス

部署 Windows の展開方法 Windows の提供方法 アプリケーションの提供方法 インフラストラクチャへの依存

Central

Windows 7 イメージング形式

Pre-Boot Execution Environment (PXE) ブート

Windows プレインストール環境 (Windows PE)

イメージと統合

PXE ブート サーバー

ファイル共有サーバー

認証

Sales

Windows 7 無人セットアップ

PXE ブート

Windows PE

スクリプトによる無人インストール

PXE ブート サーバー

ファイル共有サーバー

認証

Research

OEM 適用済みのセクターベース イメージ

OEM 適用済みイメージ

一部はイメージと統合、他はスクリプト

ファイル共有サーバー

認証

Contoso のさまざまな部門が、無人セットアップ、セクターベース、ファイルベースのイメージング テクノロジを使用してコンピューターをビルドしてから、それをユーザーのコンピューターに発行しています。一部の部門は、OEM によって構成済みのコンピューターを使用しています。

次の図は、Contoso で行われている 3 種類のビルド プロセスを比較したものです。

157b51c4-1edc-4504-af4a-8a5c555bec25

各縦棒は、個別の部署のビルド プロセス フローを表しています。タスクの詳細については、Windows 7 の BitLocker ドライブ暗号化展開ガイドに関するページ (http://go.microsoft.com/fwlink/?LinkID=140286) (英語の可能性あり) を参照してください。BitLocker ドライブ暗号化を使用した Windows 7 の展開に関係があるため、これらのタスクが説明されています。各ビルド プロセスは異なっていても、これらのタスクのほとんどは 3 つのビルド プロセスすべてに関係しています。

オペレーティング システム ドライブに対する BitLocker 認証方法

Contoso では、以下の問題を使用して BitLocker の認証方法を評価しました。

BitLocker で保護する対象

最近、Contoso のセキュリティ組織は、Windows 7 を実行するすべてのコンピューターに、オペレーティング システム ドライブおよびデータ ドライブで BitLocker ドライブ暗号化を使用することを義務付けました。Contoso では最近、Windows Vista をサポートするための新しいコンピューターを購入しました。これらのコンピューターでも、ハードウェアをアップグレードすることなく Windows 7 を実行できます。交換されたコンピューターの中には、トラステッド プラットフォーム モジュール (TPM) バージョン 1.2 を持たないものがあります。ただし、OEM からの最近 2 回の出荷で受け取った交換用コンピューターのほとんどは、この機能を備えています。TPM ハードウェアと非 TPM ハードウェアの混在およびセキュリティ上の要求により、Contoso は TPM ベースと非 TPM ベースの両方のコンピューターで BitLocker をサポートすることを決定しました。

BitLocker による保護の強度

Contoso のコンピューターのうち、Central IT が管理し、Windows 7 と BitLocker を実行するもののほとんどは、機密性の高いデータを格納することはなく、ポータブル コンピューターではありません。このため、これらのコンピューターについては、最も簡単に実装できる BitLocker の構成、およびユーザーに対する影響が最も小さい構成を使用することが検討されています。この種のコンピューターでは TPM のみのモードを使用して BitLocker を有効にすることが決定されています。

Contoso の環境には、コンピューターに機密データが格納されているためにデータ保護のレベルを上げる必要のある場所がいくつかあります。Research および Sales 部門でコンピューターに格納されているデータは、非常に機密性が高いものとして分類されています。また、これらのグループの環境では、携帯性の高いコンピューターがデスクトップ コンピューターよりも多く使用されています。このため、Contoso では、ポータブル コンピューターには TPM + PIN を使用し、デスクトップ コンピューターには TPM + USB スタートアップ キーを使用することに決定しました。

Contoso では、機密性の高いデータが格納されているコンピューターでは多要素認証を使用することを決定しました。ポータブル コンピューターの場合は、USB スタートアップ キーではなく PIN を使用することにしました。これは、ユーザーが USB スタートアップ キーを装着したコンピューターを安全ではない場所に置いたままにする可能性があるためです。デスクトップ コンピューターについては USB キーを選択したのは、このようなコンピューターはすべて営業担当の場所に置かれており、コンピューターの近くにだれもいなくても USB スタートアップ キーの安全を維持できるためです。

Contoso では公開キー基盤 (PKI) を使用しないので、BitLocker で保護されたリムーバブル ドライブは、スマート カードではなくパスワードで保護されます。Contoso ではすべてのオペレーティング システム ドライブを BitLocker で保護することが義務付けられているので、ユーザーは、Contoso の施設にある BitLocker で保護されたドライブにリムーバブル ドライブを挿入したときにリムーバブル ドライブが自動的にロック解除されるように構成することを許可されます。Contoso の組織では複雑なパスワードを使用することが求められており、BitLocker のパスワードに対してもパスワードの複雑さの規則が適用されます。

BitLocker で保護されたドライブの回復方法

Contoso では、リソースが保護されていること、およびユーザーが BitLocker のセキュリティ要件を理解していることを確認するために、ドライブを回復することになった状況を記録することが求められています。したがって、ユーザーには、BitLocker で保護されたドライブへのアクセスを回復する場合はヘルプ デスクに連絡することが要求されます。ヘルプ デスクによる回復のサポートを容易にするために、Contoso では、BitLocker を有効にするときは、BitLocker 回復情報と TPM 回復情報を Active Directory ドメイン サービス (AD DS) にバックアップすることが義務付けられます。

Contoso の標準構成

セキュリティと安全な資産管理のため、Contoso では会社のすべてのデスクトップ コンピューターとポータブル コンピューターで BitLocker をサポートし、有効にすることが決定されました。次の表では、Contoso 社のコンピューターで BitLocker を有効にするための会社としての標準サポート マトリックスの概要を示します。

Contoso 社のコンピューターで BitLocker を有効にするための社内標準

コンピューターの分類 説明

企業デスクトップ (セキュリティで保護されたサイト)

ハードウェアの使用可能性に応じて、BitLocker 暗号化と TPM または USB スタートアップ キーを使用します。これは、データの露出を制御し、資産の廃棄を管理するために使用されます。

企業デスクトップ (現場サイト)

BitLocker 暗号化と TPM および USB スタートアップ キーを使用します。これらのデスクトップ コンピューターは、セキュリティが限られた営業現場で共用されます。USB ドライブはスタートアップ キーを含み、使用されていないときは安全にロックされます。これは、データの露出を制御し、資産の廃棄を管理するために使用されます。

企業ポータブル

新しいコンピューターの場合は、すべてのコンピューターで TPM と PIN が使用されます。TPM を備えていないコンピューターでは USB ドライブのスタートアップ キーを使用しますが、新しいコンピューターはすべて TPM デバイス付きで購入されます。これは、データの露出を制御し、資産の廃棄を管理するために使用されます。

AD DS の構成

Contoso のドメイン コントローラーは Windows Server 2008 を実行しており、既定で AD DS への BitLocker 回復キーの保存をサポートします。Central IT は、BitLocker と TPM の回復情報の AD DS へのバックアップに関するページ (http://go.microsoft.com/fwlink/?LinkId=164428) (英語の可能性あり) の情報を参考にして、AD DS でのキー エスクローを有効にしました。

Contoso のサポート プロセス

BitLocker のサポートされる構成は次の 3 つです。これらのサポートされる構成のいずれについても、必要なサポート レベルと定義されたプロセスがあります。

  • 企業デスクトップ (セキュリティで保護されたサイト)

  • 企業デスクトップ (現場サイト)

  • 企業ポータブル

次に示すのは、Contoso での BitLocker システム回復のプロセス フローの例です。

  1. ユーザーのコンピューターが回復を開始します。

  2. ユーザーはヘルプ デスクに連絡します。

  3. ヘルプ デスクの技術者はサポート チケットを作成し、回復プロセスを開始します。

  4. ヘルプ デスクの技術者は、ユーザーに質問して、回復の原因を明らかにします。

  5. ヘルプ デスクの技術者は、ユーザーの身元を確認し、ドライブをロック解除するための回復パスワードをユーザーに通知します。

  6. ユーザーは、48 桁の回復パスワードを BitLocker の回復コンソールに入力して、ドライブのロックを解除します。

  7. ヘルプ デスクの技術者は、ユーザーが正常にドライブのロックを解除したことを確認します。

  8. ヘルプ デスクの技術者は、新しい回復パスワードを作成し、それを AD DS にバックアップします。

  9. 使用済みの回復パスワードは AD DS から削除されます。

  10. ヘルプ デスクの技術者は、組織で追跡できるように回復の原因を文書化し、サポート チケットをクローズします。

インベントリおよび追跡プロセス

Central IT は、資産管理システムを使用し、カスタム属性 (TPM を備えるコンピューターと備えないコンピューターなど) に基づいてハードウェアを追跡します。また、IT 部門は Contoso 社の標準コンピューターに基づいて必要な BIOS の更新も追跡します。BIOS の更新が必要な場合、Central IT は OEM と協力して、BIOS を入手し、展開方法を作成します。

展開

展開計画の一部として、Contoso はグループ ポリシーの設定とキー管理ポリシーの両方を確認しました。

BitLocker と Windows 7 のグループ ポリシーの設定

Contoso での BitLocker のエンタープライズ展開では、ユーザーは、PIN の選択を除き、既存の構成や初期構成を変更することはできません。

Contoso 環境の BitLocker コンピューターを構成するため、3 つの最上位ドメイン グループ ポリシー オブジェクト (GPO) が作成されて、コンピューター マトリックスで識別された 3 種類のコンピューターが制御されます。3 種類のコンピューターとは、Contoso-BitLocker-Desktop-SecureSiteContoso-BitLocker-Desktop-FieldSite、および Contoso-BitLocker-Portable です。Contoso BitLocker コンピューターはコンピューターの種類と場所で整理されるので、Contoso の IT 部門は、標準構成で定義されているコンピューターの種類に対してのみポリシーが適用されるように、グループ ポリシーの設定を構成して Windows Management Instrumentation (WMI) のフィルタリングを使用するようにしました。次の表に示されていない設定は、既定の設定のままになります。

Contoso-BitLocker-Desktop-SecureSite

設定 構成

BitLocker で保護されているオペレーティング システム ドライブの回復方法を選択する

BitLocker の回復パスワードとキー パッケージの AD DS バックアップが必要である

Active Directory ドメイン サービスへの TPM バックアップを有効にする

TPM 所有者情報の AD DS バックアップが必要である

WMI フィルター

Root\CimV2; select * from Win32_OperatingSystem where Version = "6.1"

Contoso-BitLocker-Desktop-FieldSite

設定 構成

BitLocker で保護されているオペレーティング システム ドライブの回復方法を選択する

BitLocker の回復パスワードとキー パッケージの AD DS バックアップが必要である

Active Directory ドメイン サービスへの TPM バックアップを有効にする

TPM 所有者情報の AD DS バックアップが必要である

WMI フィルター

Root\CimV2; select * from Win32_OperatingSystem where Version = "6.1"

Contoso-BitLocker-Portable

設定 構成

BitLocker で保護されているオペレーティング システム ドライブの回復方法を選択する

BitLocker の回復パスワードとキー パッケージの AD DS バックアップが必要である

スタートアップ時に追加の認証を要求する

TPM でスタートアップ PIN が必要である

Active Directory ドメイン サービスへの TPM バックアップを有効にする

TPM 所有者情報の AD DS バックアップが必要である

WMI フィルター

Root\CimV2; select * from Win32_SystemEnclosure where ChassisTypes = "10" or ChassisTypes = "9" or ChassisTypes = "8"

WMI フィルター

Root\CimV2; select * from Win32_OperatingSystem where Version = "6.1"

noteメモ
WMI フィルターのクライアント サポートは、Windows Server 2008 R2、Windows Server 2008、Windows Server 2003、Windows 7、Windows Vista、または Windows XP を実行するコンピューターにのみ存在します。WMI フィルターは、Windows Server 2008 R2、Windows Server 2008、または Windows Server 2003 を実行するドメイン コントローラーが少なくとも 1 台はあるドメインでのみ使用できます。

その他のグループ ポリシーの設定

他のグループ ポリシーの設定では、既定の電源プランが確立され、[電源オプション] コントロール パネル項目へのアクセスが制限されます。これは、グループ ポリシーのコンピューター オブジェクト部分に適用されます。次の表では、Contoso 環境で構成される具体的なグループ ポリシー設定の詳細を示します。

Contoso-BitLocker-Desktop-SecureSite

コンピューターの設定 構成

スリープ時にスタンバイ状態 (S1-S3) を許可する (電源接続時)

未構成

スリープ時にスタンバイ状態 (S1-S3) を許可する (バッテリ使用時)

未構成

リムーバブル データ ドライブのパスワードの使用を構成する

12 文字以上の複雑なパスワードを要求する

Contoso-BitLocker-Desktop-FieldSite

コンピューターの設定 構成

スリープ時にスタンバイ状態 (S1-S3) を許可する (電源接続時)

未構成

スリープ時にスタンバイ状態 (S1-S3) を許可する (バッテリ使用時)

未構成

リムーバブル データ ドライブのパスワードの使用を構成する

12 文字以上の複雑なパスワードを要求する

Contoso-BitLocker-Portable

コンピューターの設定 構成

スリープ時にスタンバイ状態 (S1-S3) を許可する (電源接続時)

無効

スリープ時にスタンバイ状態 (S1-S3) を許可する (バッテリ使用時)

無効

コンピューターのスリープ状態の解除時にパスワードを要求する (電源接続時)

する

コンピューターのスリープ状態の解除時にパスワードを要求する (バッテリ使用時)

する

リムーバブル データ ドライブのパスワードの使用を構成する

12 文字以上の複雑なパスワードを要求する

ビルド前の構成

Contoso は、OEM 固有の構成を使用し、各部門用に実装されるディスク構成を定義することで、ビルド前の構成を定義しました。

OEM 固有の構成

3 つの部署すべてにおいて、以下の設定で構成済みのコンピューターを OEM から取得します。

  • 保証キーは、コンピューターが製造された後でコンピューターのリセラーによって生成および管理されます。

  • TPM は有効でアクティブな状態で出荷されます。

  • 既定の BIOS 管理者パスワードが設定されています。

Contoso の Research IT 部署では、コンピューターの出荷前に OEM に Contoso イメージの適用も依頼します。他の部署は、コンピューターへのオペレーティング システムの適用を、OEM からコンピューターを受け取った後で行います。

ビルド後の構成

Contoso では、TPM 管理および暗号化の構成の定義が作成されています。

TPM の管理

TPM の所有権の取得は、コンピューターのビルド プロセスの間に自動的に行われます。これは、ビルド プロセスの最後にドメイン ユーザー アカウントでコンピューターに自動的にログオンすることで行われます。Contoso での BitLocker のグループ ポリシーの設定では TPM の所有者情報を AD DS にバックアップする必要があるので、ドメイン アカウントでログオンする必要があります。所有権取得処理の間に、TPM 所有者パスワードのハッシュが AD DS 内のコンピューターのオブジェクトに保存されます。このバックアップ処理は所有権が TPM から取得された時点で行われるので、ログオン アカウントに AD DS およびコンピューター オブジェクトへの書き込みアクセス許可があることが重要です。

処理を自動化するため、イメージベースの無人ビルド プロセスで使用される無人インストール応答ファイルの Windows-Shell-Setup セクションに、次のエントリが追加されました。

<AutoLogon>
    <Enabled>true</Enabled>
    <Username>ContosoBuildAccount</Username>
    <Password>ContosoStrongPassword</Password>
    <LogonCount>1</LogonCount>
</AutoLogon>
<FirstLogonCommands>
     <SynchronousCommand>
          <Order>1</Order>
          <CommandLine>enablebitlocker.vbs /on:tpm /l:%temp%\enablebde.log</CommandLine>
          <Description>Take ownership of the TPM</Description>
     </SynchronousCommand>
</FirstLogonCommands>

暗号化の構成

Contoso での BitLocker の標準構成は、安全なサイトのコンピューター、現場サイトのコンピューター、ポータブル コンピューターの 3 種類です。Contoso でのビルド プロセスにおける最後の手順の 1 つは、BitLocker を有効にしてドライブの暗号化を開始することです。Contoso は、BitLocker 展開のサンプル リソースに関するページ (http://go.microsoft.com/fwlink/?LinkID=151997) (英語の可能性あり) からダウンロードしたサンプル スクリプトを変更することで、これを行いました。次の表では、コンピューターの各種類で目的の構成に応じて発行されるコマンドを示します。

Contoso-BitLocker-Desktop-SecureSite

コマンド 説明

Enablebitlocker.vbs /on:tpm /rk /promptuser /l:%temp%\enablebde.log

TPM を備えたコンピューターの場合、TPM、回復パスワード、および回復キーを使用して BitLocker を有効にします。

Enablebitlocker.vbs /on:tpm /rk /promptuser /l:%temp%\enablebde.log

TPM を備えていないコンピューターの場合、スタートアップ キー、回復パスワード、および回復キーを使用して BitLocker を有効にします。

Contoso-BitLocker-Desktop-FieldSite

コマンド 説明

Enablebitlocker.vbs /on:tsk /rk /promptuser /l:%temp%\enablebde.log

スタートアップ キー、回復パスワード、および回復キーを使用して BitLocker を有効にします。

Contoso-BitLocker-Portable

コマンド 説明

Enablebitlocker.vbs /on:tp /rk /promptuser /l:%temp%\enablebde.log

TPM を備えたポータブル コンピューターの場合、TPM + PIN、回復パスワード、および回復キーを使用して BitLocker を有効にします。

Enablebitlocker.vbs /on:usb /rk /promptuser /l:%temp%\enablebde.log

TPM を備えていないコンピューターの場合、スタートアップ キー、回復パスワード、および回復キーを使用して BitLocker を有効にします。

コミュニティの追加

追加
表示: