セキュリティ対策の要点解説
第 22 回 Windows Vista のセキュリティ機能 〜 BitLocker その 2 〜
公開日: 2007年10月24日
マイクロソフト株式会社
セキュリティ レスポンス チーム
小野寺 匠 著
前回は、Microsoft BitLocker ドライブ暗号化 (BitLocker) の概要について触れました。今回は、BitLocker を実際に使用する際の条件や設定について触れます。
BitLocker はWindows Vista の機能ではありますが、2 つのエディションでのみ使用することが出来ます。
Home Basic | × | × |
Home Premium | × | × |
Business | × | ○ |
Enterprise | ○ | ○ |
Ultimate | ○ | ○ |
×: 使用不可 ○: 使用可
使用可能なエディションに加えて、以下のハードウェア等の条件があります。
| • | TPM 1.2 以上が搭載されていること
(TPM が搭載されていない場合は、USB フラッシュ ドライブ等のデバイスでも代用可能) |
| • | ディスク ボリューム (パーティション) が 2 つ以上あること |
| • | BitLocker で使用する 2 つのボリュームが NTFS でフォーマットされていること |
| • | PC 起動中の USB デバイスへのアクセスに対応した BIOS であること |
すでに、Windows Vista を単一のディスク ボリュームでセットアップしてしまった場合でも、BitLocker ドライブ準備ツールを使い、ディスク ボリューム構成を見直すことで、条件をクリアする事ができます。BitLocker ドライブ準備ツールの詳細は、サポート技術情報 930063 を参照してください。ボリュームは、システム起動用と、OS インストール用に構成します。BitLocker ドライブ準備ツールを使用すると、OS がインストールされている C ドライブを自動的にサイズ調整し、システム起動用の S ドライブが作成されます。
では、実際に BitLocker を構成していくには、[コントロ-ルパネル] - [セキュリティ] - [BitLocker ドライブ暗号化] を選択します。BitLocker の使用準備が整っていると、BitLocker が設定可能なドライブの一覧と、[BitLocker をオンにする] が表示されます。TPM が搭載されていないコンピューターの場合、ここで警告が表示され、先に進む事ができません。その場合は、グループ ポリシーを変更して、TPM を使用しない BitLocker の使用を有効にする必要があります。[コンピューターの構成] - [管理用テンプレート] - [Windows コンポーネント] - [BitLocker ドライブ暗号化] - [コントロール パネル セットアップ: 詳細なスタートアップ オプションを有効にする] を有効にする事で、USB キーを TPM の代用に使用することが可能になります。
しかし、BitLocker を設定したあとに、USB キーを紛失したりすると、OS が起動できなくなる可能性があります。そのために、回復用のパスワードを必ず安全なところに保存することをお勧めします。間違っても、回復用のパスワードを、USB キーに保存する事が無いようにします。印刷または、USB キーとは別のリムーバブル メディアに保存しておく事をお勧めします。Active Directory がある環境では、回復用のパスワードを、Active Directory で集中管理することができます。特に企業で BitLocker を使用する場合は、回復する手段を最優先に考えて BitLocker の展開を計画しなければなりません。
この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。
