2018年12月17日

PC紛失・盗難リスクに備えて… BitLockerでディスク暗号化を!


舘です。

最近は働き方改革の1つとしてテレワークを導入する企業が増えています。
オフィス内に限らず、自宅やカフェなど様々な場所で仕事ができるということで
モバイルPCを職場外へ持ち出す機会も増えていくと思われます。

そんな時代だからこそ注意しなければいけないのが
PCやデータ記録媒体を紛失してしまった際の情報漏えいリスクです。

情報漏えい対策として挙げられる、DLPやネットワークセキュリティ製品は
データの持ち出しや不正アクセスによる情報漏えいを防ぐ手立てとしては有効ですが
PCをまるごと盗まれてしまえば内蔵ディスクからいくらでもデータを読み取れてしまいます。

そこで今回はPCの紛失・盗難自体に備える手法として
ディスクのデータを暗号化し守ってくれる"BitLocker"をご紹介します。


■BitLockerとは

Windows Vista以降のWindowsに標準搭載されているディスク暗号化機能です。

ただし、Windowsのエディションによって利用できる機能に違いがあり
Windows10であれば、ProとEnterpriseエディションのみディスクの暗号化に対応しています。
Homeエディションは暗号化されたディスクの中身を読み書きすることはできますが
暗号化自体には対応していませんのでご注意ください。

BitLockerの特徴としてTPM(マザーボード上のセキュリティチップ)をキーとして利用します。
これにより同じデバイス上であればユーザーは暗号化されていることを意識せずデータを利用できます。

なお、TPMが搭載されていないPCでもUSBメモリを外部キーとしたり
毎回パスワード入力を行うことで、TPMの代わりとすることができますが
少し事前の設定変更が必要になるので以下の手順をご確認ください。


■BitLockerを有効化する手順

では、早速BitLockerの有効化方法です。
今回はCドライブの暗号化を例として説明します。

1.まずスタートメニューからコントロールパネルを開きます。


2.コントロールパネル内の「BitLockerドライブ暗号化」をクリックし開きます。


3.BitLockerの操作画面が開きます。
 まず、右下にある「TPMの管理」をクリックし、お使いのPCでTPMが利用可能か確認しましょう。


4.下の図のように状態の項目に「TPMは使用する準備ができています。」と
 記載されていればお使いのPCにTPMが搭載/有効化されています。
 早速、【TPMが有効の場合】の手順へ進んでください。

 「互換性のあるTPMが見つかりません。」と表示さる場合
 お使いのPCではTPMが搭載されていないか、BIOS設定で無効になっています。
 少し下へスクロールして【TPMが無効の場合】の手順へ進んでください。

 (BIOS設定の問題であればTPMの有効化が可能です。
 ただ、BIOS設定については迂闊に変更するとPC起動ができなくなるリスクもありますので
 変更方法を熟知している方以外はメーカーサポート等に確認することをおすすめします。)





【TPMが有効の場合】

5.「TPMの管理」画面を閉じBitLokerの操作画面へ戻ります。
 画面中央の「BitLocker」を有効にするをクリックし
 BitLockerの設定ウィザードを開きましょう。



6.ここからは設定ウィザードの案内に沿って進めていきます。
 まず、デバイスの変更などでTPMでのロック解除ができない場合に使用する
 ”回復キー”の出力方法を「ファイル保存」と「印刷」から選びます。
 どちらも出力される”回復キー”は同じなので管理のし易いほうを選択しましょう。


7.続いて暗号化する範囲の選択です。
 「使用済み領域のみ」を選択すると、ディスク使用容量が少ない場合には
 比較的高速に暗号化が進みます。

 ただし、過去に削除済みのデータでも専用のツールを用いることで
 データ復元が可能な場合が多々あります。 
 なので、既に使用を開始しているPCを途中で暗号化する場合などは
 「ドライブ全体」を選択し削除済みデータも含めて暗号化することをお勧めします。


8.次は暗号化モードの選択です。
 Windows10のバージョン1511(2015年11月リリース)以降で
 新たに導入された暗号化形式か、それ以前の暗号化形式か
 どちらかを選択する必要があります。

 今回の例のようにCドライブを暗号化する場合は
 過去のOSで閲覧することは無いと思われますので
 「新しい暗号化モード」を選択することをお勧めします。


9.最後に「BitLockerシステムチェック」を実行するかどうかを選択します。
 これはお使いのPCが暗号化後にTPMでロック解除できるかを検査してくれる機能です。

 ただ、再起動が必要になってしまうのと万が一TPMでのロック解除ができなくても
 先程出力した回復キーがあれば復号化できるので、今回はチェックを外し実行しない設定にしました。

 さて、あとは「暗号化の実施」をクリックすればBitLockerでの暗号化が始まります。


9.暗号化を開始すると暗号化の進捗状況を示すウィンドウが表示されます。
 100%の表示になればBitLockerによるディスク暗号化が完了です。
 なお、暗号化途中でシャットダウンしても次回起動時に途中から暗号化処理が再開されますのでご安心ください。


10.暗号化完了後に再度コントロールパネルからBitLocker操作画面を開くと
 「BitLockerが有効です」と表示されているはずです。



【TPMが無効な場合】

5.TPMが有効になっていないPCでBitLocker設定ウィザードを開くと
 標準設定の場合、下の図のようなエラーになってしまいます。


6.そこで、設定を変更しTPMが無い端末でもBitLockerを利用できるようにします。
 まず、キーボードの「Windowsキー」と「R」を同時押しして
 "ファイル名を指定して実行"を開き「gpedit.msc」と入力し「OK」をクリックします。


7.”ローカルグループポリシーエディター”が開きますので左列メニューから
 コンピューターの管理>管理用テンプレート>Windowsコンポーネント>BitLockerドライブ暗号化>オペレーションシステムのドライブ
 の順に展開していきます。

 右列の中から「スタートアップ時に追加の認証を要求する」をダブルクリックし開きます。


8.「スタートアップ時に追加の認証を要求する」の設定画面がひらきます。
 デフォルトだと「未構成」にチェックが入っていますので「有効」に変更してください。

 さらに「互換性のあるTPMが装備されていないBitLockerを許可する」の項目に
 チェックが入っていることを確認し「OK」をクリックして閉じます。


9.”ローカルグループポリシーエディター”も閉じて、BitLockerの操作画面へ戻ります。

 「BitLockerを有効にする」をクリックしてBitLocker設定ウィザードを開きましょう。


10.BitLocker設定ウィザードを開くとTPMの代わりに使用する
   ロック解除方法を選択する画面になります。
  「USBフラッシュドライブを挿入」か「パスワードを入力」のどちらかを選択できるので
  お好みに合わせて選択してください。

  なお、USBフラッシュドライブを選択しても、使用するUSBメモリが"キー専用"に
  なるわけでなく、通常のデータ保管にもそのまま利用できますのでご安心ください。


  ここまでがTPMが無効の場合に必要な追加手順です。
  ロック解除方法を選択したあとは【TPMが有効の場合】の6〜と同じ手順になります。


・・・


いかがでしたでしょうか。
今回はBitLockerの簡単な紹介と暗号化方法を説明させていただきました。

TPMが搭載されているPCであれば
数クリックで簡単にディスク暗号化ができる
それがBitLockerの1番の魅力かもしれません。

次の機会にはコマンドプロンプトから暗号化する方法WindowsPEでのロック解除方法など
私が実際の現場で運用するにあたって「使えた」経験をまとめたいと思いますので是非そちらもご確認ください。

それではこのあたりで失礼いたします。
posted by 舘 at 08:59| Comment(0) | Windows・Office | このブログの読者になる | 更新情報をチェックする

2018年10月22日

Microsoft Officeの64bit版は使わない方が良い!?

こんにちは。河辺です。

さて今回は、あまり気にしていなかった

「Microsoft Officeの32bit版・64bit版」についてです。


まず、オフィスソフトについては説明の必要はありませんね。

会社はもちろん自宅でも、ワープロや表計算のソフトはかかせません。

が、Officeって少々お高いんですよね(^_^;)

最近の(といっても結構昔からありますが)オフィスソフトは互換製品も多くあります。

WPS Office(キングソフト)、Thinkfree Office NEO(ソースネクスト)

等の有料ですが安価なものから、

LibreOfficeOpenOfficeGoogle Apps等の無料のものまで。

場合によっては互換製品でも良い、といった事もあるでしょう。

ですが、『安いから・無料だから』といった理由で導入するのは危険です。

Microsoft Officeとの互換性を謳ってはいますが、

『完全互換ではない』という事を覚えておいてください。


オフィスソフトの国内シェアで「Microsoft Office」が9割以上を占めると言われ、

今までの作成されているドキュメント類のほとんどは

「Microsoft Office」で作成されていると思います。

互換しているとはいえ、他製品でそのファイルを開くと
 ・マクロが動かない
 ・レイアウトが崩れる
 ・色んなエラーが表示される
 ・そもそも開かない

といった事が、必ずではありませんがよく起きます

自分だけなら良いのですが、他の会社の人、知人友人に渡したりした時に

渡した先でこのような不具合が起きる可能性もあります。

互換製品を導入する際は、このような危険性を理解した上で導入してくださいね。


ちょっと話が逸れてしまいましたが・・・。

本題の「Microsoft Officeの32bit版・64bit版」についてです。

Officeにはこのように2種類あり、どちらをインストールするか迷います。

今は一般的になりつつある「32bit・64bit」ですが、

簡単に説明しますと『PCの情報処理量の違い』ですね。

どのぐらい違うのかというと、

32bit版OSでサポートしている最大物理メモリサイズは4GB

これに対し64bit版OSでは
 Windows10 Homeで 128GB
 Windows10 Pro で 2TB

と大幅に違います。

扱えるプログラムにも違いがあるので、32bit版・64bit版と分かれているのです。

ざっくり簡単に言うと「64bit版の方が性能が高い」と言えます。


自分のPCがどちらのbitのOSなのか分からない方は、
(Windows10の場合)

・スタート → Windowsシステムツール → コントロールパネル →システム
  Office3264_01.png

・スタート → 設定(左側の歯車マーク) → システム → バージョン情報
  Office3264_02.png

にて確認してください。

上記例は「64bit版OS」ということになります。

このように64bit版OSをお使いの場合、ソフトウェアは32bit・64bitどちらも使えます

32bit版OSの場合は、64bit用ソフトを入れても動きません。

32bit用のソフトウェアしか使えませんのでご注意を。


OSが64bitだったから、Officeも64bit版を入れればいいんだな。」

と思うでしょうが、ちょっと待った!

実は「Microsoft Office」は

OSが64bitだとしても32bit版の利用をマイクロソフトが推奨

しているのです!

Microsoft Technet(プロフェッショナル向けの情報提供サイト)にて

32bit版を推奨する理由を解説しています。


抜粋すると

『Office の既存の拡張機能 (たとえば32ビット版のActiveXコントロールや一部のサードパーティ製アドインなど)との互換性にも問題が生じています。これらの拡張機能については新しいバージョンを入手する必要があり、64ビット互換の拡張機能が使用できるようになるまでにはしばらく時間がかかるでしょう。』

つまり何を言っているかというと

『32bit版向けに開発さたアプリケーションやアドインは、

 64bit版で動作しないかもしれないから、

 64bit版OS使ってても32bit版を導入しましょう

ということです。


とは言え、64bit版を導入した方が良いケースもあります。

・複雑な計算、多くのピボットテーブル等々、大きなデータセットを操作する場合。

・PowerPointでとても大きな画像、ビデオ、またはアニメーションを操作する場合。

・Projectで2GBを超えるファイルを操作している場合。

・アドインやドキュメントレベルのカスタマイズなど、
 社内Officeソリューションを開発している場合。

詳細は以下のサイトにて。

【64ビット版または32ビット版のOfficeを選択する】※マイクロソフトのサイトです。
https://support.office.com/ja-jp/article/64-ビット版または-32-ビット版の-office-を選択する-2dee7807-8f95-4d0c-b5fe-6c6f49b8d261

このような場合には64bit版を導入した方が良いようです。

逆に、このような理由が無ければ、たとえ64bit版OSを利用していたとしても

32bit版のOfficeを導入した方が良いでしょう。


以下、実際にサポートデスクにて起きた話です。

「新しいPCに交換したら、昔から使っていたExcelファイルのマクロが動かなくなった。」

と連絡が入り、調査を行いました。

ファイル自体の障害と思いましたが、他のPCで試したところ問題ありません。

Officeの2013、2016でも試しましたが問題無く、その人のPCでのみ起きます。

唯一違ったのが「Officeが64bit版だった」という事。

試しに一度アンインストールし、32bit版を入れ直したらあっさり動きました。


という事で結論

Officeは32bit版を入れた方が無難です。


では今回はこの辺で。

posted by 河辺 at 18:30| Comment(0) | Windows・Office | このブログの読者になる | 更新情報をチェックする

2018年09月30日

Windows7有償サポート延長

こんにちは、佐々木です。

今回はWindows7についての小ネタを1つ。

Windows10が公開され既に数年が経過しましたね。

その間市場の売られているPCはWin7からWin10へ切り替わり
一般市場からは徐々にWin7が姿を消しつつあります。

しかし、会社PCにおいては社内で使用しているシステムの関係などで
中々Win10へ切り替えができていないという企業様もおられることかと思います。

果たしてWin7のサポート期限である2020年1月14日までに切り替えらるのか?
という不安お持ちかと思います。

しかしそんな企業様向けに、先日Microsoftから法人向けに2023年1月まで
Win7の有償延長サポートの提供が発表されました!

ただし、法人向けという点、つまり対象となるのはボリュームライセンスにて
”Windows 7 Enterprise” もしくは ”Windows 7 Professional"を使用している
ユーザーに限られるという点に注意が必要です。

また有償なので、今までのように無償でサポートを受けれるわけではありません。

発表ではデバイス単位で毎年価格が引き上げられるということなので
あくまでも間に合わなかった時の保険程度に考えた方が無難なのようです。

価格はまだ発表されていないようですが、社内のデバイス全台が対象となり
毎年価格が引き上げられると考えるとかなりの出費になりそうな予感がしております。(゚ー゚;A

正直この費用を払うのであれば、早くWin10へ切り替えた方がいいとは思います。

まだWin7を使用している企業様におきましては、あくまでも2020年1月14日迄に
切り替えることを目標にすることをお勧めいたします。

今回はこの辺りで失礼いたします。


posted by 佐々木 at 15:58| Comment(0) | Windows・Office | このブログの読者になる | 更新情報をチェックする