プリブート攻撃から BitLocker を保護する
この詳しいガイドでは、Windows 10、Windows 8.1、Windows 8、または Windows 7 が実行されているデバイスにプリブート認証の使用をお勧めする状況について、また、この認証をデバイスの構成から安全に省ける場合について、わかりやすく説明します。
BitLocker では、ドライブ上のデータを保護するために暗号化が使われますが、BitLocker のセキュリティが有効なのは、暗号化キーが保護されているときのみです。多くのユーザーは、オペレーティング システムの整合性、ディスク暗号化ソリューション (暗号化キーなど)、PC のデータをオフライン攻撃から保護するために、プリブート認証に頼ってきました。プリブート認証では、暗号化ボリュームのロックを解除して Windows を起動する前に、ユーザーは何らかの形式で資格情報を渡す必要があります。一般的に、ユーザーは本人の認証に PIN または USB フラッシュ ドライブをキーとして使います。
BitLocker ドライブ暗号化を使うフルボリューム暗号化は、Windows 10、Windows 8.1、Windows 8、または Windows 7 オペレーティング システムが実行されているデバイスで、データとシステムの整合性を保護するために不可欠です。この暗号化は、BitLocker 暗号化キーを保護するために同じくらい重要です。Windows 7 デバイスでは、そのキーの十分な保護にプリブート認証が必要になる場合がよくあります。その認証は多くのユーザーには不便であり、デバイスの管理が複雑になります。
プリブート認証は起動時に優れたセキュリティをもたらしますが、ユーザーには不便であり、IT 管理コストが増えます。PC は無人になるたびに、休止状態に設定される (つまり、シャットダウンされて電源がオフになる) 必要があります。そして再起動されるときは、暗号化されたボリュームのロックが解除される前に、ユーザーは認証を求められます。この要件により、再起動回数が増えるだけでなく、ユーザーは認証用 PC に物理的にアクセスできるまで、リモート PC にアクセスできなくなります。そのため、プリブート認証は現代の IT 環境では受け入れられていません。ユーザーは PC が即座に起動することを求め、IT 組織は PC が常にネットワークに接続されていることを求めるためです。
ユーザーは USB キーを失くしたり PIN を忘れたりした場合、回復キーがなければ、自分の PC にアクセスすることはできません。インフラストラクチャが適切に構成されていれば、組織のサポートから回復キーを入手できますが、それによりサポート コストが増え、ユーザーの作業時間が失われる場合があります。
Windows 8 以降、セキュア ブートと Windows トラスト ブートの起動プロセスにより、オペレーティング システムの整合性が保たれて、悪質なスタートアップ ツールやルートキットのリスクを最小限に抑えながら、Windows を自動的に起動できるようになっています。また、現代の多くのデバイスは基本的に、コンピューターのメモリに対する高度な攻撃に物理的に強く、Windows では現在、コンピューターと暗号化キーへの脅威が疑われるデバイスが使えるようになるには、その前にユーザーの認証が行われます。
このトピックの内容
次のセクションでは、プリブート認証が必要であっても、ユーザーに不便をかけることなくセキュリティ要件を満たすことができる PC について、わかりやすく説明しています。