Windows 7では、Windows Vistaから導入されたドライブ暗号化技術「BitLocker」を使うことができる。Windowsの暗号化機能としては、前回の記事で紹介した「EFS (Encrypting File System)」がある。なぜEFS以外に「BitLocker」のような新たな暗号化技術が必要になるのだろうか。Windows 7の「BitLocker」は、Windows Vistaではできなかった「外部ストレージの暗号化」にも対応したという。今回は、Windows 7のもう一つの暗号化技術である「BitLocker」について、その概要と基本操作を解説する。

EFSではキャッシュやシステム・ファイルを暗号化できない

 「EFS」は強力な暗号化機能を有するものの、暗号化する対象となるのはファイルやフォルダである。ドライブ全体を暗号化することは残念ながらできない。この制限により、EFSによるセキュリティは中途半端なものとなっている。

 たとえば、アプリケーションが作るキャッシュ・ファイルなどは、通常は目に触れない形で生成されて、使い終わると自動的に削除される。このキャッシュ・ファイルの中身を削除前に参照されてしまうと、重要なデータが残ったままになっている可能性がある。また、システム・ファイルをはじめとするOSの重要なファイルについても、EFSで暗号化することはできない。

 ユーザーが無意識で利用しているファイルは、EFSによる暗号化の対象から外れる場合が多く、こうしたファイルから情報が漏れる可能性がある。そこで、Windows VistaではUltimateとEnterpriseの企業向けエディションについて、ディスク(ボリューム)単位で暗号化する「BitLocker」という機能を導入した。ドライブ自体を暗号化しておけば、ユーザーはどのファイルを暗号化すればよいか考えなくて済む。

OSを暗号化するために起動用パーティションを追加

 だが、そうなると一つ問題が生じる。OSそのものがインストールされているドライブを暗号化してしまうと、それを解読するプログラムはそもそもどこから起動すればよいのだろう。それらのプログラムを読み込んで解読できる状態にしてからでないと、OSそのものも読み出せずにシステムを起動できないことになる。

「BitLocker」では、暗号化されていない「ブート領域」を新たに作ることで、この問題を解決する。つまり、OSの入っているドライブを「BitLocker」で暗号化する場合には、OSとは別の起動専用のパーティション領域を先頭に用意するようにしたのだ(図1)。ちなみに、Windows VistaでBitLockerを利用する場合は、このブート領域を後から追加する形で、1.5Gバイトを確保する必要があった。これに対し、Windows 7ではインストール時にブート領域を自動的に確保するようになり、そのサイズも100Mバイトにまで縮小されている。

図1●BitLockerを利用する場合のWindows 7のパーティション構成<br>インストール時にOSとは別にブート専用の100Mバイトのパーティションを作成する。このパーティションから起動することで、OS本体を暗号化していても解読して起動することができる。
図1●BitLockerを利用する場合のWindows 7のパーティション構成
インストール時にOSとは別にブート専用の100Mバイトのパーティションを作成する。このパーティションから起動することで、OS本体を暗号化していても解読して起動することができる。
[画像のクリックで拡大表示]

 「BitLocker」を利用すれば、Windowsがインストールされているドライブを、丸ごと暗号化できる。これにより、情報が漏洩する可能性は、極めて低くなる。惜しむらくは、「BitLocker」を利用できるエディションが、UltimateとEnterpriseに限定されることだろう。このエディションによる限定は、Windows 7でも同じなので注意されたい。