Windows Vista のセキュリティとデータ保護の機能強化

  • [アーティクル]

Windows Vista では新機能の導入によって、以前のバージョンの Windows クライアント オペレーティング システムに比べてセキュリティ面での強化が行われています

公開日: 2005年6月1日

Tony Northrup

セキュリティの脅威は絶えず進化しています。 インターネットやワイヤレス ネットワークに存在する脅威から保護された状態を維持するには、Microsoft Windows クライアント オペレーティング システムも進化が必要です。 Windows Vista はこれまでで最もセキュリティが保護され、信頼性の高いオペレーティング システムであり、ビジネスやコンピューティングの目標実現に役立ちます。 この資料では、セキュリティに関する最も重要な機能強化点を、それによって得られるメリットと IT プロフェッショナルにとっての意義と共に説明します。

***

トピック

概要概要

ユーザー アカウント制御ユーザー アカウント制御

認証認証

マルウェア対策マルウェア対策

ネットワーク アクセス保護ネットワーク アクセス保護

ファイアウォールファイアウォール

Windows サービスのセキュリティ強化機能Windows サービスのセキュリティ強化機能

Internet Explorer の機能強化Internet Explorer の機能強化

データ保護データ保護

概要

Microsoft では、ユーザーのセキュリティ保護に役立つテクノロジに根本的な投資を行っています。 こうした取り組みには、セキュリティ開発ライフサイクルを使用した、セキュリティが確保されたソフトウェアの開発や、プラットフォームの技術革新による複数層の防御 (多層防御) の実現などがあります。 Windows Vista には、ワーム、ウイルスなどの悪意のあるソフトウェア (総称して "マルウェア" といいます) をはじめとする最新世代の脅威からクライアント コンピュータを保護するために、多くのセキュリティ機能が追加され、従来の機能も強化されています。

  • ユーザー アカウント制御は、標準ユーザーとして実行しているときに、管理者特権がなくても、生産性を落とすことなく共通の設定を変更できる機能です。 これにより、アプリケーションの実行を制限することなく、ユーザーが危険を伴う変更をコンピュータに加えることを防ぎます。
  • Windows Vista 組み込みの Web ブラウザ Microsoft Internet Explorer (IE) では、多数のセキュリティ機能が強化され、ユーザーをフィッシングやスプーフィングから保護します。新機能の 1 つである保護モードの Internet Explorer は、悪意のある Web サイトやマルウェアによってユーザーのデータや構成設定が削除されたり変更されたりすることを防ぐのに役立ちます。
  • Windows 防御ツールにより、不審と思われる各種ソフトウェアを検出し、アプリケーションに悪質と思われる変更が加えられる前に通知を受けることができます。
  • ファイアウォールには新しく送信フィルタが実装され、業務上制限が必要なピアツーピア共有アプリケーションや他の同様のアプリケーションを管理者レベルで制御できます。
  • Windows サービスのセキュリティ強化機能は、万一攻撃者がサービスの不正利用に成功した場合の被害を抑えます。 その結果、Windows Vista クライアントに永続的な変更を行ったり、ネットワーク上の他のコンピュータを攻撃したりするリスクを軽減できます。
  • 社内システムの正常性ポリシーを満たさないクライアントが社内ネットワークに接続されて、他のコンピュータにマルウェアが広がることを防ぐため、管理者はネットワーク アクセス保護を使用できます。

実現化ハードウェアを適切に構成したコンピュータを使用していれば、BitLocker™ ドライブ暗号化を使用して、企業ユーザーがコンピュータの紛失または盗難に遭った場合もデータを保護できます。 BitLocker 対応のコンピュータでは、コンピュータの Windows ボリューム全体が暗号化されます。そのため、コンピュータに侵入されても、未承認のユーザーはデータ、ファイル、電子メール、知的財産にはアクセスできません。

また、IT 部門が認証メカニズムを採用するときの選択肢を増やすため、Windows Vista ではサードパーティの開発者が拡張しやすい新しい認証アーキテクチャを採用しました。 その結果、スマート カード、指紋スキャナなどの強力な認証方式といった幅広い選択肢を活用できます。 つまり、このようにセキュリティが強化されたことで、ユーザーが安心してコンピュータを使用できるようになります。

ページのトップへページのトップへ

ユーザー アカウント制御

現在、多くの Windows ユーザーが勤務先でも自宅でも管理者特権でコンピュータを実行しています。 管理者として実行することで、デスクトップは管理が難しく、サポート コストが高くなる可能性があります。 管理者以外のユーザーはネットワーク構成を誤って変更したり、システムの安定性に影響するアプリケーションをインストールしたりすることがないので、ユーザーを管理者にしないでデスクトップを展開することは、コスト削減につながります。 管理者特権を使用しないでコンピュータを実行すると、多くのアプリケーションを実行できないだけでなく、プリンタを追加するなどの一般的な作業を実行できなくなり、ユーザーの不満を高めるので、現状ではこのような使用は困難です。

Windows Vista では、ユーザー アカウント制御 (UAC) の導入に当たり、管理者以外のユーザー エクスペリエンスを向上させるため、基になるオペレーティング システムを変更しました。 たとえば、企業のモバイル ラップトップ ユーザーは、管理者としてコンピュータを実行していなくても、自宅のワイヤレス ネットワークに接続するための WEP キーの設定、プリンタのインストール、アプリケーション更新プログラムのダウンロードとインストール、VPN (仮想プライベート ネットワーク) 接続の設定と構成など、多数の標準的な作業を実行できます。

ユーザー アカウント制御では、Windows セキュリティ ユーザー モデルを使用して、管理者と標準ユーザーを区別します。 標準ユーザー アカウントとは、コンピュータに管理者特権のないアカウントを指します。 ローカル Administrator アカウントに所属するユーザーが Windows Vista コンピュータにログオンしても、既定では標準ユーザーとしてログオンされます。 ユーザーがアプリケーションのインストールなどの管理者特権が必要な作業を実行すると、Windows Vista は、選択したポリシー設定に従って、意図を確認するか、管理者資格情報を提供するよう明示的にユーザーに求めます。 このプロセスにより、ユーザーのコンピュータにマルウェアがいつのまにかインストールされることはなくなります。 しかし、Windows XP とは異なり、標準ユーザーが管理者特権が必要な作業を実行しても、自動的にブロックされることはありません。 Windows Vista ではローカル Administrator アカウントの有効な資格情報を入力するよう標準ユーザーに求めます。資格情報の入力後に目的の作業を実行できるようになります。

標準ユーザーが管理者特権を必要とするときに、[別のユーザーとして実行] を使用する必要はありません。Windows Vista では図 1 に示すように必要な資格情報が自動的に要求されます。

Windows Vista では、アプリケーションで管理者の資格情報が必要な場合、資格情報の入力が自動的に求められます。

図1: アプリケーションで管理者の資格情報が必要な場合に表示される資格情報の入力画面。

一部例外はありますが、ほとんどのアプリケーションは管理者アカウントでも、標準ユーザー アカウントでも適切に実行されます。 C:\Program Files、C:\Windows、HKEY_LOCAL_MACHINE など、ユーザーがアクセスできないファイルやレジストリの場所を変更する一部のアプリケーションを Windows XP で実行するには、管理者特権が必要です。 Windows Vista の "レジストリとファイルの仮想化" は、ユーザーに管理者特権がない場合、コンピュータ単位のファイルやレジストリの書き込みをユーザー別に区別された場所にリダイレクトします。 この機能により、管理者のみがアクセスできるレジストリやファイル システムの領域への書き込みを行うアプリケーションを、標準アカウントでも実行できます。ただし、システム全体に影響する変更を加えることはできません。

利点

ユーザー アカウント制御により、デスクトップの管理を容易にし、サポート コストを下げることができます。

ユーザー アカウント制御では、以下のことを軽減できます。

  • ユーザーが構成を変更したときにコンピュータのイメージを再作成する必要性。
  • マルウェアによりシステム レベルの影響を受ける危険性。

ユーザー アカウント制御の利点を理解するには、Don Hall のシナリオ「出張中のリモート ユーザー」について考えてみましょう。 Don は Windows Vista がインストールされているラップトップを所持し、標準ユーザーとして実行しています。 ホテルでの暇つぶしに、インターネットからゲームをダウンロードしました。 しかし、そのゲームの正体がトロイの木馬であることに気付かず、コンピュータを起動すると自動的に起動するマルウェアがインストールされます。 ただし、マルウェアのインストールには管理者特権が必要で、Don は標準ユーザーで実行していたので、Don のコンピュータはこのマルウェアから保護されます。 その後、Don はホテルのプリンタでドキュメントを印刷するために、新しいプリンタ ドライバをインストールする必要が生じました。 このドライバには IT 部門が信頼するコンピュータによって署名されているので、Don は管理者特権がなくてもドライバをインストールできます。 ユーザー アカウント制御では、このようにユーザーが高い生産性を確保したまま保護されます。

意義

Microsoft Windows XP 以前の Windows オペレーティング システムを使用する場合、IT プロフェッショナルには次の 2 つの選択肢があります。

  • ユーザーに管理者特権を与え、ソフトウェアのインストールや構成の変更が不適切だった場合は、電話サポートで対応する。
  • ユーザーに制限付きの特権を与え、アプリケーションが適切に動作しない場合は電話サポートで対応する。

Windows Vista を使用すると、妥協は必要ありません。 ユーザーはほとんどのアプリケーションを実行できると同時に、生産性を落とすことなく、管理者特権を悪用するマルウェアから保護されます。 つまり、制限付きの特権で実行すれば、アプリケーションの構成に関連する電話サポートの回数が減り、構成に費やす技術的な時間も少なくなります。

ページのトップへページのトップへ

認証

機能説明

Windows Vista でも、引き続き、パスワードとスマート カードによる認証のサポートが組み込まれます。 多くのユーザーがパスワードに代わる認証方式を模索していることから、Windows Vista はバイオメトリクス、トークンなどの独自の認証方式を開発者が簡単に Windows に追加できるようになっています。 また、Windows Vista では、Kerberos 認証プロトコルとスマート カード ログオンの機能も強化されています。 セルフサービス暗証番号 (PIN) リセット ツールなどの展開と管理の各ツールによって、スマート カードを容易に管理できます。 スマート カード開発者に共通のアプリケーション プログラミング インターフェイス (API) モデルを提供することでも、ツールの開発は簡単になります。

利点

Windows Vista はスマート カードの機能が強化され、組み込みの認証方法の展開とサポートを容易に管理できます。 バイオメトリクスやトークンなどの認証メカニズムを独自に開発する開発者にとっては、Windows Vista は認証メカニズムを簡単に実装できるという直接的な利点があります。 IT 部門にとっては、サードパーティ ベンダの選択肢が増えるという間接的なメリットがあります。

意義

多くの組織にとって、一要素の認証では不十分です。 セキュリティを重視する IT 組織には、多要素認証が必要です。 開発者が独自の認証方式を簡単に作成できるようになることで、バイオメトリクス、スマート カード、その他の強力な認証方式など、IT 部門の選択の幅が広がります。

ページのトップへページのトップへ

マルウェア対策

機能説明

前述のユーザー アカウント制御と Internet Explorer のセキュリティ強化 (後述する新しい保護モードなど) によって、Windows Vista ではマルウェアによる影響を減らすことができます。 Windows Vista ではこうした機能に加えて、多くのワーム、ウイルス、ルートキット、スパイウェアを駆除できます。その結果、オペレーティング システムの整合性とユーザー データのプライバシーが保護されます。 また、スパイウェアをリアルタイムに監視し、不要なソフトウェアがインストールされるのを防ぎます。

Windows 防御ツールは個人ユーザーを対象にしたもので、企業での管理には使用できません。

利点

マルウェアは多くの場合、システムのパフォーマンスを低下させます。その結果、ユーザーがコンピュータの処理が遅くなったか信頼性が低下したので再度イメージを適用する必要があると短絡的に結論付け、 コンピュータの管理コストを押し上げます。 しかし、マルウェアの最大の脅威の対象はセキュリティです。 たとえば、機密データが外部に漏洩したり、コンピュータのセキュリティの脆弱性を高める可能性があります。 Windows Vista に追加される保護機能とマルウェア駆除機能により、ネットワーク コンピュータのパフォーマンスとセキュリティを向上し、電話サポートを減らします。

意義

IT 部門は、マルウェアを原因とするコンピュータのパフォーマンスの低下、信頼性の低下、およびセキュリティの侵害という問題を解決するために、多くのリソースを浪費しています。 Windows 防御ツールは、悪意のあるソフトウェアを駆除し、コンピュータ上のソフトウェアに対する制御をいっそう強化できます。

ページのトップへページのトップへ

ネットワーク アクセス保護

機能説明

Windows Vista には、Windows Vista ベースのクライアントが最新のセキュリティ更新プログラムを適用していない場合、ウイルス署名がない場合、またはコンピュータの正常性要件を満たしていない場合に、そのクライアントをプライベート ネットワークに接続しないようにするエージェントが実装されています。 ネットワーク アクセス保護を使用すると、ローカル エリア ネットワーク (LAN) クライアントだけでなく、リモート アクセス クライアントからもネットワークを保護できます。 このエージェントは、最新の更新プログラムとウイルス署名がインストール済みであるなど、Windows Vista クライアントの正常性状態をサーバー ベースのネットワーク アクセス保護実施サービスにレポートします。 Windows Server コード ネーム Longhorn に付属するネットワーク アクセス保護インフラストラクチャによって、プライベート ネットワークまたは制限付きネットワークへのクライアント アクセスを許可するかどうかが決定されます。

利点

ネットワーク アクセス保護を使用すると、モバイル コンピュータ、リモート コンピュータ、およびプライベート ネットワークに直接接続するコンピュータに、正常性要件を実施できます。 コンピュータを携行して外出するユーザーは、往々にして数週間ほどプライベート ネットワークに接続できません。 このようなユーザーは、接続してもそれが短時間であれば、最新の更新プログラム、セキュリティ構成設定、ウイルス署名をダウンロードする時間がありません。 そのため、モバイル コンピュータは他のコンピュータに比べ、正常性状態が劣っていることがあります。 ネットワーク アクセス保護により、ユーザーがプライベート ネットワークに接続する前に最新の更新プログラムがインストールされるので、モバイル コンピュータのセキュリティが向上します。

意義

ウイルスやワームは多くの場合、感染したモバイル コンピュータやリモート コンピュータからプライベート ネットワークに持ち込まれます。 Windows Vista のネットワーク アクセス保護をインフラストラクチャと併用すると、すべてのクライアント コンピュータの要件を構成できます。 クライアント コンピュータが正常性要件を満たしていない場合、以下の対策をとることができます。

  • プライベート ネットワークにコンピュータを接続しないようにして、ウイルスやワームの潜在的蔓延を防ぎます。
  • ユーザーにコンピュータを更新する方法を指示します。または、適切な対策テクノロジが用意されている場合は自動的にコンピュータを更新します。
  • ネットワーク上の一部のサーバーに限定してアクセスできるようにして、更新プログラムをダウンロードできるようにします。

ページのトップへページのトップへ

ファイアウォール

機能説明

Windows Vista に組み込まれるパーソナル ファイアウォールは、Microsoft Windows XP Service Pack 2 で採用された機能を基にしています。このファイアウォールに採用される、アプリケーションを認識できる送信フィルタは、トラフィックを方向別に完全に制御できます。 たとえば、Windows Vista の Windows ファイアウォールを使用すると、ピアツーピアの共有アプリケーションやインスタント メッセンジャーなどが他のコンピュータと通信または応答するのをブロックできます。 また、Windows Vista のファイアウォールの設定は、管理を簡単にするためにグループ ポリシー オブジェクトで構成できます。

利点

インターネット上で個人情報を送信するピアツーピア共有クライアント アプリケーションなど、危険性の高いアプリケーションの多くは、着信接続をブロックするファイアウォールを迂回するようにデザインされています。 Windows Vista のファイアウォールを使用すると、企業の管理者はアプリケーションを許可するかブロックするかをグループ ポリシーで設定できるので、ネットワーク上で通信できるアプリケーションを制御できます。

意義

IT 部門がセキュリティ リスクを緩和するために重視する対策の 1 つに、ネットワークにアクセスできるアプリケーションの制限があります。 Windows Vista に組み込まれるパーソナル ファイアウォールは、この対策で重要な役割を果たします。 パーソナル ファイアウォールを使用すると、コンピュータでローカルにアプリケーションを実行することを許可し、ネットワーク経由で通信することを禁止できます。 その結果、ユーザーの生産性を落とすことなく、セキュリティ リスクを緩和するために必要なきめの細かい制御を実現します。

ページのトップへページのトップへ

Windows サービスのセキュリティ強化機能

機能説明

Windows サービスのセキュリティ強化機能は、ファイル システム、レジストリ、ネットワークなど、マルウェアが自己増殖や他のコンピュータの攻撃に使用する可能性があるリソースに対し、重要な Windows サービスが異常な活動を行わないよう制限する機能です。 たとえば、リモート プロシージャ コール (RPC) サービスによりシステム ファイルの置換やレジストリの変更が行われないように制限できます。

システムの中でメモリに常駐しているコードの量と、そのコードの特権レベルから見ると、Windows へのすべての攻撃対象のうち、大半を Windows サービスが占めます。 Windows Vista は、実行および稼動するサービスの数が既定で制限されています。 現在、システム サービスとサードパーティのサービスの多くは LocalSystem アカウントで実行されるので、何か欠陥があった場合のローカル コンピュータの被害は、ディスクがフォーマットされる、ユーザー データにアクセスされる、ドライバがインストールされるなど、際限がありません。

Windows サービスのセキュリティ強化機能は欠陥のあるサービスが攻撃される可能性を減らすため、以下の新しい概念を Windows サービスで採用して使用します。

  • サービスごとにセキュリティ識別子 (SID) を導入します。 その結果サービスを個別に識別できるようになり、アクセス制御リスト (ACL) を使用するすべてのオブジェクトおよびリソース マネージャを対象とする既存の Windows アクセス制御モデルをパーティションに分割するアクセス制御が可能になります。 サービスは専用のリソースに明示的な ACL を適用できるので、ユーザーや他のサービスはリソースにアクセスできません。
  • サービスを LocalSystem から、特権の少ない LocalService、NetworkService などのアカウントに移行します。 サービスの全体的な特権レベルが下がり、ユーザー アカウント制御と同様の効果が得られます。
  • サービスごとに、デバッグ機能などの不要な Windows の特権を削除します。
  • 書き込みが制限されたアクセス トークンをサービス プロセスに適用します。 適用したアクセス トークンを使用できるのは、サービスから書き込まれるオブジェクトのセットが制限されていて、構成可能な場合です。 サービスの SID にアクセスを明示的に許可していないリソースに書き込みを行うと失敗します。
  • サービスにネットワーク ファイアウォール ポリシーを適用し、サービス プログラムの標準的な境界外へのネットワーク アクセスを防ぎます。 ファイアウォール ポリシーはサービスごとの SID に直接リンクします。

利点

Windows サービスのセキュリティ強化機能は、多層防御のセキュリティ プリンシパルを基にサービスを保護する層を追加します。 脆弱性のあるサービスの不正利用を防ぐために Windows サービスのセキュリティ強化機能を使用することはできません。有効な対策として、Windows ファイアウォール、適正な修正プログラムの管理プロセスなど、他の Windows Vista コンポーネントおよび多層防御が役立ちます。 Windows サービスのセキュリティ強化機能では、万一攻撃者が脆弱性のあるサービスを特定し、攻撃した場合の被害の規模を制限します。

サードパーティのサービス作成者もWindows サービスのセキュリティ強化機能を使用できるので、アプリケーション作成者のコードにも同等のセキュリティの利点を提供できます。

意義

セキュリティ侵害のコストは、時として甚大です。 機密データが漏洩したり、ユーザーのデータ損失が発生したり、生産性が犠牲になったりする可能性があります。 深刻な侵害を受けた場合、IT 部門が損害を復旧するまでに数週間かかることもあります。 不正利用されたサービスによる重要な構成設定の変更およびネットーワーク上の他のコンピュータへの被害拡大を Windows サービスのセキュリティ強化機能によって防ぎ、損害を大幅に抑えることができます。 Windows サービスのセキュリティ強化機能を使用すると、かつての大きなセキュリティの脆弱性を軽度の侵害に抑えることができます。

ページのトップへページのトップへ

Internet Explorer の機能強化

機能説明

Windows Vista では、ユーザー アカウント制御イニシアチブに基づいて Internet Explorer の特権が Web のブラウズに必要なものに限定されており、既定ではユーザー ファイルやユーザー設定を変更できません。 Windows Vista Beta 2 には、保護モードと呼ばれる Windows Vista 特有の機能が導入されます。その結果、悪意のあるサイトが Internet Explorer の潜在的な脆弱性を攻撃しても、そのサイトのコードには、ソフトウェアのインストール、ユーザーの [スタートアップ] フォルダへのファイルのコピー、またはブラウザのホームページや検索プロバイダの設定のハイジャックに必要な特権が付与されません。

ユーザーの個人情報の保護を促進するために、Internet Explorer では以下の機能強化が図られています。

  • Secure Sockets Layer でセキュリティ保護されているサイトにアクセスすると、新しいセキュリティ ステータス バーが強調表示され、ユーザーはサイトのセキュリティ証明書の有効性を容易にチェックできます。
  • フィッシング フィルタを搭載し、Web サイトでユーザーの機密情報の盗用が試みられるとユーザーに警告して、ユーザーがより安全に Web をブラウズできるようにします。 このフィルタは、Web サイトが信頼できるかどうかを判断するために、Web サイトのコンテンツを分析し、既知のフィッシング手法の特性を検出し、データ ソースのグローバル ネットワークを使用します。 フィルタ データは 1 時間に数回更新されます。この更新は重要です。フィッシング サイトが出現してユーザーのデータを収集する可能性は、この更新の速さに依存するためです。
  • キャッシュされたデータは、1 回クリックするだけですべてクリアされます。

利点

ユーザーがインターネットのリソースにアクセスするときに、Internet Explorer の新機能によりセキュリティの脅威が最小限になります。 悪意のある Web サイトから受けるリスクを軽減することが、潜在的なセキュリティ コストの削減につながります。

意義

ユーザーが一見安全なサイトしか訪問していない場合でも、悪意のある Web サイトによりコンピュータが不正利用されることがあります。 Windows Vista の Internet Explorer が機能強化されることで、ブラウザが不正利用されるリスクが大幅に減り、その結果セキュリティ リスクが減ります。 ユーザー アカウント制御と Internet Explorer の新しい保護モードを使用することで、ホーム ページが変更される、Internet Explorer に不要なツール バーが追加されるといって苦情の電話をユーザーから受け取る回数が減少します。

ページのトップへページのトップへ

データ保護

機能説明

企業の知的財産の盗難や損失に対し、組織は関心を高めています。 Windows Vista では、データ保護のサポートがドキュメント、ファイル、ディレクトリ、コンピュータの各レベルで強化されています。 Rights Management が統合されたクライアントを使用すると、ドキュメントの使用にポリシーを全面的に適用できます。 ユーザー ベースでのファイルおよびディレクトリの暗号化を提供する暗号化ファイル システムが拡張され、スマート カードでの暗号化キーの保存が可能になり、暗号化キーの保護が強化されました。 さらに、セキュリティで保護された新しい BitLocker ドライブ暗号化によって、コンピュータレベルでのデータ保護が追加されています。 BitLocker ドライブ暗号化では、実現化ハードウェアを適切に使用しているコンピュータであれば、Windows システム ファイルや休止状態ファイルを含む、システム ボリュームのフルボリューム暗号化が可能であり、コンピュータを紛失したり、盗難に遭った場合のデータの漏洩を防止します。 展開や管理が容易なソリューションを提供するために、Windows ハード ドライブのセクタを暗号化および復号化するキーの格納にトラステッド プラットフォーム モジュール (TPM) 1.2 チップが使用されます。 TPM およびエンタープライズ管理インフラストラクチャは、エンド ユーザーにとってこの機能を使いやすいものにするために不可欠です。

BitLocker のフルボリューム暗号化では対称暗号化キーを "トラステッド プラットフォーム モジュール (TPM) 1.2" チップに密閉します。 TPM チップは一部の新しいコンピュータで利用できるハードウェア コンポーネントであり、キー、パスワード、およびデジタル証明書を格納できます。

また、BitLocker にはオペレーティング システムの中核ファイルの計測値も格納されます。 毎回コンピュータを起動するときに、オペレーティング システム ファイルがオフライン攻撃を受けて変更されていないことが検証されます。 オフライン攻撃とは、攻撃者がシステムを制御するために別のオペレーティング システムをブートすることです。 ファイルが変更されている場合、警告が表示され、Windows へのアクセスに必要なキーが公開されません。 システムは回復モードで起動され、ブート ボリュームにアクセスできる回復キーの入力が求められます。

回復モードは、別のシステムにディスク ドライブを移し替えた場合も使用されます。 回復モードには回復キーが必要です。このキーは、BitLocker を有効にしていると生成され、各コンピュータ固有です。 つまり、BitLocker は、回復キーを保存するための Active Directory などの適切な管理インフラストラクチャを整備した企業を対象にしています。 そのような整備が行われていないと、故障したコンピュータのドライブを別のコンピュータに移動して回復キーが使用できなくなった場合に、データが損失する可能性があります。

利点

Windows XP 以前のバージョンの Windows は、紛失や盗難に遭ったコンピュータからユーザーのデータを取得するオフライン攻撃に対して脆弱でした。 オンライン攻撃はオペレーティング システムの実行中に行われるので、ファイアウォールやウイルス対策ソフトウェアである程度防御できますが、オフライン攻撃はオペレーティング システムを停止しているときに行われます。 一般的なオフライン攻撃の種類を次に示します。

  • ブート ディスクを使用してオフライン コンピュータを起動し、管理者パスワードをリセットすることで、攻撃者がオペレーティング システムの起動と認証を可能にします。
  • ファイルのアクセス許可を迂回するため、別のオペレーティング システムからコンピュータのハード ディスクに直接アクセスします。

どちらの種類の攻撃も、BitLocker で保護できます。 この機能は、盗難に遭いやすいモバイル コンピュータに特に有用です。

意義

紛失や盗難に遭ったコンピュータに、社外秘の知的財産や顧客の個人情報が保存されていることがよくあります。 そのようなデータが不正利用された場合、組織が顧客に個人情報の流出を伝え、盗難が世間に知れ渡ったときに、組織の評判を落とすことがあります。 顧客からの信用を失うだけでなく、マスコミによって否定的な報道が行われます。

Windows Vista のフルボリューム暗号化を使用すると、攻撃者がオフライン攻撃を使用して機密ファイルを不正利用するリスクを劇的に軽減できます。 この機能によって、ラップトップが紛失や盗難に遭った場合でも、攻撃者がコンピュータの企業や顧客の機密データにアクセスできないことが保証されます。

このサイトで説明している機能は、変更されることがあります。 マーケティング上または技術上などの理由から、一部の機能が最終製品に含まれないことがあります。

ページのトップへページのトップへ