BitLocker の概要
適用対象: Windows Server 2012,Windows 8
このトピックでは、BitLocker について、一連の新機能と機能変更、システム要件、実際の適用例、廃止予定の機能などについて簡単に紹介します。 BitLocker の取り扱い方法をより詳しく解説したコンテンツへのリンクも紹介しています。
以下のリソースも参照してください。
機能の説明
BitLocker ドライブ暗号化は、Windows Vista で初めて導入されたオペレーティング システムのデータ保護機能です。 以後、オペレーティング システムがリリースを重ねるごとに、BitLocker のセキュリティが強化され、より広範なドライブやデバイスでその保護機構を利用できるようになってきました。 BitLocker をオペレーティング システムに統合することにより、コンピューターの紛失、盗難、または不適切な非コミッションによるデータの盗難、データの露出といった脅威に対処します。 BitLocker に関連したタスクは、コンピューターから Manage-bde というコマンド ライン ツールを使って実行することもできます。 サーバーにオプション コンポーネントとして BitLocker をインストールする場合は、併せて拡張記憶域機能をインストールする必要があります。この機能は、ハードウェア暗号化ドライブをサポートするために使われます。 サーバーには、"BitLocker ネットワーク ロック解除" という機能を別途インストールすることもできます。Windows RT、Windows RT 8.1、または Windows 8.1 を実行しているコンピューターは、BitLocker のカスタマイズ バージョンである、デバイス暗号化を使用して保護することができます。
BitLocker は、トラステッド プラットフォーム モジュール (TPM) バージョン 1.2 以降と共に使用すると、最も強力な保護機能を提供します。 TPM とは、ハードウェア コンポーネントの 1 つです。通常、比較的新しいコンピューターには、コンピューターの製造元によって TPM がインストールされています。 TPM は BitLocker と連携してユーザー データを保護し、コンピューターが、システムのオフライン中に改ざんされないようにします。
TPM バージョン 1.2 以降が実装されていないコンピューターでも、BitLocker を使用して Windows オペレーティング システムのドライブを暗号化できます。 ただし、この実装方法では、コンピューターを起動したり休止状態から再開したりするたびに、ユーザーが USB 起動キーを挿入する必要があります。Windows 8 では、TPM が搭載されていないコンピューター上のオペレーティング システム ボリュームを保護する手段として、オペレーティング システム ボリューム パスワードを使う方法もあります。 どちらの方法も、起動前に行われるシステム整合性の検証は利用できません。この検証を利用するには、BitLocker と TPM を併用する必要があります。
TPM の他にも、BitLocker には、ユーザーが暗証番号 (PIN) を入力するか、起動キーを含むリムーバブル USB デバイス (フラッシュ ドライブなど) をコンピューターに挿入するまで、通常の起動プロセスをロックするオプションが用意されています。 これらの付加的なセキュリティ対策により、多要素認証を実現できます。また、正しい PIN または起動キーが入力されるまで、コンピューターを起動したり休止状態から再開できないようにすることもできます。
実際の適用例
紛失した、または盗難に遭ったコンピューターのデータは、第三者がソフトウェア攻撃ツールを実行したり、そのコンピューターのハード ディスクを別のコンピューターに移したりすることで、不正にアクセスされる可能性があります。 BitLocker では、ファイルとシステムに対する保護が強化されるため、データに不正にアクセスされる危険を回避できます。 また、BitLocker で保護されたコンピューターが廃棄またはリサイクルされる際に、そのデータにアクセスできないようにすることもできます。
リモート サーバー管理ツールには 2 つの追加ツールがあり、BitLocker の管理にこのツールを使用できます。
BitLocker 回復パスワード ビューアー。 BitLocker 回復パスワード ビューアーでは、Active Directory ドメイン サービス (AD DS) にバックアップされている BitLocker ドライブ暗号化の回復パスワードを検索して表示できます。 このツールは、BitLocker を使用して暗号化されたドライブに格納されているデータを回復するのに役立ちます。 BitLocker 回復パスワード ビューアー ツールは、[Active Directory ユーザーとコンピューター] Microsoft 管理コンソール (MMC) スナップインの拡張機能です。
このツールを使用して、コンピューター オブジェクトの [プロパティ] ダイアログ ボックスを調べ、対応する BitLocker 回復パスワードを表示できます。 また、ドメイン コンテナーを右クリックして、Active Directory フォレスト内のすべてのドメインを対象に BitLocker 回復パスワードを検索できます。 回復パスワードを表示するには、ドメイン管理者であるか、ドメイン管理者によってアクセス許可を委任されている必要があります。
BitLocker ドライブ暗号化ツール。 BitLocker ドライブ暗号化ツールには、コマンド ライン ツール manage-bde および repair-bde と、Windows PowerShell 用の BitLocker コマンドレットが含まれています。 manage-bde と BitLocker コマンドレットの両方は、BitLocker コントロール パネルで実行できるすべてのタスクの実行に使用でき、自動展開やその他のスクリプト作成シナリオに適しています。 repair-bde は、BitLocker で保護されたドライブを通常の手順または回復コンソールを使用してロック解除できない障害回復シナリオで使用します。
新機能と変更された機能
次の表は、Windows 8 および Windows Server 2012 の BitLocker に導入された新機能と変更点の一覧です。 詳細については、「BitLocker の新機能」を参照してください。
機能 |
Windows 7 |
Windows 8 と Windows Server 2012 |
|---|---|---|
BitLocker PIN またはパスワードのリセット |
オペレーティング システム ドライブの BitLocker PIN をリセットしたり、固定/リムーバブル データ ドライブのパスワードをリセットしたりするには管理者特権が必要です。 |
オペレーティング システム ドライブ、固定データ ドライブ、リムーバブル データ ドライブの BitLocker PIN とパスワードは、標準ユーザーがリセットできます。 |
ディスク暗号化 |
BitLocker を有効にすると、ディスク全体が暗号化されます。 |
BitLocker を有効にするときに、ディスク全体を暗号化するか、ディスク上の使用領域のみを暗号化するかを選択できます。 ディスクは、その領域が実際に使われるときに暗号化されます。 |
ハードウェア暗号化ドライブのサポート |
BitLocker ではネイティブ サポートされません。 |
BitLocker では、製造元で事前に暗号化されている Windows ロゴ付きのハード ドライブをサポートできます。 |
ネットワーク ベースのキーを使ってロックを解除する 2 要素認証 |
使用できません。 2 要素認証を行うには、コンピューターのある場所に実際にいる必要があります。 |
新しいタイプのキー保護機能により、信頼された有線ネットワーク上でコンピューターを再起動する場合に特殊なネットワーク キーを使用してロックを解除し、PIN の入力プロンプトをスキップすることができます。 このため、PIN を使用して保護されているコンピューターを労働時間外にリモート メンテナンスすることが可能になり、コンピューターの場所に実際にいなくても 2 要素認証が行われ、しかも、信頼されたネットワークにコンピューターが接続されていない場合はユーザー認証を必須とすることができます。 |
クラスターの保護 |
使用できません。 |
Windows Server 2012 には、Kerberos キー配布センター サービスを有効にした Windows Server 2012 ドメイン コント ローラーによって確立されたドメインで実行されている、Windows クラスター共有ボリュームと Windows フェールオーバー クラスターに対する BitLocker サポートが含まれています。 |
BitLocker キー保護機能と Active Directory アカウントとの関連付け |
使用できません。 |
BitLocker キー保護機能は、Active Directory 内のユーザー、グループ、またはコンピューター アカウントに関連付けることができます。 ユーザーが正しい資格情報でサインイン (コンピューターにサインオン) すると、このキー保護機能を使って、BitLocker で保護されたデータ ボリュームのロックを解除できます。 |
削除された機能または推奨されなくなった機能
高度暗号化標準 (AES) 暗号化アルゴリズムにディフューザーを組み合わせるオプションは廃止されました。
"TPM 検証プロファイルの構成" グループ ポリシー設定は、Windows 8 と Windows Server 2012 では非推奨になりました。 これは、BIOS ベースや UEFI ベースのコンピューターのシステム固有ポリシーに置き換えられました。
–tpm オプションは、manage-bde ではサポートされなくなりました。
システム要件
BitLocker のハードウェア要件は次のとおりです。
BitLocker で、トラステッド プラットフォーム モジュール (TPM) によるシステム整合性チェックを使用するには、コンピューターに TPM 1.2 または TPM 2.0 が実装されている必要があります。 コンピューターに TPM が実装されていない場合、BitLocker を有効にするには、起動キーをリムーバブル デバイス (USB フラッシュ ドライブなど) に保存する必要があります。
また、TPM を実装するコンピューターには、Trusted Computing Group (TCG) 準拠の BIOS または UEFI ファームウェアが搭載されている必要があります。 この BIOS または UEFI ファームウェアは、オペレーティング システム起動前の信頼チェーンを確立し、TCG で規定された静的な信頼性測定のルートをサポートしている必要があります。 TPM を実装しないコンピューターでは、TCG 準拠のファームウェアは必要ありません。
コンピューターが TPM 対応であるかどうかに関係なく、システムの BIOS (または UEFI ファームウェア) では USB Mass Storage Device Class がサポートされている必要があります。つまり、オペレーティング システムが起動する前に USB フラッシュ ドライブの小さなファイルを読み込む機能が必要です。 USB の詳細については、USB Web サイトの USB Mass Storage Bulk-Only および Mass Storage UFI Command 仕様に関するページを参照してください。
ハード ディスクは、少なくとも次の 2 つのドライブにパーティション分割されている必要があります。
オペレーティング システム、およびそのサポート ファイルが格納されているオペレーティング システム ドライブ (またはブート ドライブ)。 これは、NTFS ファイル システムでフォーマットされている必要があります。
ファームウェアがシステム ハードウェアを準備した後に、Windows を読み込むために必要なファイルを含むシステム ドライブ。 BitLocker は、このドライブでは有効化されません。 BitLocker が機能するには、システム ドライブが暗号化されていること、オペレーティング システムのドライブとは異なるドライブで構成されていること、および UEFI ベースのファームウェアを使用するコンピューター上に NTFS ファイル システムでフォーマットされていること、または BIOS ファームウェアを使用するコンピューター上に FAT32 ファイル システムでフォーマットされていることが必要です。 システム ドライブのサイズは 350 MB 程度確保することをお勧めします。 BitLocker を有効にした後で、約 250 MB の空き領域が必要となります。
新しいコンピューターにインストールすると、BitLocker に必要なパーティションが Windows によって自動的に作成されます。