2018年12月17日

PC紛失・盗難リスクに備えて… BitLockerでディスク暗号化を!


舘です。

最近は働き方改革の1つとしてテレワークを導入する企業が増えています。
オフィス内に限らず、自宅やカフェなど様々な場所で仕事ができるということで
モバイルPCを職場外へ持ち出す機会も増えていくと思われます。

そんな時代だからこそ注意しなければいけないのが
PCやデータ記録媒体を紛失してしまった際の情報漏えいリスクです。

情報漏えい対策として挙げられる、DLPやネットワークセキュリティ製品は
データの持ち出しや不正アクセスによる情報漏えいを防ぐ手立てとしては有効ですが
PCをまるごと盗まれてしまえば内蔵ディスクからいくらでもデータを読み取れてしまいます。

そこで今回はPCの紛失・盗難自体に備える手法として
ディスクのデータを暗号化し守ってくれる"BitLocker"をご紹介します。


■BitLockerとは

Windows Vista以降のWindowsに標準搭載されているディスク暗号化機能です。

ただし、Windowsのエディションによって利用できる機能に違いがあり
Windows10であれば、ProとEnterpriseエディションのみディスクの暗号化に対応しています。
Homeエディションは暗号化されたディスクの中身を読み書きすることはできますが
暗号化自体には対応していませんのでご注意ください。

BitLockerの特徴としてTPM(マザーボード上のセキュリティチップ)をキーとして利用します。
これにより同じデバイス上であればユーザーは暗号化されていることを意識せずデータを利用できます。

なお、TPMが搭載されていないPCでもUSBメモリを外部キーとしたり
毎回パスワード入力を行うことで、TPMの代わりとすることができますが
少し事前の設定変更が必要になるので以下の手順をご確認ください。


■BitLockerを有効化する手順

では、早速BitLockerの有効化方法です。
今回はCドライブの暗号化を例として説明します。

1.まずスタートメニューからコントロールパネルを開きます。


2.コントロールパネル内の「BitLockerドライブ暗号化」をクリックし開きます。


3.BitLockerの操作画面が開きます。
 まず、右下にある「TPMの管理」をクリックし、お使いのPCでTPMが利用可能か確認しましょう。


4.下の図のように状態の項目に「TPMは使用する準備ができています。」と
 記載されていればお使いのPCにTPMが搭載/有効化されています。
 早速、【TPMが有効の場合】の手順へ進んでください。

 「互換性のあるTPMが見つかりません。」と表示さる場合
 お使いのPCではTPMが搭載されていないか、BIOS設定で無効になっています。
 少し下へスクロールして【TPMが無効の場合】の手順へ進んでください。

 (BIOS設定の問題であればTPMの有効化が可能です。
 ただ、BIOS設定については迂闊に変更するとPC起動ができなくなるリスクもありますので
 変更方法を熟知している方以外はメーカーサポート等に確認することをおすすめします。)





【TPMが有効の場合】

5.「TPMの管理」画面を閉じBitLokerの操作画面へ戻ります。
 画面中央の「BitLocker」を有効にするをクリックし
 BitLockerの設定ウィザードを開きましょう。



6.ここからは設定ウィザードの案内に沿って進めていきます。
 まず、デバイスの変更などでTPMでのロック解除ができない場合に使用する
 ”回復キー”の出力方法を「ファイル保存」と「印刷」から選びます。
 どちらも出力される”回復キー”は同じなので管理のし易いほうを選択しましょう。


7.続いて暗号化する範囲の選択です。
 「使用済み領域のみ」を選択すると、ディスク使用容量が少ない場合には
 比較的高速に暗号化が進みます。

 ただし、過去に削除済みのデータでも専用のツールを用いることで
 データ復元が可能な場合が多々あります。 
 なので、既に使用を開始しているPCを途中で暗号化する場合などは
 「ドライブ全体」を選択し削除済みデータも含めて暗号化することをお勧めします。


8.次は暗号化モードの選択です。
 Windows10のバージョン1511(2015年11月リリース)以降で
 新たに導入された暗号化形式か、それ以前の暗号化形式か
 どちらかを選択する必要があります。

 今回の例のようにCドライブを暗号化する場合は
 過去のOSで閲覧することは無いと思われますので
 「新しい暗号化モード」を選択することをお勧めします。


9.最後に「BitLockerシステムチェック」を実行するかどうかを選択します。
 これはお使いのPCが暗号化後にTPMでロック解除できるかを検査してくれる機能です。

 ただ、再起動が必要になってしまうのと万が一TPMでのロック解除ができなくても
 先程出力した回復キーがあれば復号化できるので、今回はチェックを外し実行しない設定にしました。

 さて、あとは「暗号化の実施」をクリックすればBitLockerでの暗号化が始まります。


9.暗号化を開始すると暗号化の進捗状況を示すウィンドウが表示されます。
 100%の表示になればBitLockerによるディスク暗号化が完了です。
 なお、暗号化途中でシャットダウンしても次回起動時に途中から暗号化処理が再開されますのでご安心ください。


10.暗号化完了後に再度コントロールパネルからBitLocker操作画面を開くと
 「BitLockerが有効です」と表示されているはずです。



【TPMが無効な場合】

5.TPMが有効になっていないPCでBitLocker設定ウィザードを開くと
 標準設定の場合、下の図のようなエラーになってしまいます。


6.そこで、設定を変更しTPMが無い端末でもBitLockerを利用できるようにします。
 まず、キーボードの「Windowsキー」と「R」を同時押しして
 "ファイル名を指定して実行"を開き「gpedit.msc」と入力し「OK」をクリックします。


7.”ローカルグループポリシーエディター”が開きますので左列メニューから
 コンピューターの管理>管理用テンプレート>Windowsコンポーネント>BitLockerドライブ暗号化>オペレーションシステムのドライブ
 の順に展開していきます。

 右列の中から「スタートアップ時に追加の認証を要求する」をダブルクリックし開きます。


8.「スタートアップ時に追加の認証を要求する」の設定画面がひらきます。
 デフォルトだと「未構成」にチェックが入っていますので「有効」に変更してください。

 さらに「互換性のあるTPMが装備されていないBitLockerを許可する」の項目に
 チェックが入っていることを確認し「OK」をクリックして閉じます。


9.”ローカルグループポリシーエディター”も閉じて、BitLockerの操作画面へ戻ります。

 「BitLockerを有効にする」をクリックしてBitLocker設定ウィザードを開きましょう。


10.BitLocker設定ウィザードを開くとTPMの代わりに使用する
   ロック解除方法を選択する画面になります。
  「USBフラッシュドライブを挿入」か「パスワードを入力」のどちらかを選択できるので
  お好みに合わせて選択してください。

  なお、USBフラッシュドライブを選択しても、使用するUSBメモリが"キー専用"に
  なるわけでなく、通常のデータ保管にもそのまま利用できますのでご安心ください。


  ここまでがTPMが無効の場合に必要な追加手順です。
  ロック解除方法を選択したあとは【TPMが有効の場合】の6〜と同じ手順になります。


・・・


いかがでしたでしょうか。
今回はBitLockerの簡単な紹介と暗号化方法を説明させていただきました。

TPMが搭載されているPCであれば
数クリックで簡単にディスク暗号化ができる
それがBitLockerの1番の魅力かもしれません。

次の機会にはコマンドプロンプトから暗号化する方法WindowsPEでのロック解除方法など
私が実際の現場で運用するにあたって「使えた」経験をまとめたいと思いますので是非そちらもご確認ください。

それではこのあたりで失礼いたします。
posted by 舘 at 08:59| Comment(0) | Windows・Office | このブログの読者になる | 更新情報をチェックする