【解説】
「Windows Server 2008＆Vista」最適活用講座［Part1］

クライアントの導入・運用コストを削減する管理機能

（2008年06月09日）

【BitLocker】
グループポリシーによるBitLockerキー管理
Active Directoryストアへの安全なバックアップ

　Windows Vista EnterpriseとUltimateには、システムを含むドライブ全体を暗号化するテクノロジー「BitLockerドライブ暗号化」が搭載されている。BitLockerドライブ暗号化は、暗号化キーをTPM（Trusted Platform Module）に格納して管理しているので、不正な方法で強引にキーやデータを吸い上げる攻撃に耐性が高い。

　また、PIN（個人識別番号）の入力やUSBメモリに格納されたキーと併用することで、盗難時のシステムやデータへの被害を最小化できる。TPM非搭載のコンピュータでも、USBメモリで代用することが可能だ（画面5）。

画面5●　BitLockerドライブ暗号化は、盗難対策や廃棄対策として有効であるが、キー紛失・破損時の回復手段を確保しておくことが重要だ

　BitLockerドライブ暗号化は、コンピュータの紛失や盗難への備えとして有効であるだけでなく、コンピュータやハードディスク廃棄時の安全性を高める効果もある。ドライブ全体が暗号化されているので、廃棄するときでもデータの削除を考慮しなくてよいのだ。

　一方で、PINを忘れた、USBデバイスを紛失・破損した、あるいはTPMが破損したという場合に、回復できるように備えておくことが重要になる。BitLockerドライブ暗号化は、キー更新時に回復パスワードを提供することで、1つの回復手段を提供してくれるが、企業ユースでは十分な対策ではないだろう。例えば、退社した社員のコンピュータを強制的に復号するためにも、回復パスワードやキーを中央で管理しておきたい。

　Windows Server 2008のActive Directoryドメインサービスは、標準でBitLockerキーのバックアップ用ストアとして利用できる。Active DirectoryドメインサービスをBitLockerキーのバックアップ用に構成するには、グループポリシーの次の場所にあるポリシーを有効にするだけでよい。

●「コンピュータの構成」 → 「ポリシー」 → 「管理用テンプレート」 → 「Windowsコンポーネント」 → 「BitLockerドライブ暗号化」 → 「Active DirectoryドメインサービスへのBitLockerバックアップを有効にする」

　このポリシーを利用することにより、ドメインに参加するコンピュータで、BitLockerドライブ暗号化を有効、およびキーを更新した際に、自動的にTPMオーナーパスワードのハッシュ、回復パスワード、およびキーパッケージがActive Directoryのデータストアに安全に格納される（画面6）。