【Windows】HDD暗号化 ~ BitLocker ~

Windows

■ はじめに

自宅でのリモートワークが加速する昨今、
PC持ち出しって紛失などをして情報漏洩のリスクを
最小限に抑えるための一つの手段として、
ハードディスク自体の暗号化がする方法が取られる。

そのHDD暗号化でWindows 10 Proに標準搭載されている
「BitLocker (ビットロッカー)」について扱う
(あっさり纏められるっと思ったが結構ボリューミーに。。。)

■ BitLocker

* Windows Vistaから上位OS標準搭載されている暗号化機能
* ドライブ単位でまるごと暗号化を行う
 a) BitLocker ... 内蔵ディスク(ハードディスクやSSD)を保護
 b) BitLocker To Go ... 外付けディスク(USBメモリなど)を保護

補足:Windowsの他のセキュリティ関連機能

* Windows Defender
 => OS付属ウイルスソフト

* SmartScreen
 => 不正URLのアクセスやマルウェアのダウンロードを警告する機能

■ BitLockerのロック解除手段

1)パスワード入力
2)スマートカード
3)TPMセキュリティチップ
4)外部キー(USBキー)
5)回復キー

1)パスワード入力

* ロック解除時にパスワードを手動で入力する方式
 => デメリット:パスワードが単純だと突破されやすい

2)スマートカード

* ロック解除に用いるキー情報をICカードに格納し、
 対応カードリーダーで読み取ってロック解除を行う方式

3)TPMセキュリティチップ

* TPMセキュリティチップに暗号化キーを格納する方式
 => メリット:その端末しかロック解除ができなくなるので安全性は高い
 => デメリット:TPM未搭載PCでないと使えない

TPM(Trusted Platform Module)とは? 

* PC端末の基盤に搭載されているICチップ
=> OSやHDDから独立したハードウェアの一部である
=> 暗号化キーを独立したハードで管理することにより
  解読しづらくなり堅牢になる
* 別名、セキュリティチップ(Security chip)
* TCG(Trusted Computing Group)というベンダーグループで
 定義されたセキュリティ仕様に準拠

TPM搭載かどうかの確認 

Windowsの検索欄で「tpm.msc」を入力
 => TPM 用の管理画面が表示されればサポートされてる

https://www.asus.com/jp/support/FAQ/1018749/

4)外部キー(USBキー)

* ロック解除に用いるキー情報を
 BEK形式(BitLocker Encryption Key)のファイルで保存する方式

5)回復キー

* ロック解除できない場合、回復キーを使って
 暗号化ドライブへのアクセス権を回復する

回復キーとは? 

HDDを暗号化した際に発行される48桁の数字
 => BitLocker に発行される

■ 使用上の注意

* 実行するには、Admin権限が必要

* 管理者権限で暗号化したものを簡単に復号できてしまう

* 一部のドライブについて暗号化を忘れてしまう可能性がある
=> OS領域(Cドライブ)を暗号化していても、
  Dドライブといったデータ領域は暗号化されていない
  といったリスクがある

* HDD構成が変更されるたびに回復キーの入力が求められる

参考文献

https://www.atmarkit.co.jp/ait/articles/1702/28/news040.html
https://josys-navi.hiblead.co.jp/josys-bk-now_bitlocker-tpm_190125
https://mitani.work/column/%E5%AE%9F%E3%81%AF%E6%84%8F%E5%A4%96%E3%81%A8%E4%BD%BF%E3%81%88%E3%82%8B%EF%BC%81windows10%E3%81%AE%E6%9A%97%E5%8F%B7%E5%8C%96%E6%A9%9F%E8%83%BD%E3%80%8Cbitlocker%E3%80%8D/
https://www.pro.logitec.co.jp/houjin/usernavigation/hddssd/20191206/index.html