いまさら聞けない【情シス知識】BitLockerとTPMとは

欧州でのGDPR(一般データ保護規則)の施行や企業情報を狙ったサイバー犯罪活動が流行する中、情シスは顧客情報や業務データの保護に奔走していることでしょう。今回はWindows OSの機能として提供され、端末上のデータ保護策の一つである、ディスク(ドライブ)暗号化機能BitLockerについて解説します。

あなたはもうWindows10には乗り換えましたか?

Windows 7の延長サポート終了を2020年1月に迎え、PC保全の観点からも、Windows10へのアップグレードやWindows 10搭載PCへの切り替えを行う企業も多いことでしょう。さて、このWindows 10ですが、さまざまなセキュリティ機能が多数備わっていることをご存知でしょうか?
不正URLのクリックやマルウェアのダウンロードを警告してくれる「SmartScreen」機能、OS付属ウイルスソフト「Windows Defender」。
今やクラウド活用が主流となっており、そういったインターネットを介して襲いかかってくる脅威への対策がとられています。

しかし、ここで忘れてはいけないのが、端末そのものの堅牢なセキュリティ対策です。EPP+EDRなどのウィルスやマルウェアなどの対策もさることながら、よく耳にするのは「忘年会の帰りにうっかりPCをどこかに置き忘れた」などというインシデント例です。
これについては、毎年端末取り扱いについての注意喚起や網棚におかないなどの啓蒙活動が各社で行われることと思いますが、万が一端末からディスク(ドライブ)本体を抜き取られたり、USBメモリなどの媒体を落としてしまったりと端末が他人の手に渡ってしまったとき、その端末にデータを保護してくれる機能が備わっていると安心ですよね。

Windowsには、端末のハードディスクを始めとするさまざまなドライブ暗号化を行うセキュリティ機能(管理ツール)があり、これを「BitLocker」といいます。今回は、BitLockerで行う端末データ保護について解説します。

 

BitLockerの前提技術、TPMとは何か?

ディスクのデータ保護を行う「BitLocker」は、その技術基盤として「TPM」というセキュリティ技術を使っています。まずはこのTPMについて見ていきましょう。

TPM(TPM:Trusted Platform Module)とは、PC端末の基盤に搭載されているICチップまたはモジュールで、「セキュリティチップ」とも言われています。TCG(Trusted Computing Group)というベンダーグループで定義されたセキュリティの仕様に準拠しています。

TPMには、公開鍵暗号(RSA)演算と鍵生成、SHA-1のハッシュ値演算、乱数生成、デジタル署名生成の機能があります。生成した暗号鍵や演算で得たハッシュ値などの値はTPM内に保持している不揮発性メモリに保存しておくことができ、そのメモリ部分には外部機器からアクセスはできません。つまりこのチップ内で安全に暗号化・復号、デジタル署名の生成・検証と暗号鍵の管理を行うことができるということです。

なお、最新のバージョンであるTPM2.0では、SHA-256や楕円曲線暗号、AESなどの多数の暗号化アルゴリズムに対応しており、Windows10でもTPM2.0の使用が必須要件となっています。このTPMを使うことで、端末の個体識別や認証、OSやアプリケーションの改ざん検知、ハードディスクの暗号化など端末のセキュリティを強固にすることができるのです。

TPMの利点は、OSやアプリケーション、ディスクから独立した端末ハードウェアの一部であるということです。

例えば、アプリケーション型の暗号化ソフトでは、その鍵をディスク上に保存することになります。その場合、ディスクごと持ち出されたら、鍵データも一緒に持ち出されてしまいます。しかしながら、TPMはそれ自体に鍵を保存しているため、ディスクだけでは鍵を得ることができません。さらに、TPMは保存された鍵データが漏えいしないよう、耐タンパー性も有しています。

耐タンパー性とは、機器からそのデバイスを取り出し、データに不正にアクセスを試みても読み取れなくする対策を取っていることをいいます。X線により内部構造を確認する、チップ自体をスライスして中の回路構造を読み出すなど様々なリバースエンジニアリングにも耐えられる構造になっているのです。
これによりデータの強固な暗号化のみならず、SSDやハードディスク(HDD)が機器から取り出されても使えない状態になることで、データを守ります。

また、アプリケーションタイプの暗号化ソフトでは、端末固有の個体認証キーをそのアプリケーション内で生成することになるためどうしても個体の特定性が弱まります。しかしTPMではチップ内で固有のキーを作り保存しておけるため、端末認証のなりすましを防げるのです。更には、このハードウェアに依存したキーを使ってアプリケーションやデータの保護を行えば、万が一、他の端末への不正コピーが行われてもデータを復号して読み取ることができません。

TPMのメリットをまとめると以下のようになります。

・データやアプリケーションの不正コピーを強固に防止できる
・耐タンパー性があり外部からの情報盗み見ができない
・ハードウェア固有のキーを使った堅牢な端末認証が行える

端末特有のキーを使った暗号化は、デメリットになることもあります。もし、その端末が壊れてしまったら、ディスクだけ他の端末に付け替えても読み取ることもできなくなります。もちろん、大切な業務データを一端末のみに保存してあるということはレアケースであると思いますが、今のご時世であれば、Office365+OneDriveなどを用いてクラウドストレージへ自動でバックアップされるような構成が必要でしょう。

 

では、BitLockerとは何か?

BitLockerは、このようなTPMのディスク暗号化機能の一部を使って、HDDやSSDなどの記憶装置内のデータの暗号化を行います。

BitLockerはWindows OS固有の機能であり、Windows Vista/Windows Server 2008から導入された機能です。
これには、HDDやSSDなどのPCに内蔵されたディスクを保護するための「BitLocker」と、USBメモリなど外付けのディスクを保護するための「BitLocker To Go」の2種類があります。
どちらも、エクスプローラーからボリュームを選択してBitLockerの有効化設定を行うことで、ディスクを暗号化することができます。

内蔵ディスクを保護するBitLockerは、OSを含むC:ドライブに関してはTPMを使った認証が行われ、ユーザーがパスワードを入れるなどの操作を行う必要はありません。もし、より堅牢な保護をしたい場合はPINコード(8~20桁の数字列の入力)やスタートアップキーと呼ばれるUSBメモリに保存した外部キーを併用することができます。

その他のドライブの場合は、使用時にそのドライブごとに認証を行うことが必要であり、ドライブに対しての認証は、パスワードとスマートカードのどちらかもしくは両方を使用します。

パスワードは大文字、小文字、数字、空白文字、記号から成るユーザー任意のパスワードを設定できます。またスマートカードには、PINコードつきのICカードの利用が可能です。

このようにBitLockerによる暗号化は、ドライブのファイルシステムのタイプに関係なく利用することができます。

もう一方の“BitLocker”、 BitLocker To Goでは、外付けのUSBメモリやディスクに対し、パスワードかスマートカードによる認証を行います。尚、BitLocker To Goはリムーバブルディスクを対象としており、前述のTPM機能は使われておらず、暗号化されたディスクは別の端末上でも暗号化解除を行うことができます。

しかしながら、「パスワードを忘れてしまった」、「スマートカードを紛失した」など、不測の事態が起こらないとも限りません。そんな場合の救済策として、数列から成る「回復パスワード」やバイナリデータの「回復キー」というキー情報を設定しておくことができます。
このキー情報があれば、暗号化されたデータを読み込むことができます。また、この他にも、Windowsアカウント情報でも救済措置的に解除を行う機能があります。

このように救済方法はいくつかあるのですが、緊急の場合に使うキーなので、解除用パスワードとは別の場所に保管するようにします。

しかしながら、救済を行うためには情シスが全てのパスワードやキーについては管理が必要となり、単純に考えれば負担が増える方向になるので、その運用には注意が必要です。

>サイバー攻撃の被害が拡大していることからも、データを暗号化する機能「BitLocker To Go」の重要性は必須だといえます。
下記記事では、使い方や動作要項、対応OSなど実用的なポイントも解説しております。

>関連記事「基本的な機能の使い方と対応環境をご紹介 BitLocker To Go

 

デメリットも知って賢く使おう

このように、BitLockerではディスクの内容を簡単な操作で暗号化でき、紛失や盗難の対策をとることができます。パスワードだけでなく外部キーなども使えるため多要素認証となり、より安全に使うことができるでしょう。

しかしながら、ユーザーの手間・管理コストとセキュリティの堅牢性にはトレードオフの関係があります。全てのディスクを暗号化しておけば安心ですが、毎回毎回PCを開くたびに使うディスクごとにパスワードを入れるのは、タイムロスとも言えます。

複数の解除方法が設定できることはパスワード忘れのリスクヘッジになりますが、それらの複数のパスワードやキーの管理を行わなければなりません。また、BitLockerを有効化するとパフォーマンスに10%未満のオーバーヘッドが発生するとMicrosoft DocsのFAQに記されています。
但し、オーバーヘッドについてはBitLockerに限ったことではなく、他の暗号化ソフトでも多少の差があれども同じことが言えます。

また、BitLockerに限ったデメリットもあります。

Windowsの管理者権限を持つユーザーでログインした場合は、誰でも暗号化解除を行うことができてしまいます。これでは運用のしかたによってはデータを危険にさらしてしまうため、情シスのみが管理者権限を持つようにするなど、権限の管理設定をする必要があるでしょう。

管理コストにデメリットはあるものの、採用している企業も多いようです。Microsoft製ということでWindowsの管理・操作と相性が良いことも採用理由の一つでしょう。さらに今後はFIDO対応の生体認証機能キーなどによりHWキーのような使い方でパスワードレスが実現できるかもしれません。そうなれば、暗号化しておくにこしたことはないでしょう。

 

GDPRが施行されてから7カ月。先日、Googleはフランスの規制当局CNIL(情報処理と自由に関する国家委員会)から、GDPRに違反したとして5000万ユーロ(約62億円)の罰金支払いを命じられるなど、プライバシー情報の取り扱いはより厳しくなっています。

趣旨は異なるものの、個人情報を守るという文化は醸成しつつあるといえるでしょう。その為、企業はデータ保護対策をしっかりと行う必要があります。原本データだけでなく、ちょっとした作業のために端末に記録していたデータだとしても、情報漏えいしてしまった場合の企業ダメージは甚大なものとなります。可搬する端末であれば、なおのことしっかりとデータ保護の措置をしておかねばなりません。

データ暗号化ソフトの特徴を理解し、機能面で足りないところは運用でカバーして使うのがベストではないでしょうか。セキュリティにおいて管理コストはもはや必要経費なのです。

■予実差異・費用対効果分析による、TCO最適化を支援します。

【執筆:編集Gp 星野 美緒】

関連記事

カテゴリー:

ナレッジ情シス知恵袋

情シス求人

  1. チームメンバーで作字やってみた#1

ページ上部へ戻る