BitLockerとは、Microsoftが開発したセキュリティ技術で、ハードディスク(HDD)内のデータを丸ごと暗号化することによって情報漏えいの防止を図る技術のことである。
BitLockerはOS(Windows)と密接に連携しており、通常のファイルやフォルダだけでなく、Windowsのシステムファイルやハイバネーションファイル(休止状態の保存ファイル)も含めたHDD全体に対して暗号化を施している。BitLockerが普段からディスクの内容を暗号化しておくことによって、例えばノートパソコンが不意に盗難にあった場合でも、機密情報が流出する危険性は大幅に減少するとされる。
BitLockerでは、暗号鍵としてTPM(Trusted Platform Module)1.2と呼ばれる特殊なチップが使用される。ただしTPMを搭載していないマシンにおいてはUSBフラッシュメモリなどのデバイスを用いて暗号鍵を管理することができる。USBメモリ使用する場合、USBメモリを鍵として挿入することで暗号を復号化することができるようになっている。
2007年5月現在、BitLockerは、Windows Vistaのエディションのうちビジネス向けで情報セキュリティが強化されたエディションの「Windows Vista Enterprise」、Windows Vistaのすべての機能を含んでいる「Windows Vista Ultimate」に搭載されており、Windows Server “Longhorn”(開発コードネーム)にも搭載される見込みである。
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2025/12/26 18:42 UTC 版)
| 開発元 | マイクロソフト |
|---|---|
| 対応OS | Windows Vista以降 Windows Server 2008以降 |
| 種別 | 暗号化ソフトウェア |
| ライセンス | プロプライエタリ |
| 公式サイト | BitLockerドライブ暗号化 |
Windows BitLockerドライブ暗号化 (ウィンドウズ ビットロッカードライブあんごうか)は、Microsoft Windowsに搭載されているデータ暗号化機能である。Windows Vistaで初めて搭載された。
Windows OS上で、ディスク(の各パーテーション)全体を暗号化することができるセキュリティ機能である。
BitLockerドライブ暗号化を施してあるパーテーションは、そのメディア(HDD,SSD,USBメモリなど)を他のPCにディスクを接続しても、パスワードなどを入力しない限り中身を読むことはできない。コンピューターにTrusted Platform Module(TPM)が搭載されていれば、それを使用して暗号化を行う。
BitLockerドライブ暗号化は、Microsoft Encrypting File System(暗号化ファイルシステム、EFS)とは別の機能で、それぞれ異なる種類の攻撃に対する保護を提供する(詳細は後述)。
Microsoft Encrypting File System(暗号化ファイルシステム、EFS)はユーザーの選択により単独のファイルやディレクトリーごと、またはドライブごとにNTFSファイルシステム上で$EFS代替データストリームに暗号化キーを格納することにより透過的な暗号化を有効にできる(よってFAT32のUSBメモリなどでは使用不可)。一方、BitLockerドライブ暗号化は、単独のファイルやディレクトリーごとの透過的な暗号化はできないものの、FAT32システムフォーマットのUSBメモリも暗号化できる。
BitLockerで暗号化されたディスクはWindows VistaとWindows 7では128ビットまたは256ビットのAES-CBC + Elephant diffuserで暗号化される。Windows 8ではAES-CBCのみで暗号化される[1]。Windows 10バージョン1511ではXTS-AESも使用可能になった[2]。暗号化されたディスクは、一般的に3〜5%のパフォーマンス低下が見られる。また、SSDのTrim機能に対応する[3]。
Windows 11 バージョン 24H2 以降では、Intel vPro 対応の Intel Core Ultra Series 3 以降やハードウェア・アクセラレーター搭載の SoC で、暗号化をソフトウェア処理からハードウェアにオフロードすることで、ランダムアクセス性能が向上した。[4]
BitLockerで、まだ暗号化されていないディスクを暗号化ディスクに変換する機能は、各Windowsの上位エディションに限定されている。
クライアントWindowsでは以下のエディションで使用可能である。
Windows Server 2008 以降では、いずれのエディションでも使用可能である。
一方で、BitLockerで暗号化されたディスクを読み取る機能は、各Windowsの(無印、Home,starterなどの)下位エディションでも可能である。BitLocker の機能限定版である「デバイスの暗号化」は後述。
2015年11月にリリースされたWindows 10 バージョン 1511(Windows 10 TH2、2018年4月にサポート終了) 以降、マイクロソフトは、BitLocker に新しい FIPS 準拠の XTS-AES暗号化アルゴリズムを追加し、オペレーティング システム ドライブと、固定データ ドライブを暗号化しようとした場合にXTS-AES 128 ビットが規定のアルゴリズムとして選択されるようになった(リムーバブルドライブは既定でAES-CBC 128アルゴリズムが選択される)[5]。 。
このため、リムーバブルはもちろんのこと、OSドライブや、データ専用の内蔵HDD,SSDを、特に意識せず(アルゴリズムの指定をせず)にBitLocker暗号化した場合、そのBitLocker暗号化ドライブは(既定値のXTS-AESアルゴリズムで暗号化されるため、これに非対応の)Windows 8.1やWindows 7などでは読み取りできないこととなる[6]。
固定データ ドライブを、Windows 10 (Version 1511) 以降が実行されていない他のデバイスで使用する可能性がある場合、AES-CBC 128 ビットまたは AES-CBC 256 ビットを使用する必要がある。例えばOSドライブとは別の内蔵デバイスとしてSATA接続のデータ専用SSDを(データの移行や復旧作業などのために)一時的にWindows 8.1やWindows 7など、別のOSが稼働する環境に付け替えて読み取りを試みる可能性がある場合、最初にBitLocker暗号化する段階で、暗号化アルゴリズムを意図的に(リムーバブルドライブと同様の)AES-CBC 128 ビットまたは AES-CBC 256 ビットに指定して暗号化しておかねば、読み取りできない[7]。
Windows 7以降のエディションでは、USBメモリなどのリムーバブル・ディスクの暗号化を行えるBitLocker To Go機能が追加された。
BitLocker To Go非対応のWindows XPとWindows Vistaで、暗号化されたディスクからデータを読み取るためのアプリケーション。読み取りのみで書き込みは行えない。また、読み取れるのはFAT16、FAT32、またはexFATのみでNTFSや他のファイルシステムは読み取れない。[8]
Windows 7以降では下位エディションでもBitLockerで暗号化されたドライブの読み書きが可能なためリーダーは必要なく上記の制限はない。[9]
Windows RT 8とWindows 8.1(無印)で導入された、システムドライブの暗号化のみが可能な、機能限定版。Homeエディションでも利用可能。
が必須要件。前述のBitLockerが使用可能なエディションではBitLockerから管理できる。
BitLocker暗号化実装を構築するものとして次の3つの認証機構が使われている。[10]
上記の認証方法から次の組み合わせがサポートされており、全てはオプションの回復キー(キーエスクロウ)をサポートする。[11]
BitLockerは論理ボリューム暗号化システムである。ボリュームはハードディスクドライブ全体であってもそうでなくても、あるいは複数の物理ドライブでスパン構成されていてもよい。また、有効時にはTPMとBitLockerはオフラインでの物理的攻撃、ブートセクタ感染型マルウェアなどを阻止するために、信頼されたブートパス(BIOSやブートセクタ)の同一性を確保する。
BitLockerが機能するために、少なくとも2つのNTFSフォーマット済みボリュームが必要になる。1つはオペレーティングシステム(通常はCドライブ)で、もう一つはオペレーティングシステムのブート用となる最小100MBのボリュームである[17]。ブートボリュームは暗号化されていない必要がある。Windows Vistaではこのボリュームに必ずドライブ文字が割り当てられるが、Windows 7ではその必要はない。旧バージョンのWindowsと異なり、Windows VistaのDISKPARTコマンドはNTFSボリュームのサイズを縮小する機能があり、BitLockerのためのシステムボリュームは確保済みの空き領域から作成することができる。マイクロソフトよりBitLocker Drive Preparation Toolが提供されており、新しいボリュームのためにWindows Vista上の既存のボリュームを縮小して必要なブートストラップファイルを転送するようになっている[18]。Windows 7ではBitLockerが使われていない場合でも既定でブートボリュームを作成するようになっている。
一度代替ブートパーティションが作成されると、TPM、PINまたはUSBキーなどのディスク暗号化キー保護機構を設定した後にTPMモジュールを初期化する必要がある。それからボリュームはバックグラウンド処理で暗号化される。全ての論理セクタを読み込み、暗号化し、ディスクに再度書き戻すため、サイズの大きいディスクでは時間が掛かる場合がある。全てのボリュームが暗号化されてボリュームが安全であると考えられるとき、キーは保護される。BitLockerは低水準デバイスドライバを用いて全てのファイルを暗号化・復号しており、暗号化ボリュームはプラットフォーム上で動作するアプリケーションに対して透過的に作用する。
一度オペレーティングシステムカーネルが起動すると、BitLockerと共に暗号化ファイルシステム (Encrypting File System ; EFS) によって保護が行われる。オペレーティングシステム上のプロセスやユーザーからのファイルの保護はEFSなどのWindows上で実行されるソフトウェアによってのみ暗号化が行われる。従って、BitLockerとEFSはそれぞれ異なる種類の攻撃に対する保護を提供する。[19]
Active Directory環境ではBitLockerはオプションのキーエスクロウをサポートする。(Windows Server 2008以前のWindowsバージョンでActive Directoryサービスが動いている場合、スキームの更新が必要になることがある。)
BitLockerおよび他の完全ディスク暗号化システムは不正なブートマネージャーによる攻撃を受ける可能性がある。一度悪意のあるブートローダーが秘匿情報を手に入れてしまうと、ボリュームマスターキー (Volume Master Key ; VMK) を復号して暗号化済みハードディスクのどんな情報も復号または改変するアクセスが可能になる。BIOSやブートセクタを含む信頼されたブートパスを保護するようにTPMを設定することで、BitLockerはこの脅威を低減できる。(ただ、時によってブートパスに対する正しい変更がPCRチェックの失敗と判断され、警告メッセージを表示させることがある。)[20]
注釈
出典
|
|
|||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| OpenPGP・S/MIME |
|
||||||||||||||
| セキュア通信 |
|
||||||||||||||
| 匿名化 |
|
||||||||||||||
| ディスク暗号化 | |||||||||||||||
| ファイルシステム |
|
||||||||||||||
| セキュアOS | |||||||||||||||
| Service providers | |||||||||||||||
| 教育 | |||||||||||||||
| 暗号通貨 | |||||||||||||||
| Related topics |
|
||||||||||||||
| 関連人物 |
|
||||||||||||||
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/02/23 00:07 UTC 版)
「Windowsのセキュリティ機能」の記事における「BitLocker」の解説
詳細は「BitLocker」を参照 BitLockerはディスク全体を暗号化することができるセキュリティ機能。他のPCにディスクを接続されても、中身を読むことはできない。コンピューターにTrusted Platform Module(TPM)が搭載されていれば、それを使用して暗号化を行う。BitLocker To GoはUSBメモリなどのリムーバブル・ディスクの暗号化を行える。
※この「BitLocker」の解説は、「Windowsのセキュリティ機能」の解説の一部です。
「BitLocker」を含む「Windowsのセキュリティ機能」の記事については、「Windowsのセキュリティ機能」の概要を参照ください。
