BitLocker の新機能

発行: 2012年2月

更新日: 2012年2月

適用対象: Windows 8, Windows Server 2012

Windows 8 と Windows Server 2012 で新しくなった BitLocker の機能を次に示します。

  • BitLocker のプロビジョニング

    Windows 8 の展開先は、セットアップを呼び出す前のインストール段階で暗号化することができます。

  • 使用済みディスク領域のみの暗号化

    使用済みディスク領域のみの暗号化とフルボリューム暗号化の 2 種類の暗号化方法が利用できるようになりました。 使用済みディスク領域のみの暗号化では、対象ボリューム上の使用済みのブロックのみを暗号化するため、暗号化にかかる時間を大幅に短縮できます。

  • 標準ユーザーによる PIN とパスワードの変更

    オペレーティング システム ボリュームに対する BitLocker PIN とパスワード、データ ボリュームに対する BitLocker パスワードを標準ユーザーが変更できるようになったため、社内のヘルプ デスクへの問い合わせを減らすことができます。

  • ネットワーク ロック解除

    有線ネットワーク上の BitLocker システムが、(対応する Windows Server 2012 ネットワーク上で) システム ボリュームのロックを起動時に自動的に解除できるため、PIN の紛失に関連した、社内ヘルプ デスクへの問い合わせを減らすことができます。

  • Windows の暗号化ハード ドライブのサポート

    Windows 8 では、暗号化ハード ドライブに対して BitLocker がサポートされます。

Windows Vista と Windows 7 では、システム ボリュームとデータ ボリュームに対する BitLocker のプロビジョニングは、インストール後に、manage-bde コマンド ライン インターフェイスまたはコントロール パネルのユーザー インターフェイスで行う必要がありました。 Windows 8 の BitLocker は、オペレーティング システムのインストール前に、簡単にプロビジョニングすることができます。

Windows 8 では、管理者が、オペレーティング システムの展開前に、Windows プレインストール環境 (WinPE) から BitLocker を有効にできます。 具体的には、フォーマット済みのボリュームに、ランダムに生成されるクリアな保護機能を適用し、Windows セットアップ プロセスの実行前にボリュームを暗号化します。次のセクションで取り上げる "使用済みディスク領域のみを暗号化" するオプションを使った場合、この手順はわずか数秒程度で済むため、日常的な展開プロセスにも容易に組み込むことができます。

特定のボリュームの BitLocker のステータスは、管理者が BitLocker コントロール パネル アプレットまたは Windows エクスプローラーでドライブのステータスを見ることによって確認できます。 ドライブの BitLocker があらかじめプロビジョニングされている場合、BitLocker コントロール パネルには、"アクティブ化を待機しています" というステータスが黄色い感嘆符アイコンと共に表示されます。このステータスは、ボリュームを暗号化するときにクリアな保護機能しか使われなかったことを意味します。この場合、ボリュームは保護されていません。完全に保護されたドライブと見なされるためには、セキュアなキーがボリュームに追加されている必要があります。コントロール パネル、manage-bde ツール、WMI API のいずれかを使って適切なキー保護機能を追加すると、ボリュームのステータスが更新されます。次の表は、あらかじめ BitLocker 保護をプロビジョニングしてあるドライブに追加できる適切なキー保護機能の一覧です。

 

ドライブの種類 キー保護機能

オペレーティング システム

TPM

TPM+PIN

スタートアップ キー (TPM のないシステムの場合)

パスワード (TPM のないシステムの場合)

固定データ ドライブ

自動ロック解除

パスワード

スマート カード

リムーバブル データ ドライブ

パスワード

スマート カード

Windows 7 の BitLocker では、ドライブ上のすべてのデータと空き領域を暗号化する必要があります。大きなボリュームになると、暗号化処理にかなりの時間がかかります。 Windows 8 では、ボリューム全体を暗号化するか、使用領域のみを暗号化するかを管理者が選択できます。使用済みのディスク領域のみを暗号化するオプションをオンにした場合、データの格納されているドライブ領域だけが暗号化されます。 空きディスク領域は暗号化されません。 暗号化の対象を使用済みディスク領域に限定することによって、空のドライブやわずかなデータしか格納されていないドライブの暗号化を、以前の BitLocker と比べてはるかに短時間で終えることができます。 Windows の展開中に BitLocker をプロビジョニングするときは、使用済みディスク領域のみを暗号化することで、オペレーティング システムをインストールする前のわずかな時間内にドライブを暗号化することができます。完全な暗号化では、Windows 7 と Windows Vista の BitLocker と同様、ボリューム上のデータと空き領域の両方が暗号化されます。

暗号化の種類に対応する新しいグループ ポリシー設定

ドライブに対して BitLocker を有効にするときに、"使用済みディスク領域のみ" と "完全な暗号化" のどちらか一方を使うように、グループ ポリシー設定で強制的に適用することができます。BitLocker ドライブ暗号化に必要なグループ ポリシー設定は、グループ ポリシー エディターのローカル コンピューター ポリシーとドメイン コンピューター ポリシーの [\コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化] パスに

存在します。

新しく利用できるようになったグループ ポリシーは次のとおりです。

  • 固定データ ドライブ\固定データ ドライブに特定の種類のドライブ暗号化を適用する

  • オペレーティング システムのドライブ\オペレーティング システム ドライブに特定の種類のドライブ暗号化を適用する

  • リムーバブル データ ドライブ\リムーバブル データ ドライブに特定の種類のドライブ暗号化を適用する

以上に示したポリシーを有効にすると、ドライブの種類と暗号化の種類の対応付けを指定できます。ポリシーを構成しなかった場合は、BitLocker を有効にするときに、暗号化方法をユーザーが選択できます。

オペレーティング システム ドライブに対して BitLocker を構成するには管理者特権が必要です。IT 担当者がコンピューターを管理していて、ユーザーに管理者特権が付与されることの少ない組織では、多数のコンピューターに対して TPM + PIN 形式の保護を展開することは難しい場合があります。従来と同様、BitLocker を構成するためには管理者特権が必要です。ただし、Windows 8 では、オペレーティング システム ボリュームの BitLocker PIN とパスワード、固定データ ボリュームの BitLocker パスワードは、既定で標準ユーザーが変更できます。ユーザーは、個人的に覚えやすい PIN とパスワードを選ぶことができ、ランダムに生成された文字の組み合わせを無理に覚える必要はありません。また、IT 担当者は、すべてのコンピューター イメージに対し、同じ初期 PIN または初期パスワード設定を適用することができます。このことは同時に、推測されやすく、辞書攻撃やソーシャル エンジニアリング攻撃の標的にもなりやすいパスワードと PIN をユーザーが選ぶ可能性が高い、ということでもあります。しかも、最初に割り当てられた PIN またはパスワードを使い続けているコンピューターは、だれでもロックを解除することができます。パスワードまたは PIN を設定するユーザーに注意を促すためにも、グループ ポリシーで複雑さの要件を設けることをお勧めします。

標準ユーザーが BitLocker PIN または BitLocker パスワードを変更するには、対象ドライブの最新の PIN またはパスワードを入力する必要があります。 間違った PIN またはパスワードを入力した場合、既定では 5 回まで再試行することができます。 再試行の上限に達した場合、BitLocker PIN または BitLocker パスワードを標準ユーザーが変更することはできなくなります。 コンピューターが再起動されるか、BitLocker PIN または BitLocker パスワードが管理者によってリセットされると、再試行カウンターは 0 に設定されます。

標準ユーザーによる PIN とパスワードの変更は、ローカル グループ ポリシー エディターの [\コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システムのドライブ] セクションにあるグループ ポリシー設定 [標準ユーザーによる PIN の変更を許可しない] で無効にできます。

Windows Server 2012 には、オペレーティング システム ボリュームに対する BitLocker の保護機能として、"ネットワーク ロック解除" と呼ばれる新しいオプションが追加されています。 ネットワーク ロック解除は、信頼のおける有線の企業ネットワークに接続されているシステムについて、再起動時にオペレーティング システム ボリュームのロックを自動的に解除する機能です。この機能により、ドメイン環境内の BitLocker が有効になっているデスクトップやサーバーが管理しやすくなります。この機能を利用するには、クライアント ハードウェアの UEFI ファームウェアに DHCP ドライバーが実装されている必要があります。

TPM+PIN によって保護されたオペレーティング システム ボリュームは、コンピューターの再起動時または休止状態 (Wake on LAN を構成している場合など) からの再開時に PIN の入力が必要です。PIN の入力が必須となると、企業は、ソフトウェアの修正プログラムをデスクトップやサーバーに無人インストールすることが難しくなります。ネットワーク ロック解除の利点は、TPM+PIN のキー保護機能を使うように構成されたコンピューターが、ユーザーの介入なしで Windows を起動できることです。ネットワーク ロック解除は、"TPM + スタートアップ キー" の動作と似ています。ただし、スタートアップ キーを USB メディアから読み取る必要はありません。ネットワーク ロック解除に使うキーは、TPM に格納されているキーと、暗号化されたネットワーク キーで構成されます。この暗号化されたネットワーク キーが、セキュアなセッションでサーバーに送信され、暗号化が解除されて、クライアントに返されます。ネットワーク キーは、AES 256 セッション キーと一緒にシステム ドライブに格納され、さらに、ロック解除サーバーの証明書の 2048 ビット RSA パブリック キーで暗号化されます。ネットワーク キーは、Windows Server 2012 WDS サーバー上のプロバイダーとの連携によって暗号化が解除され、対応するセッション キーで暗号化されて返されます。ネットワーク ロック解除プロバイダーが利用できない場合は、ドライブのロックを解除するための標準的な TPM+PIN のロック解除画面が表示されます。加えて、ネットワーク ロック解除を使うためのサーバー側の構成として、2048 ビットの RSA 公開/秘密キー ペアを X.509 証明書の形式でプロビジョニングし、その公開キー証明書をクライアントに配布する必要があります。 この証明書は、Windows Server 2012 ドメイン コントローラーで直接、グループ ポリシー エディターを使って管理し、展開する必要があります。BitLocker ネットワーク ロック解除を構成する方法の詳細については、BitLocker の理解とトラブルシューティングに関するページを参照してください。

BitLocker は、ソフトウェア ベースの暗号化を使って、Windows オペレーティング システムとデータ ボリュームのフルボリューム暗号化 (FVE) を実現します。Windows 8 の BitLocker では、それに加えて、最近のサーバーやコンピューターに広く導入されている新しいタイプの拡張記憶装置 (暗号化ハード ドライブ) がサポートされています。暗号化ハード ドライブは、ディスク全体を暗号化する機能 (FDE: Full Disk Encryption) を備えています。つまり、暗号化は、物理ドライブの個々のブロックで実行されます。 暗号化の処理は、暗号化ハード ドライブ上で実行した方が効率的です。暗号化処理の負荷をドライブ上の記憶域コントローラーにオフロードできるためです (ハードウェア ベースの暗号化)。

Windows 8 には、暗号化ハード ドライブをオペレーティング システムでネイティブ サポートするために、次のメカニズムが使われています。

  • 識別: Windows 8 は、ドライブのデバイス タイプが暗号化ハード ドライブであるかどうかを識別することができます。

  • アクティブ化: ボリュームのアクティブ化と作成、範囲/バンドへのマッピングは、Windows 8 のディスク管理により必要に応じて実行されます。

  • 構成: ボリュームの作成と、範囲/バンドへのマッピングは、Windows 8 により必要に応じて実行されます。

  • API: アプリケーションから Windows 8 の API を使うことで、BitLocker ドライブ暗号化とは無関係に、暗号化ハード ドライブを管理できます。

  • BitLocker: フルボリューム暗号化ドライブと同じように、ユーザーは、BitLocker コントロール パネルで暗号化ハード ドライブを管理できます。

暗号化ハード ドライブのシステム要件と使用方法の詳細については、BitLocker の理解とトラブルシューティングに関するページを参照してください。

コミュニティの追加

表示: