2018年12月17日

PC紛失・盗難リスクに備えて… BitLockerでディスク暗号化を!


舘です。

最近は働き方改革の1つとしてテレワークを導入する企業が増えています。
オフィス内に限らず、自宅やカフェなど様々な場所で仕事ができるということで
モバイルPCを職場外へ持ち出す機会も増えていくと思われます。

そんな時代だからこそ注意しなければいけないのが
PCやデータ記録媒体を紛失してしまった際の情報漏えいリスクです。

情報漏えい対策として挙げられる、DLPやネットワークセキュリティ製品は
データの持ち出しや不正アクセスによる情報漏えいを防ぐ手立てとしては有効ですが
PCをまるごと盗まれてしまえば内蔵ディスクからいくらでもデータを読み取れてしまいます。

そこで今回はPCの紛失・盗難自体に備える手法として
ディスクのデータを暗号化し守ってくれる"BitLocker"をご紹介します。


■BitLockerとは

Windows Vista以降のWindowsに標準搭載されているディスク暗号化機能です。

ただし、Windowsのエディションによって利用できる機能に違いがあり
Windows10であれば、ProとEnterpriseエディションのみディスクの暗号化に対応しています。
Homeエディションは暗号化されたディスクの中身を読み書きすることはできますが
暗号化自体には対応していませんのでご注意ください。

BitLockerの特徴としてTPM(マザーボード上のセキュリティチップ)をキーとして利用します。
これにより同じデバイス上であればユーザーは暗号化されていることを意識せずデータを利用できます。

なお、TPMが搭載されていないPCでもUSBメモリを外部キーとしたり
毎回パスワード入力を行うことで、TPMの代わりとすることができますが
少し事前の設定変更が必要になるので以下の手順をご確認ください。


■BitLockerを有効化する手順

では、早速BitLockerの有効化方法です。
今回はCドライブの暗号化を例として説明します。

1.まずスタートメニューからコントロールパネルを開きます。


2.コントロールパネル内の「BitLockerドライブ暗号化」をクリックし開きます。


3.BitLockerの操作画面が開きます。
 まず、右下にある「TPMの管理」をクリックし、お使いのPCでTPMが利用可能か確認しましょう。


4.下の図のように状態の項目に「TPMは使用する準備ができています。」と
 記載されていればお使いのPCにTPMが搭載/有効化されています。
 早速、【TPMが有効の場合】の手順へ進んでください。

 「互換性のあるTPMが見つかりません。」と表示さる場合
 お使いのPCではTPMが搭載されていないか、BIOS設定で無効になっています。
 少し下へスクロールして【TPMが無効の場合】の手順へ進んでください。

 (BIOS設定の問題であればTPMの有効化が可能です。
 ただ、BIOS設定については迂闊に変更するとPC起動ができなくなるリスクもありますので
 変更方法を熟知している方以外はメーカーサポート等に確認することをおすすめします。)





【TPMが有効の場合】

5.「TPMの管理」画面を閉じBitLokerの操作画面へ戻ります。
 画面中央の「BitLocker」を有効にするをクリックし
 BitLockerの設定ウィザードを開きましょう。



6.ここからは設定ウィザードの案内に沿って進めていきます。
 まず、デバイスの変更などでTPMでのロック解除ができない場合に使用する
 ”回復キー”の出力方法を「ファイル保存」と「印刷」から選びます。
 どちらも出力される”回復キー”は同じなので管理のし易いほうを選択しましょう。


7.続いて暗号化する範囲の選択です。
 「使用済み領域のみ」を選択すると、ディスク使用容量が少ない場合には
 比較的高速に暗号化が進みます。

 ただし、過去に削除済みのデータでも専用のツールを用いることで
 データ復元が可能な場合が多々あります。 
 なので、既に使用を開始しているPCを途中で暗号化する場合などは
 「ドライブ全体」を選択し削除済みデータも含めて暗号化することをお勧めします。


8.次は暗号化モードの選択です。
 Windows10のバージョン1511(2015年11月リリース)以降で
 新たに導入された暗号化形式か、それ以前の暗号化形式か
 どちらかを選択する必要があります。

 今回の例のようにCドライブを暗号化する場合は
 過去のOSで閲覧することは無いと思われますので
 「新しい暗号化モード」を選択することをお勧めします。


9.最後に「BitLockerシステムチェック」を実行するかどうかを選択します。
 これはお使いのPCが暗号化後にTPMでロック解除できるかを検査してくれる機能です。

 ただ、再起動が必要になってしまうのと万が一TPMでのロック解除ができなくても
 先程出力した回復キーがあれば復号化できるので、今回はチェックを外し実行しない設定にしました。

 さて、あとは「暗号化の実施」をクリックすればBitLockerでの暗号化が始まります。


9.暗号化を開始すると暗号化の進捗状況を示すウィンドウが表示されます。
 100%の表示になればBitLockerによるディスク暗号化が完了です。
 なお、暗号化途中でシャットダウンしても次回起動時に途中から暗号化処理が再開されますのでご安心ください。


10.暗号化完了後に再度コントロールパネルからBitLocker操作画面を開くと
 「BitLockerが有効です」と表示されているはずです。



【TPMが無効な場合】

5.TPMが有効になっていないPCでBitLocker設定ウィザードを開くと
 標準設定の場合、下の図のようなエラーになってしまいます。


6.そこで、設定を変更しTPMが無い端末でもBitLockerを利用できるようにします。
 まず、キーボードの「Windowsキー」と「R」を同時押しして
 "ファイル名を指定して実行"を開き「gpedit.msc」と入力し「OK」をクリックします。


7.”ローカルグループポリシーエディター”が開きますので左列メニューから
 コンピューターの管理>管理用テンプレート>Windowsコンポーネント>BitLockerドライブ暗号化>オペレーションシステムのドライブ
 の順に展開していきます。

 右列の中から「スタートアップ時に追加の認証を要求する」をダブルクリックし開きます。


8.「スタートアップ時に追加の認証を要求する」の設定画面がひらきます。
 デフォルトだと「未構成」にチェックが入っていますので「有効」に変更してください。

 さらに「互換性のあるTPMが装備されていないBitLockerを許可する」の項目に
 チェックが入っていることを確認し「OK」をクリックして閉じます。


9.”ローカルグループポリシーエディター”も閉じて、BitLockerの操作画面へ戻ります。

 「BitLockerを有効にする」をクリックしてBitLocker設定ウィザードを開きましょう。


10.BitLocker設定ウィザードを開くとTPMの代わりに使用する
   ロック解除方法を選択する画面になります。
  「USBフラッシュドライブを挿入」か「パスワードを入力」のどちらかを選択できるので
  お好みに合わせて選択してください。

  なお、USBフラッシュドライブを選択しても、使用するUSBメモリが"キー専用"に
  なるわけでなく、通常のデータ保管にもそのまま利用できますのでご安心ください。


  ここまでがTPMが無効の場合に必要な追加手順です。
  ロック解除方法を選択したあとは【TPMが有効の場合】の6〜と同じ手順になります。


・・・


いかがでしたでしょうか。
今回はBitLockerの簡単な紹介と暗号化方法を説明させていただきました。

TPMが搭載されているPCであれば
数クリックで簡単にディスク暗号化ができる
それがBitLockerの1番の魅力かもしれません。

次の機会にはコマンドプロンプトから暗号化する方法WindowsPEでのロック解除方法など
私が実際の現場で運用するにあたって「使えた」経験をまとめたいと思いますので是非そちらもご確認ください。

それではこのあたりで失礼いたします。
posted by 舘 at 08:59| Comment(0) | Windows・Office | このブログの読者になる | 更新情報をチェックする

2018年12月03日

氏名を自動でヘボン式ローマ字変換するのは難しい

こんにちは、滝澤です。


今日も変わらず、アカウント作成業務を実施していた時のこと。

私の業務では、日本語の氏名(姓・名)からメールアドレスを生成しており、

「ヘボン式ローマ字変換」をルールとしています。


手作業でのローマ字変換は手間なのでVBAを検討・調査し、

ローマ字変換までは可能となりましたが、

日本語の氏名(姓・名)からの「ヘボン式ローマ字変換」は目視チェックが必須となってしまいました。


今日は、

「氏名を自動でヘボン式ローマ字変換するのは難しい」について投稿したいと思います。


なぜ、氏名の自動ヘボン式ローマ字変換は難しいのか、

原因はヘボン式ローマ字変換のルールにある「長音」の扱いにあります。


長音ルール   :母音の重なりを1文字で表記する。

           (例: とおる→TORU 、 おおにし→ONISHI )


たとえば「広岡(ひろおか)」さんをヘボン式ローマ字変換する場合、

そのまま、ルールに沿うと、「hirooka」ではなく「hiroka」となってしまいます。

これは、「hirooka」の「oo」が含まれるためです。


しかしながら、日本語としては「広」「岡」と漢字が分かれるため、「hiro+oka」の「hirooka」と作成するのが望ましくあります。

その他の例:

ひろおかいのうえおおにしとおるこうじ
HirookaInoue×Oonishi×Tooru×Kouji
×Hiroka×InoeOnishi○Toru
○Koji

その他の氏名でも上記のように、日本語の区切りを判別して長音を1文字とするか判断する必要があります。


上記以外の方式として、「氏名のパターン」を組み込むこともを検討しましたが、どちらも実現が難しく断念しました。

 ・「氏名のパターン」を組み込む : パターンが膨大で漏れが発生する

 ・「日本語の区切りを判別」する : パターンが膨大で漏れが発生する


結論としては、

最低でも氏名を入力するどこか1つのシステムで目視チェックが必要になるという、ありきたりなものになってしまいました。


「「氏名を自動でヘボン式ローマ字変換するのは難しい」」

それではこの辺で失礼します。

posted by 滝澤 at 12:04| Comment(2) | 運用保守 | このブログの読者になる | 更新情報をチェックする