読み方:びっとろっかーハードディスクの内容を暗号化し、盗難や不正改竄からハードウエアレベルで保護する機能の一のこと。Weblio国語辞典では「BitLocker」の意味や使い方、用例、類似表現などを解説しています。">

「BitLocker」の意味や使い方 わかりやすく解説 Weblio辞書 (original) (raw)

Windows BitLockerドライブ暗号化

開発元 マイクロソフト
対応OS Windows Vista, Windows 7, Windows 8/8.1, Windows 10, Windows 11, Windows Server 2008以降
種別 暗号ソフトウェア
ライセンス プロプライエタリ
公式サイト BitLockerドライブ暗号化
テンプレートを表示

Windows BitLockerドライブ暗号化 (ウィンドウズ ビットロッカードライブあんごうか)は、Microsoft Windowsに搭載されているデータ暗号化機能である。Windows Vistaで初めて搭載された。

概要

Windows OS上で、ディスク(の各パーテーション)全体を暗号化することができるセキュリティ機能である。

BitLockerドライブ暗号化を施してあるパーテーションは、そのメディア(HDD,SSD,USBメモリなど)を他のPCにディスクを接続しても、パスワードなどを入力しない限り中身を読むことはできない。コンピューターにTrusted Platform Module(TPM)が搭載されていれば、それを使用して暗号化を行う。

BitLockerドライブ暗号化は、Microsoft Encrypting File System(暗号化ファイルシステム、EFS)とは別の機能で、それぞれ異なる種類の攻撃に対する保護を提供する(詳細は後述)。

Microsoft Encrypting File System(暗号化ファイルシステム、EFS)はユーザーの選択により単独のファイルやディレクトリーごと、またはドライブごとにNTFSファイルシステム上で$EFS代替データストリームに暗号化キーを格納することにより透過的な暗号化を有効にできる(よってFAT32のUSBメモリなどでは使用不可)。一方、BitLockerドライブ暗号化は、単独のファイルやディレクトリーごとの透過的な暗号化はできないものの、FAT32システムフォーマットのUSBメモリも暗号化できる。

BitLockerで暗号化されたディスクはWindows VistaとWindows 7では128ビットまたは256ビットのAES-CBC + Elephant diffuserで暗号化される。Windows 8ではAES-CBCのみで暗号化される[1]。Windows 10バージョン1511ではXTS-AESも使用可能になった[2]。暗号化されたディスクは、一般的に3〜5%のパフォーマンス低下が見られる。また、SSDのTrim機能に対応する[3]

機能を使用できるWindowsのバージョン

BitLockerで、まだ暗号化されていないディスクを暗号化ディスクに変換する機能は、各Windowsの上位エディションに限定されている。

クライアントWindowsでは以下のエディションで使用可能である。

Windows Server 2008 以降では、いずれのエディションでも使用可能である。

一方で、BitLockerで暗号化されたディスクを読み取る機能は、各Windowsの(無印、Home,starterなどの)下位エディションでも可能である。BitLocker の機能限定版である「デバイスの暗号化」は後述。

暗号化アルゴリズムの互換性

2015年11月にリリースされたWindows 10 バージョン 1511(Windows 10 TH2、2018年4月にサポート終了) 以降、マイクロソフトは、BitLocker に新しい FIPS 準拠の XTS-AES暗号化アルゴリズムを追加し、オペレーティング システム ドライブと、固定データ ドライブを暗号化しようとした場合にXTS-AES 128 ビットが規定のアルゴリズムとして選択されるようになった(リムーバブルドライブは既定でAES-CBC 128アルゴリズムが選択される)[4]。 。

このため、リムーバブルはもちろんのこと、OSドライブや、データ専用の内蔵HDD,SSDを、特に意識せず(アルゴリズムの指定をせず)にBitLocker暗号化した場合、そのBitLocker暗号化ドライブは(既定値のXTS-AESアルゴリズムで暗号化されるため、これに非対応の)Windows 8.1やWindows 7などでは読み取りできないこととなる[5]

固定データ ドライブを、Windows 10 (Version 1511) 以降が実行されていない他のデバイスで使用する可能性がある場合、AES-CBC 128 ビットまたは AES-CBC 256 ビットを使用する必要がある。例えばOSドライブとは別の内蔵デバイスとしてSATA接続のデータ専用SSDを(データの移行や復旧作業などのために)一時的にWindows 8.1やWindows 7など、別のOSが稼働する環境に付け替えて読み取りを試みる可能性がある場合、最初にBitLocker暗号化する段階で、暗号化アルゴリズムを意図的に(リムーバブルドライブと同様の)AES-CBC 128 ビットまたは AES-CBC 256 ビットに指定して暗号化しておかねば、読み取りできない[6]

BitLocker To Go

Windows 7以降のエディションでは、USBメモリなどのリムーバブル・ディスクの暗号化を行えるBitLocker To Go機能が追加された。

BitLocker To Go リーダー

BitLocker To Go非対応のWindows XPとWindows Vistaで、暗号化されたディスクからデータを読み取るためのアプリケーション。読み取りのみで書き込みは行えない。また、読み取れるのはFAT16、FAT32、またはexFATのみでNTFSや他のファイルシステムは読み取れない。[7]

Windows 7以降では下位エディションでもBitLockerで暗号化されたドライブの読み書きが可能なためリーダーは必要なく上記の制限はない。[8]

デバイスの暗号化

Windows RT 8とWindows 8.1(無印)で導入された、システムドライブの暗号化のみが可能な、機能限定版。Homeエディションでも利用可能。

が必須要件。前述のBitLockerが使用可能なエディションではBitLockerから管理できる。

暗号化モード

BitLocker暗号化実装を構築するものとして次の3つの認証機構が使われている。[9]

透過動作モード

このモードはTPM 1.2ハードウェアの機能を使って透過的ユーザー・エクスペリエンスを提供する。ユーザーは通常通り電源を入れてWindowsにログオンする。ディスク暗号化に使われるキーはTPMチップによって暗号化され、改変されていない最初のブートファイルを読み込むときにOSローダーコードによって解除される。BitLockerのOS起動前コンポーネントは Trusted Computing Group (TCG) によって規定された手法 "Static Root of Trust Measurement" の実装によって成り立っている。このモードはコールドブートアタック[注 1]に対して脆弱であり、攻撃者は電源が切れているマシンをブートさせることが可能である。

ユーザー認証モード

このモードではOSのブート前にユーザーがPINやパスワードによる認証を行う必要がある。

USBキー モード

ユーザーは保護されたOSから起動するために、起動用のキーを含むUSBデバイスをコンピューターに接続する必要がある。USBキーは暗号化スマートカードを読み込むCCID(英語版)デバイスで供給される。ただ単に外部USBドライブにキーファイルを格納するよりも、CCIDを使用することが好ましい。CCIDプロトコルは秘密鍵をスマートカードに組み込まれた暗号化プロセッサによって秘匿し、単純にUSBドライブからコピーして盗まれたキーファイルによってシステムが侵害されることを防ぐからである。

上記の認証方法から次の組み合わせがサポートされており、全てはオプションの回復キー(キーエスクロウ)をサポートする。[10]

動作

BitLockerは論理ボリューム暗号化システムである。ボリュームはハードディスクドライブ全体であってもそうでなくても、あるいは複数の物理ドライブでスパン構成されていてもよい。また、有効時にはTPMとBitLockerはオフラインでの物理的攻撃、ブートセクタ感染型マルウェアなどを阻止するために、信頼されたブートパス(BIOSやブートセクタ)の同一性を確保する。

BitLockerが機能するために、少なくとも2つのNTFSフォーマット済みボリュームが必要になる。1つはオペレーティングシステム(通常はCドライブ)で、もう一つはオペレーティングシステムのブート用となる最小100MBのボリュームである[16]。ブートボリュームは暗号化されていない必要がある。Windows Vistaではこのボリュームに必ずドライブ文字が割り当てられるが、Windows 7ではその必要はない。旧バージョンのWindowsと異なり、Windows VistaのDISKPARTコマンドはNTFSボリュームのサイズを縮小する機能があり、BitLockerのためのシステムボリュームは確保済みの空き領域から作成することができる。マイクロソフトよりBitLocker Drive Preparation Toolが提供されており、新しいボリュームのためにWindows Vista上の既存のボリュームを縮小して必要なブートストラップファイルを転送するようになっている[17]。Windows 7ではBitLockerが使われていない場合でも既定でブートボリュームを作成するようになっている。

一度代替ブートパーティションが作成されると、TPM、PINまたはUSBキーなどのディスク暗号化キー保護機構を設定した後にTPMモジュールを初期化する必要がある。それからボリュームはバックグラウンド処理で暗号化される。全ての論理セクタを読み込み、暗号化し、ディスクに再度書き戻すため、サイズの大きいディスクでは時間が掛かる場合がある。全てのボリュームが暗号化されてボリュームが安全であると考えられるとき、キーは保護される。BitLockerは低水準デバイスドライバを用いて全てのファイルを暗号化・復号しており、暗号化ボリュームはプラットフォーム上で動作するアプリケーションに対して透過的に作用する。

一度オペレーティングシステムカーネルが起動すると、BitLockerと共に暗号化ファイルシステム (Encrypting File System ; EFS) によって保護が行われる。オペレーティングシステム上のプロセスやユーザーからのファイルの保護はEFSなどのWindows上で実行されるソフトウェアによってのみ暗号化が行われる。従って、BitLockerとEFSはそれぞれ異なる種類の攻撃に対する保護を提供する。[18]

Active Directory環境ではBitLockerはオプションのキーエスクロウをサポートする。(Windows Server 2008以前のWindowsバージョンでActive Directoryサービスが動いている場合、スキームの更新が必要になることがある。)

BitLockerおよび他の完全ディスク暗号化システムは不正なブートマネージャーによる攻撃を受ける可能性がある。一度悪意のあるブートローダーが秘匿情報を手に入れてしまうと、ボリュームマスターキー (Volume Master Key ; VMK) を復号して暗号化済みハードディスクのどんな情報も復号または改変するアクセスが可能になる。BIOSやブートセクタを含む信頼されたブートパスを保護するようにTPMを設定することで、BitLockerはこの脅威を低減できる。(ただ、時によってブートパスに対する正しい変更がPCRチェックの失敗と判断され、警告メッセージを表示させることがある。)[19]

第1システムデバイスでBitLockerを使うには、UEFIで互換性サポートモジュール (Compatibility Support Module ; CSM) を無効にする必要がある。[_要検証 – ノート_]

脚注

注釈

  1. ^ システムの電源切断後もしばらくの間はDRAMのデータが消えずに残留することを利用した攻撃手法。

出典

  1. ^ BitLocker Overview
  2. ^What's new in BitLocker?” (2015年11月12日). 2015年11月16日閲覧。
  3. ^ ソリッド ステート ドライブ (SSD) に関するサポートと Q&A
  4. ^第2回 BitLocker To GoでUSBメモリやリムーバブルハードディスクを暗号化して保護する (1_2):超入門BitLocker”. 打越浩幸. @IT (2017年3月1日). 2020年12月27日閲覧。
  5. ^ドライブの暗号化方法と暗号強度を選択してください (Windows 10 [Version 1511 以降)]”. Group Policy Administrative Templates. Microsoft. 2020年12月27日閲覧。
  6. ^Windows 10 デバイスで BitLocker による暗号化を有効にする”. Google Workspace 管理者 ヘルプ. 2020年12月27日閲覧。
  7. ^Description of BitLocker To Go Reader”. 2015年11月16日閲覧。
  8. ^BitLocker To Go リーダーとは”. 2016年4月11日時点のオリジナルよりアーカイブ。2014年3月29日閲覧。 “どのエディションの Windows 7 でも暗号化されたドライブを開いて変更することはできます。”
  9. ^BitLocker Drive Encryption”. Data Encryption Toolkit for Mobile PCs: Security Analysis. Microsoft (2007年4月4日). 2007年9月5日閲覧。
  10. ^ProtectKeyWithNumericalPassword method of the Win32_EncryptableVolume class”. MSDN Library. Microsoft (2008年2月19日). 2008年7月18日閲覧。
  11. ^ProtectKeyWithTPM method of the Win32_EncryptableVolume class”. MSDN Library. Microsoft (2008年2月19日). 2008年7月18日閲覧。
  12. ^ProtectKeyWithTPMAndPIN method of the Win32_EncryptableVolume class”. MSDN Library. Microsoft (2008年2月19日). 2008年7月18日閲覧。
  13. ^ProtectKeyWithTPMAndPINAndStartupKey method of the Win32_EncryptableVolume class”. MSDN Library. Microsoft (2008年2月19日). 2008年7月18日閲覧。
  14. ^ProtectKeyWithTPMAndStartupKey method of the Win32_EncryptableVolume class”. MSDN Library. Microsoft (2008年2月19日). 2008年7月18日閲覧。
  15. ^ProtectKeyWithExternalKey method of the Win32_EncryptableVolume class”. MSDN Library. Microsoft (2008年2月19日). 2008年7月18日閲覧。
  16. ^BitLocker Drive Encryption in Windows 7: Frequently Asked Questions”. TechNet Library. Microsoft (2012年3月22日). 2012年4月7日閲覧。
  17. ^Description of the BitLocker Drive Preparation Tool”. Microsoft (2007年9月7日). 2008年2月19日時点のオリジナルよりアーカイブ。2008年2月22日閲覧。
  18. ^ Ou, George (2007年6月8日). “Prevent data theft with Windows Vista's Encrypted File System (EFS) and BitLocker”. TechRepublic. CBS Interactive. 2013年9月7日閲覧。
  19. ^BitLocker Drive Encryption in Windows 7: Frequently Asked Questions”. TechNet Library. Microsoft (2012年3月22日). 2013年3月16日閲覧。

関連項目

外部リンク

Windows コンポーネント
管理ツール アプリインストーラ コマンドプロンプト コントロールパネル アプレット デバイスマネージャ ディスク クリーンアップ デフラグ Driver Verifier DxDiag イベントビューア IExpress 管理コンソール Netsh パフォーマンスモニタ リソースモニタ 設定 Sysprep システム構成 システム ファイル チェッカー システム情報 システムポリシーエディター システムの復元 タスクマネージャ Windows エラー報告 Windows Ink Windowsインストーラ PowerShell Windows Update Windows Insider WinRE WMI スキャンディスク CHKDSK 問題の報告と解決
アプリ 3Dビューアー アラーム & クロック 電卓 カメラ 外字エディタ Clipchamp Cortana Edge FAX とスキャン フィードバック Hub サポートに問い合わせる 拡大鏡 メール/カレンダー 地図 メッセージング 映画&テレビ モビリティセンター ナレーター メモ帳 OneDrive OneNote ペイント ペイント3D Pay アドレス帳 People フォト フォト ビューアー クイック アシスト スマホ同期 Snipping Tool 切り取り & スケッチ 音声認識 Skype Sticky Notes Microsoft Store メディア プレーヤー Windows Media Player ボイスレコーダ ワードパッド WinSAT 文字コード表 リモート アシスタンス
シェル Aero ClearType エクスプローラ Windows サーチ スタートメニュー タスクバー 特殊フォルダ 関連付け シェル名前空間(英語版
サービス サービス コントロール マネージャー CLFS BITS Wireless Zero Configuration シャドウ コピー 自動再生 タスク スケジューラ マルチメディア クラス スケジューラ
ファイルシステム CDFS DFS exFAT FAT12 FAT16 FAT32 IFS NTFS ジャンクション マウント ポイント リパース ポイント シンボリック リンク TxF EFS ReFS UDF
サーバ Active Directory DFS レプリケーション DNS IIS MSDTC NAP AD RMS SharePoint Windows Media Services WSUS 移動ユーザー プロファイル グループ ポリシー ドメイン リモート デスクトップ サービス (Remote Desktop Protocol)
アーキテクチャ NT系のアーキテクチャ スタートアップ プロセス (Vista) CSRSS DLL EXE HAL I/O Ntoskrnl.exe Svchost.exe WinPE NTLDR/ブート マネージャー アイドル プロセス カーネル パッチ保護 レジストリ IRP KTM LSASS SMSS Windows リソース保護 オブジェクト マネージャー Win32コンソール Winlogon セキュリティアカウントマネージャー(SAM)(英語版) 論理ディスク マネージャー
セキュリティ Defender ファイアウォール Security Essentials 悪意のあるソフトウェアの削除ツール Safety Scanner DEP MIC UAC UIPI KPP セキュリティとメンテナンス BitLocker
互換性 互換モード COMMAND.COM 仮想DOSマシン WOW WOW64 Windows Subsystem for Linux
API .NET Framework COM OLE OLE オートメーション(英語版DCOM ActiveX 構造化ストレージ MTS DirectX DWM GDI Protected Media Path(英語版PlayReady Windows Imaging Component Windows Imaging Format Windows Script Host VBScript JScript
開発終了 ゲーム リバーシ ピンボール インクボール Chess Titans Mahjong Titans Purble Place スパイダ ソリティア ソリティア ハーツ フリーセル マインスイーパ アプリ Windowsアドレス帳 Anytime Upgrade Windows Calendar(Vista) CardSpace DVD メーカー Grooveミュージック Internet Explorer Windows Journal 画像とFAXビューア(XP) Windows Mail(Vista) Media Center Messenger Microsoft ActiveSync Windows Mobile デバイス センター NetMeeting Outlook Express WinHelp Write サウンド レコーダー デスクトップ ガジェット ハイパーターミナル バックアップと復元センター フォト ギャラリー プログラムマネージャ ミーティング スペース ムービー メーカー リソースメーター その他 UNIX サブシステム Interix Video for Windows
カテゴリ
暗号化ソフトウェア
OpenPGPS/MIME メールサーバーの比較(英語版) 電子メールクライアントの比較(英語版GnuPG (Gpg4winGPGTools) PGP Enigmail Thunderbird Outlook Apple Mail Claws Mail Autocrypt(英語版Kontact pretty Easy privacy(英語版Sylpheed
セキュア通信 OTR(英語版Adium BitlBee(英語版) Centericq(英語版ChatSecure climm(英語版Jitsi Kopete MCabber(英語版) Profanity(英語版SSH SSHクライアントの比較(英語版Dropbear lsh(英語版OpenSSH PuTTY SecureCRT(英語版WinSCP wolfSSH(英語版RLogin Poderosa Tera Term TLS/SSL TLS実装の比較 Bouncy Castle(英語版BoringSSL Botan cryptlib GnuTLS JSSE(英語版LibreSSL MatrixSSL(英語版NSS OpenSSL mbed TLS(英語版) RSA BSAFE(英語版SChannel SSLeay stunnel wolfSSL VPN Check Point VPN-1 Hamachi Openswan OpenVPN SoftEther VPN strongSwan Tinc(英語版WireGuard ZRTP(英語版) CSipSimple(英語版Jitsi Linphone(英語版Jami Zfone(英語版P2P Bitmessage RetroShare(英語版Tox ZeroNet D R A(英語版Matrix OMEMO(英語版) Conversations(英語版) Cryptocat(英語版) ChatSecure(英語版Proteus Signalプロトコル Signal WhatsApp TextSecure(英語版
匿名化 Cryptomator GNUnet Java Anon Proxy(英語版I2P Tor Vidalia(英語版) RetroShare(英語版) Ricochet(英語版) Wickr(英語版
ディスク暗号化(英語版 ディスク暗号化ソフトウェアの比較(英語版) BitLocker FreeOTFE(英語版TrueCrypt BestCrypt(英語版CipherShed CrossCrypt(英語版) Cryptoloop(英語版) DiskCryptor(英語版) dm-crypt(英語版LUKS DriveSentry(英語版) E4M(英語版) eCryptfs(英語版FileVault GBDE(英語版) geli(英語版) PGPDisk(英語版) Private Disk(英語版) Scramdisk(英語版) Sentry 2020(英語版VeraCrypt
ファイルシステム 暗号化ファイルシステムの一覧 EncFS EFS eCryptfs(英語版LUKS PEFS(英語版) Rubberhose(英語版) StegFS(英語版) Tahoe-LAFS(英語版
セキュアOS Tails Whonix Qubes OS Alpine Linux Anonym.OS(英語版Genode Fiasco.OC seL4
Service providers Freenet Tresorit(英語版Wuala
教育 CrypTool
暗号通貨 Bitcoin Monacoin Ripple Dash (X11) イーサリアム Monero NEM Symbol ニートコイン
Related topics Outline of cryptography(英語版) Timeline of cryptography(英語版ハッシュ関数 暗号学的ハッシュ関数 List of hash functions(英語版S/MIME
関連人物 エドワード・スノーデン ローラ・ポイトラス(英語版)(ドキュメンタリー作家) グレン・グリーンウォルド弁護士、当時ガーディアンに寄稿していたジャーナリスト) バートン・ゲルマン(英語版)(ジャーナリスト)
カテゴリ コモンズ