■ はじめに
自宅でのリモートワークが加速する昨今、 PC持ち出しって紛失などをして情報漏洩のリスクを 最小限に抑えるための一つの手段として、 ハードディスク自体の暗号化がする方法が取られる。 そのHDD暗号化でWindows 10 Proに標準搭載されている 「BitLocker (ビットロッカー)」について扱う (あっさり纏められるっと思ったが結構ボリューミーに。。。)
■ BitLocker
* Windows Vistaから上位OS標準搭載されている暗号化機能 * ドライブ単位でまるごと暗号化を行う a) BitLocker ... 内蔵ディスク(ハードディスクやSSD)を保護 b) BitLocker To Go ... 外付けディスク(USBメモリなど)を保護
補足:Windowsの他のセキュリティ関連機能
* Windows Defender => OS付属ウイルスソフト * SmartScreen => 不正URLのアクセスやマルウェアのダウンロードを警告する機能
■ BitLockerのロック解除手段
1)パスワード入力 2)スマートカード 3)TPMセキュリティチップ 4)外部キー(USBキー) 5)回復キー
1)パスワード入力
* ロック解除時にパスワードを手動で入力する方式 => デメリット:パスワードが単純だと突破されやすい
2)スマートカード
* ロック解除に用いるキー情報をICカードに格納し、 対応カードリーダーで読み取ってロック解除を行う方式
3)TPMセキュリティチップ
* TPMセキュリティチップに暗号化キーを格納する方式 => メリット:その端末しかロック解除ができなくなるので安全性は高い => デメリット:TPM未搭載PCでないと使えない
TPM(Trusted Platform Module)とは?
* PC端末の基盤に搭載されているICチップ => OSやHDDから独立したハードウェアの一部である => 暗号化キーを独立したハードで管理することにより 解読しづらくなり堅牢になる * 別名、セキュリティチップ(Security chip) * TCG(Trusted Computing Group)というベンダーグループで 定義されたセキュリティ仕様に準拠
TPM搭載かどうかの確認
Windowsの検索欄で「tpm.msc」を入力 => TPM 用の管理画面が表示されればサポートされてる
https://www.asus.com/jp/support/FAQ/1018749/
4)外部キー(USBキー)
* ロック解除に用いるキー情報を BEK形式(BitLocker Encryption Key)のファイルで保存する方式
5)回復キー
* ロック解除できない場合、回復キーを使って 暗号化ドライブへのアクセス権を回復する
回復キーとは?
HDDを暗号化した際に発行される48桁の数字 => BitLocker に発行される
■ 使用上の注意
* 実行するには、Admin権限が必要 * 管理者権限で暗号化したものを簡単に復号できてしまう * 一部のドライブについて暗号化を忘れてしまう可能性がある => OS領域(Cドライブ)を暗号化していても、 Dドライブといったデータ領域は暗号化されていない といったリスクがある * HDD構成が変更されるたびに回復キーの入力が求められる
参考文献
https://www.atmarkit.co.jp/ait/articles/1702/28/news040.html
https://josys-navi.hiblead.co.jp/josys-bk-now_bitlocker-tpm_190125
https://mitani.work/column/%E5%AE%9F%E3%81%AF%E6%84%8F%E5%A4%96%E3%81%A8%E4%BD%BF%E3%81%88%E3%82%8B%EF%BC%81windows10%E3%81%AE%E6%9A%97%E5%8F%B7%E5%8C%96%E6%A9%9F%E8%83%BD%E3%80%8Cbitlocker%E3%80%8D/
https://www.pro.logitec.co.jp/houjin/usernavigation/hddssd/20191206/index.html