Windows To Go、BitLocker とゴー|Windows Server|ブログ|Computerworld

Windows Developer Previewの新機能「Windows To Go」の話題が続きますが、とりあえず今回を最終回にします。今回は、Windows To GoとBitLockerドライブ暗号化(BitLocker To Go?)の組み合わせの話。Windows To Goを持ち歩くなら、BitLockerドライブ暗号化による保護との組み合わせが必要ですねという話です。

Windows To Goを利用すると、完全なWindows環境を小さく持ち歩けて、行く先々(自宅のPCとか出張先のPCとか)のデバイスに自分の環境を復元できて便利です。ちなみに、小さく持ち歩けるとは、デバイスの大きさのこと。ディスクサイズは推奨32GB以上と大きいです。Windows To Goの中身は普通のフルインストールのWindows、ミニサイズのWindowsがあるわけではありません。

こちらご覧ください。Windows Developer Previewが入っているWindows To GoのブータブルUSBメモリを、Windows 7のPCに接続して、中身を見たところです。丸見えです。

USBデバイスは小さいので、紛失に気を付けないといけません。出先のPCに差し込んだまま、抜いて持ち帰るのを忘れることもありそうです。中身が丸見えだと、重要なデータを盗まれてしまうかも。そのUSBデバイスを挿してPCを起動したら、自動的に大企業のネットワークに接続され、簡単に侵入されちゃったりして。それは大変なことになりそうです。

というわけで、Windows To Goの利用は、デバイスの暗号化とセットでないと危なくてしかたありません。そして、Windows To Goは、BitLockerドライブ暗号化に対応しています。固定のローカルディスクでBitLockerドライブ暗号化を利用するのと同じように、USBデバイスの領域をパーティション分割して、暗号化の対象外となるアクティブパーティション(300MB必要)を準備して、その中にブート環境を配置します。USB メモリだとやっかいですが (Windows の標準機能では USB メモリに 1 パーティションしか作れないようです)、USB 外付けハードディスクならパーティションを簡単に準備できます。

USBデバイス内でブート環境を分割することで、OSのボリュームをBitLockerドライブ暗号化で暗号化できるようになります。ただし、特定のPCに固定されないWindows To Goの場合、PCのTPMを利用した保護はできないので、ローカルポリシーでTPMを使用しない保護を許可(Windows Components\BitLocker Drive Encryption\Operating System Drives\Require additional authentication at startupをEnabledにして、Allow BitLocker without compatible TPMをチェック)してからBitLockerをオンにします。なお、ドライブのロック解除は、PINやUSBキーではなく、BitLocker To Go(リムーバブルメディアの暗号化)と同じパスワードになります。

暗号化が100% 完了するまでにはかなり時間がかかりますが、途中で再起動しても大丈夫。ドライブはロックされますし、起動すると暗号化処理が再開します。なお、Windows 7 まではドライブ全体を、未使用部分を含めて暗号化していましたが、Windows 8 では使用領域のみを暗号化するオプション (Encrypt used disk space only) が提供されました。クリーンな新しいメディアに Windows をインストールした場合は、そのオプションを利用することで、暗号化処理の時間を節約できます。

暗号化されたWindows To GoデバイスからPCを起動すると、このようなパスワード入力画面が表示されます。ロック解除のパスワードを入力すれば、あとは普通にWindowsが起動します。

では、BitLockerドライブ暗号化で保護されたWindows To Goデバイスを拾った人にはどう見えるでしょう。BitLocker To Goに対応しているWindows 7なら、BitLocker To Goの暗号化デバイスと同じような扱いになります。ロック解除のパスワードを入力しない限り、中身を見ることはできません。

BitLockerドライブ暗号化やBitLocker To Goは、Windows 7 Enterpriseで提供される企業向け機能。やっぱり、BitLockerドライブ暗号化なしではリスクが大きいWindows To Goもまた、企業向けの機能ということになるんでしょうね。

じゃあ、全部入りのWindows 8 Ultimate(DSP版)をUSBメモリとセットを買えばできるんじゃと思うかもしれません。その場合、別のPCに接続するたびに、ハードウェアの変更と扱われ、その都度、ライセンス認証が要求されることになるんじゃあないでしょうか。たぶん、2回目以降はオンラインでは認証に失敗し、電話でのライセンス認証ということになるんでしょう。そのとき、問題のない再認証であるとオペレーターが判断して認証キーをくれるとは思えません。BUILD カンファレンスにおける Windows To Go のプレゼンテーションを見る限り、Windows To Goのデバイス間ローミングは、企業内のボリュームライセンス認証基盤で実現されるようです。

Running Windows from an external USB drive with Windows To Go (Steve Silverberg - Principal Lead Program Manager Microsoft Corporation) より