Windows 7では、Cドライブを丸ごと暗号化する機能「BitLocker」を利用できる。ユーザーのデータを保護するだけでなく、スタートアップ時の設定などを誤って変更してしまうといったことを防げる。Windows Vistaから備わる機能だが、Windows 7になってUSBメモリーや外付けハードディスクを暗号化するBitLocker To Goと呼ぶ機能が追加され、便利になった。

 しかし、運用面でのトラブルを想定すると、BitLockerを使って「ドライブを丸ごと暗号化してはいけない」といわざるを得ない。うまく復号できなければ、PCそのものが利用できなくなるからだ。

3種類の暗号化されたキーを順に復号していく

 実際に起こった事例を紹介しよう。筆者の友人N氏は、ノートPCのドライブを丸ごとBitLockerで暗号化していたが、ある日、ハードディスクから起動できなくなった。ブート用CDで起動してみたが、暗号化されたドライブを読み出せない。数時間格闘したもののらちが明かないので、結局データの復元をあきらめ、OSを再インストールした。

 N氏がCDを使って起動しても暗号化されたドライブを読み出せなかったのは、BitLockerの暗号化の仕組みからくるものだ。

 BitLockerを有効にすると、3種類の暗号キーが作成され、別々の場所に保存される。一つは、PCのマザーボード上のセキュリティ用チップ「トラステッドプラットフォームモジュール(TPM)」に格納されるストレージルートキー(SRK)。二つ目は、ハードディスクの起動用領域(システムボリューム)に保存されるボリュームマスターキー(VMK)。三つ目がOSおよびデータが置かれた領域に保存されるフルボリューム暗号キー(FVEK)である。いずれも暗号化された状態で、格納されている。

 BitLockerを有効にしたPCでは、これら三つの暗号キーを使って、次のようなプロセスで復号しながら起動する(図1)。

図1●BitLockerを利用したPCを起動したときの、復号の手順
[画像のクリックで拡大表示]

(1)BIOSがTPMに格納されたSRKを読み込んでハードディスク内のシステムボリュームにあるVMKを復号する。
(2)復号されたVMKを使用してOSとデータが格納されているボリューム内のFVEKを復号する。
(3)復号されたFVEKによってドライブの暗号が解除されて、アプリケーションがデータを読み込める状態になる。

 N氏が試みたようにCDで起動すると、BIOSがSRKを復号するプロセスが省かれるので、VMKもFVEKも復号されず、当然、ドライブも復号されない。

 そのほか、次のようなトラブルも起こっている。顧客への大事なプレゼンテーションを始めようとしたある営業担当者は、PCの起動画面で「BitLocker回復キー」の入力を求められた。普段は何も入力しなくても起動できていたのに、入力要求の表示が出て、営業担当者は焦った。

 このとき、BitLocker回復キーが保存されたUSBメモリーをPCに挿入するか、16ケタのキーを直接入力しなければならない。しかし、普段はキーの入力を求められないので、営業担当者はUSBメモリーを持ち合わせてはおらず、16ケタのキーも覚えていない。結局、復号できずに、その日の商談を進めることはできなかった。

 BitLocker回復キーは、システム起動時のブート情報(ハードウエア構成などの情報を指す)がTPM内部のプラットフォーム構成レジスタ (PCR) に格納された情報と異なる場合に必要になる。では、どうして突然、起動画面で回復キーの入力を求められたのだろうか?

 原因は、この営業担当者がプレゼンテーションの直前に、外付けハードディスクドライブをUSBで接続していたことだ。ハードウエアの構成が変わると、BIOSはシステム構成が改変されたとみなし、BitLocker回復キーの入力を要求したのだ。

復号できなかったときの対策が必要

 IT管理者は、BitLockerを使ってドライブを丸ごと暗号化することをユーザーに許可する前に、「バックアップできる環境を準備して、復号できなくなって困るようなデータは、定期的にバックアップするように促す」「BitLockerを適用したPCは起動しなくなるケースがあることをユーザーに知らせておく」といったことが必要だろう。

 このほか、Windows XPといった他のOSとデュアルブートしているPC上で、Windows 7の領域でBitLockerを使う場合は注意が必要だ。Windows XPからは、BitLockerで暗号化した領域を認識できないので、その領域を「フォーマットしますか?」と聞かれることがある。そこで誤って「はい」とすると、Windows 7の暗号化領域はフォーマットされてしまう。

 以上のようなことを踏まえると、ドライブを丸ごと暗号化するよりも、フォルダー単位またはファイル単位で暗号化する方がよい。

 そもそもドライブを丸ごと暗号化しても安心はできない。BitLocker回復キーを含むUSBメモリーとともに紛失すれば、情報が漏えいする可能性は残るからだ。外出先からリモートでデータにアクセスするほうが安全性を確保できるかもしれない。データを持ち歩く必要があるときには、データそのものを暗号化したあとでさらにBitLockerで暗号化したUSBメモリーに保存する、二重の対策がお勧めだ。

 ドライブを丸ごと暗号化するメリットとデメリットを十分に理解した上でBitLockerを使いたい。

田辺 武(たなべ たけし)
日本ヒューレット・パッカード EDS事業統括ITアウトソーシング統括本部 プロダクション・エンジニアリング部 マスターテクノロジーコンサルタント
1986年に宮崎大学工学部大学院を卒業後、日本DECに入社。ネットワーク製品の技術サポートやコンサルティング部門などを経て、1994年頃からマイクロソフト製品の提供を主導。HPに合併後、アウトソーシングサービス部門でシステム運用の技術支援を担当している。