いまさら聞けない【情シス基礎知識】BitLockerとTPMとは

欧州でのGDPR(一般データ保護規則)の施行や企業情報を狙ったサイバー犯罪の流行の中、情シスは顧客情報や業務データの保護に奔走していることでしょう。今回はWindows OSの機能として提供され、端末上のデータ保護策の一つである、ディスク暗号化機能BitLockerについて解説します。

Windows10には乗り換えましたか?

Windows7の延長サポート終了日が2020年1月に迫っています。そろそろWindows10へのアップグレードを検討しはじめている企業も多いことでしょう。さてこのWindows10ですが、さまざまなセキュリティ機能が多数備わっていることをご存知ですか?不正URLのクリックやマルウェアのダウンロードを警告してくれる「SmartScreen」機能、OS付属ウイルスソフト「Windows Defender」。今やクラウド活用が主流となっており、そういったインターネットを介して襲いかかってくる脅威への対策がとられています。

しかし、ここで忘れてはいけないのが、端末そのものの堅牢なセキュリティです。「忘年会の帰りにうっかりPCをどこかに置き忘れた」などというインシデント例で毎年端末取り扱いについての注意喚起が行われることと思いますが、万が一端末からディスク本体を抜き取られたり、USBメモリなどの媒体を落としてしまったりと端末が他人の手に渡ってしまったとき、その端末にデータを保護してくれる機能が備わっていると安心ですよね。Windowsには、端末のハードディスクを始めとするさまざまなディスクの暗号化を行うセキュリティ機能があり、これを「BitLocker」といいます。今回は、BitLockerで行う端末データ保護について解説します。

BitLockerの前提技術、TPMとは何か?

ディスクのデータ保護を行う「BitLocker」は、その技術基盤として「TPM」というセキュリティ技術を使っています。まずはこのTPMについて見ていきましょう。

TPM(TPM:Trusted Platform Module)とは、PC端末の基盤に搭載されているICチップまたはモジュールで、「セキュリティチップ」とも言われています。TCG(Trusted Computing Group)というベンダーグループで定義されたセキュリティの仕様に準拠しています。

TPMには、公開鍵暗号(RSA)演算と鍵生成、SHA-1のハッシュ値演算、乱数生成、デジタル署名生成の機能があります。生成した鍵や演算で得たハッシュ値などの値はTPM内に保持している不揮発性メモリに保存しておくことができ、そのメモリ部分には外部機器からアクセスはできません。つまりこのチップ内で安全に暗号化・復号、デジタル署名の生成・検証と鍵の管理を行うことができるということです。

なお、最新のバージョンであるTPM2.0では、SHA-256や楕円曲線暗号、AESなどの多数の暗号化アルゴリズムに対応しており、Windows10でもTPM2.0の使用が必須要件となっています。

このTPMを使うことで、端末の個体識別や認証、OSやアプリケーションの改ざん検知、ハードディスクの暗号化など端末のセキュリティを強固にすることができるのです。

TPMの利点は、OSやアプリケーション、ディスクから独立した端末ハードウェアの一部であるということです。

例えば、アプリケーション型の暗号化ソフトでは、その鍵をディスク上に保存することになります。その場合、ディスクごと持ち出されたら、鍵データも一緒に持ち出されてしまいます。しかしながら、TPMはそれ自体に鍵を保存しているため、ディスクだけでは鍵を得ることができません。さらに、TPMは保存された鍵データが漏えいしないよう、耐タンパー性も有しています。

耐タンパー性とは、機器からそのデバイスを取り出し、データに不正にアクセスを試みても読み取れなくする対策を取っていることをいいます。

これによりデータの強固な暗号化のみならず、機器から取り出されても使えない状態になることで、データを守ります。

また、アプリケーションタイプの暗号化ソフトでは、端末固有の個体認証キーをそのアプリケーション内で生成することになるためどうしても個体の特定性が弱まります。しかしTPMではチップ内で固有のキーを作り保存しておけるため、端末認証のなりすましを防げるのです。更には、このハードウェアに依存したキーを使ってアプリケーションやデータの保護を行えば、万が一、他の端末への不正コピーが行われてもデータを復号して読み取ることができません。

TPMのメリットをまとめると以下のようになります。

・データやアプリケーションの不正コピーを強固に防止できる
・耐タンパー性があり外部からの情報盗み見ができない
・ハードウェア固有のキーを使った堅牢な端末認証が行える

端末特有のキーを使った暗号化は、デメリットになることもあります。もし、その端末が壊れてしまったら、ディスクだけ他の端末に付け替えても読み取ることもできなくなります。もちろん、大切な業務データを一端末のみに保存してあるということはレアケースであると思いますが、今のご時世であれば、Office365+OneDriveなどを用いてクラウドストレージへ自動でバックアップされるような構成が必要でしょう。
 

では、BitLockerとは何か?

BitLockerは、このようなTPMのディスク暗号化機能の一部を使って、ハードディスクやSSDなどのデータの暗号化を行います。

BitLockerはWindows OS固有の機能であり、Windows Vista/Windows Server 2008から導入された機能です。これには、HDDやSSDなどのPCに内蔵されたディスクを保護するための「BitLocker」と、USBメモリなど外付けのディスクを保護するための「BitLocker To Go」の2種類があります。どちらも、エクスプローラーからボリュームを選択してBitLockerの有効化設定を行うことで、ディスクを暗号化することができます。

内蔵ディスクを保護するBitLockerは、OSを含むC:ドライブに関してはTPMを使った認証が行われ、ユーザーがパスワードを入れるなどの操作を行う必要はありません。もし、より堅牢な保護をしたい場合はPINコード(8~20桁の数字列の入力)やスタートアップキーと呼ばれるUSBメモリに保存した外部キーを併用することができます。

その他のドライブの場合は、使用時にそのドライブごとに認証を行うことが必要であり、ドライブに対しての認証は、パスワードとスマートカードのどちらかもしくは両方を使用します。

パスワードは大文字、小文字、数字、空白文字、記号から成るユーザー任意のパスワードを設定できます。またスマートカードには、PINコードつきのICカードの利用が可能です。

このようにBitLockerによる暗号化は、ドライブのファイルシステムのタイプに関係なく利用することができます。

もう一方の“BitLocker”、 BitLocker To Goでは、外付けのUSBメモリやディスクに対し、パスワードかスマートカードによる認証を行います。尚、BitLocker To Goはリムーバブルディスクを対象としており、前述のTPM機能は使われておらず、暗号化されたディスクは別の端末上でも暗号化解除を行うことができます。

しかしながら、「パスワードを忘れてしまった」、「スマートカードを紛失した」など、不測の事態が起こらないとも限りません。そんな場合の救済策として、数列から成る「回復パスワード」やバイナリデータの「回復キー」というキー情報を設定しておくことができます。
このキー情報があれば、暗号化されたデータを読み込むことができます。また、この他にも、Windowsアカウント情報でも救済措置的に解除を行う機能があります。

このように救済方法はいくつかあるのですが、緊急の場合に使うキーなので、解除用パスワードとは別の場所に保管するようにします。

しかしながら、救済を行うためには情シスが全てのパスワードやキーについては管理が必要となり、単純に考えれば負担が増える方向になるので、その運用にも注意が必要です。
 

デメリットも知って賢く使おう

このように、BitLockerではディスクの内容を簡単な操作で暗号化でき、紛失や盗難の対策をとることができます。パスワードだけでなく外部キーなども使えるため多要素認証となり、より安全に使うことができるでしょう。

しかしながら、ユーザーの手間・管理コストとセキュリティの堅牢性にはトレードオフの関係があります。全てのディスクを暗号化しておけば安心ですが、毎回毎回PCを開くたびに使うディスクごとにパスワードを入れるのは、タイムロスとも言えます。

複数の解除方法が設定できることはパスワード忘れのリスクヘッジになりますが、それらの複数のパスワードやキーの管理を行わなければなりません。また、BitLockerを有効化するとパフォーマンスに10%未満のオーバーヘッドが発生するとMicrosoft DocsのFAQに記されています。但し、オーバーヘッドについてはBitLockerに限ったことではなく、他の暗号化ソフトでも多少の差があれども同じことが言えます。

また、BitLockerに限ったデメリットもあります。

Windowsの管理者権限を持つユーザーでログインした場合は、誰でも暗号化解除を行うことができてしまいます。これでは運用のしかたによってはデータを危険にさらしてしまうため、情シスのみが管理者権限を持つようにするなど、権限の管理設定をする必要があるでしょう。

管理コストにデメリットはあるものの、採用している企業も多いようです。Microsoft製ということでWindowsの管理・操作と相性が良いことも採用理由の一つでしょう。

 

GDPRが施行されてから7カ月。先日、Googleはフランスの規制当局CNIL(情報処理と自由に関する国家委員会)から、GDPRに違反したとして5000万ユーロ(約62億円)の罰金支払いを命じられるなど、プライバシー情報の取り扱いはより厳しくなっています。

趣旨は異なるものの、個人情報を守るという文化は醸成しつつあるといえるでしょう。その為、企業はデータ保護対策をしっかりと行う必要があります。原本データだけでなく、ちょっとした作業のために端末に記録していたデータだとしても、情報漏えいしてしまった場合の企業ダメージは甚大なものとなります。可搬する端末であれば、なおのことしっかりとデータ保護の措置をしておかねばなりません。

データ暗号化ソフトの特徴を理解し、機能面で足りないところは運用でカバーして使うのがベストではないでしょうか。セキュリティにおいて管理コストはもはや必要経費なのです。

 

【執筆:編集Gp 星野 美緒】

関連記事

ピックアップ記事

  1. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  2. 平成31年、とうとう平成最後の年が幕を開けた。先日、安倍首相は三重県伊勢市での年頭記者会見で、「5月…
  3. 経済の新たな原動力として注目されるAPI。業務システムとしてクラウド(SaaS)を利用することが一般…
  4. 不朽の名作と名高いRPGの開発をはじめ、数々の有名IPのソーシャルゲーム開発を手がけてきたオルトプラ…
  5. PCNW(PC・ネットワークの管理・活用を考える会)が、東京会場における今期最初の勉強会「第一回クラ…
  1. 使える! 情シス三段用語辞典84「クローニング」

  2. 【情シス×ストレッチ】手首疲労対策ストレッチ「手首レッチ③」~第12回~

  3. 【知っ得言語】「Python」~特徴と学ぶべきその理由~

  4. 【情シスTips】もう怖くない!サービスとして活用するWindows10(第1回)

  5. Javaの無償サポート終了、放置しておく危険性とその影響

  6. 【情シス基礎知識】~Windows10を学ぶ~サービスチャネルと機能更新の関係

  7. PCNW「YOUはどうして情シスに?」第三回クライアント勉強会@東京

  8. 【情シス×ストレッチ】手首疲労対策ストレッチ「手首レッチ①」~第10回~

  9. いまさら聞けない【情シス基礎知識】Javaの種類と有償化の関係

  10. 【知っトク技術】秘密計算とは何か?

関連サービス

情シス採用 人材紹介サービス

情シスの戦略・企画人材育成

情シス向け業務支援ツール

おすすめ記事

  1. オラクル(Oracle)による無償サポート終了で今やホットなキーワードである「Java」。自分のPC…
  2. Windowsに無料でついてくるセキュリティソフト「Windows Defender」。わざわざセキ…
  3. 欧州でのGDPR(一般データ保護規則)の施行や企業情報を狙ったサイバー犯罪の流行の中、情シスは顧客情…
  4. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
  5. 2000年にリリースされたWindows 2000 Server で初めて登場したActive Di…
  6. ついにスタートした「GDPR」。世界から注目を集めるEUの個人データ保護規制です。EUに所在する人の…
ページ上部へ戻る