ビジネス・モバイルの紛失・盗難対策に「TPM」は必須
Windows 7 Enterprise/Ultimateユーザーは「BitLockerドライブ暗号化」を活用しよう外に持ち歩くことを前提としたビジネス・モバイルは、万全のセキュリティ対策が必要だ。強固なパスワードの設定、ファイアウォールの有効化、マルウェア対策は常識的に必須である。また、コンピュータ起動時にBIOSレベルの管理者パスワードを要求することもできる。
しかしこれらの対策は、悪意のある第三者がコンピュータをそのままの状態で不正にアクセスしようとすることに対して効果があるが、ハードディスクを抜かれてファイルシステムにオフラインでアクセスされた場合の対策にはならない。
Windows 7 EnterpriseおよびUltimateには、こうした場合に有効な、ドライブ全体を暗号化して保護する「BitLockerドライブ暗号化」機能が備わっている。
BitLockerドライブ暗号化は、Windowsのシステムを含むボリューム(ブートボリューム)やデータボリューム全体の暗号化と、初期ブートコンポーネント(ブートセクタなど)とブート構成データの検証による不正な起動のロックにより、ボリューム内のデータを高度に保護するものだ。また、リムーバブルメディアドライブの暗号化に対応した「BitLocker To Go」を備えている。
BitLockerドライブ暗号化を用いて適切なレベルのセキュリティを確保するには、TPM(Trusted Platform Module)チップが搭載されたモデルを選択しなければならない。
BitLockerドライブ暗号化は、TPMを用いて起動時の検証を行い、検証をパスするとTPMに封印されたキーを用いてボリュームの暗号化を解除する。ユーザーはOS起動後に、暗号化されていない通常のボリュームと同じようにファイルシステムを利用することができるというわけだ。
TPMを利用することで、ハードディスクとは別の安全な場所にキーを格納できる。そのためハードディスクを抜くといったオフラインアクセスに対するセキュリティが高い。また、TPMに加えて起動時にUSBメモリを使用したスタートアップキーやPIN(Personal Information Number)の入力を求めるように構成することで、セキュリティレベルをさらに強化できる。
TPMを搭載していないコンピュータでも、USBスタートアップキーのみでBitLockerドライブ暗号化を利用することができるが、TPMに比べてセキュリティレベルは格段に劣る。暗号化の強度に変わりはないが、キーの入ったUSBメモリを挿したままのコンピュータを紛失、盗難された場合を考えてみればわかるだろう。
BitLockerドライブ暗号化は、Windows Vista EnterpriseおよびUltimateに初めて搭載された機能だ。しかし、当時はMBR(マスターブートレコード)やブートセクタ、およびブートローダーを含む非暗号化ボリュームを準備する必要があり、簡単に導入できるというものではなかった。
Windows 7では、標準のインストールでBitLockerドライブ暗号化対応のボリュームが自動構成(ディスクの初めのほうから100MBを暗号化されないブートローダー用に確保)されるため、TPMを搭載し利用可能になっていれば、ドライブの右クリックメニューから簡単に暗号化を開始できる。Windows 7 Enterprise/Ultimateユーザーは、ぜひ活用してほしい。
(山市良/ライター)
