BitLockerとは? わかりやすく解説

Weblio 辞書 > 辞書・百科事典 > デジタル大辞泉 > BitLockerの意味・解説 

ビットロッカー【BitLocker】

読み方:びっとろっかー

ハードディスク内容暗号化し、盗難や不正改竄からハードウエアレベルで保護する機能の一。米国マイクロソフト社のオペレーティングシステムWindows Vista搭載する


BitLocker

読み方ビットロッカー
別名:Windows BitLocker Drive EncryptionBitLocker Drive EncryptionBitLocker ドライブ暗号化

BitLockerとは、Microsoft開発したセキュリティ技術で、ハードディスクHDD内のデータ丸ごと暗号化することによって情報漏えい防止を図る技術のことである。

BitLockerはOSWindows)と密接に連携しており、通常のファイルフォルダだけでなく、Windowsシステムファイルやハイバネーションファイル(休止状態保存ファイル)も含めたHDD全体に対して暗号化施している。BitLockerが普段からディスク内容暗号化しておくことによって、例えノートパソコン不意に盗難にあった場合でも、機密情報流出する危険性大幅に減少するとされる

BitLockerでは、暗号鍵としてTPMTrusted Platform Module1.2呼ばれる特殊なチップ使用される。ただしTPM搭載していないマシンにおいてはUSBフラッシュメモリなどのデバイス用いて暗号鍵管理することができる。USBメモリ使用する場合USBメモリを鍵として挿入することで暗号復号化することができるようになっている

2007年5月現在、BitLockerは、Windows Vistaエディションのうちビジネス向けで情報セキュリティ強化されエディションの「Windows Vista Enterprise」、Windows Vistaすべての機能含んでいる「Windows Vista Ultimate」に搭載されており、Windows Server “Longhorn”開発コードネーム)にも搭載され見込みである。


参照リンク
Microsoft Windows Vista: 機能の説明: Windows BitLocker ドライブ暗号化 - (Microsoft

BitLocker

出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2023/09/05 04:05 UTC 版)

Windows BitLockerドライブ暗号化
開発元 マイクロソフト
対応OS Windows Vista,
Windows 7,
Windows 8/8.1,
Windows 10,
Windows 11,
Windows Server 2008以降
種別 暗号ソフトウェア
ライセンス プロプライエタリ
公式サイト BitLockerドライブ暗号化
テンプレートを表示

Windows BitLockerドライブ暗号化 (ウィンドウズ ビットロッカードライブあんごうか)は、Microsoft Windowsに搭載されているデータ暗号化機能である。Windows Vistaで初めて搭載された。

概要

Windows OS上で、ディスク(の各パーテーション)全体を暗号化することができるセキュリティ機能である。

BitLockerドライブ暗号化を施してあるパーテーションは、そのメディア(HDD,SSD,USBメモリなど)を他のPCにディスクを接続しても、パスワードなどを入力しない限り中身を読むことはできない。コンピューターにTrusted Platform Module(TPM)が搭載されていれば、それを使用して暗号化を行う。

BitLockerドライブ暗号化は、Microsoft Encrypting File System(暗号化ファイルシステム、EFS)とは別の機能で、それぞれ異なる種類の攻撃に対する保護を提供する(詳細は後述)。

Microsoft Encrypting File System(暗号化ファイルシステム、EFS)はユーザーの選択により単独のファイルやディレクトリーごと、またはドライブごとにNTFSファイルシステム上で$EFS代替データストリームに暗号化キーを格納することにより透過的な暗号化を有効にできる(よってFAT32のUSBメモリなどでは使用不可)。一方、BitLockerドライブ暗号化は、単独のファイルやディレクトリーごとの透過的な暗号化はできないものの、FAT32システムフォーマットのUSBメモリも暗号化できる。

BitLockerで暗号化されたディスクはWindows VistaとWindows 7では128ビットまたは256ビットのAES-CBC + Elephant diffuserで暗号化される。Windows 8ではAES-CBCのみで暗号化される[1]。Windows 10バージョン1511ではXTS-AESも使用可能になった[2]。暗号化されたディスクは、一般的に3〜5%のパフォーマンス低下が見られる。また、SSDのTrim機能に対応する[3]

機能を使用できるWindowsのバージョン

BitLockerで、まだ暗号化されていないディスクを暗号化ディスクに変換する機能は、各Windowsの上位エディションに限定されている。

クライアントWindowsでは以下のエディションで使用可能である。

  • Vistaと7ではUltimate、Enterpriseエディション
  • 8と8.1ではPro、Enterpriseエディション
  • 10と11ではPro、Enterprise、Educationエディション

Windows Server 2008 以降では、いずれのエディションでも使用可能である。

一方で、BitLockerで暗号化されたディスクを読み取る機能は、各Windowsの(無印、Home,starterなどの)下位エディションでも可能である。BitLocker の機能限定版である「デバイスの暗号化」は後述。

暗号化アルゴリズムの互換性

2015年11月にリリースされたWindows 10 バージョン 1511(Windows 10 TH2、2018年4月にサポート終了) 以降、マイクロソフトは、BitLocker に新しい FIPS 準拠の XTS-AES暗号化アルゴリズムを追加し、オペレーティング システム ドライブと、固定データ ドライブを暗号化しようとした場合にXTS-AES 128 ビットが規定のアルゴリズムとして選択されるようになった(リムーバブルドライブは既定でAES-CBC 128アルゴリズムが選択される)[4]。 。

  • AES-CBC 128 ビット(リムーバブル データ ドライブ既定)
  • AES-CBC 256 ビット
  • XTS-AES 128 ビット (オペレーティング システム ドライブ,固定データ ドライブ既定)
  • XTS-AES 256 ビット

このため、リムーバブルはもちろんのこと、OSドライブや、データ専用の内蔵HDD,SSDを、特に意識せず(アルゴリズムの指定をせず)にBitLocker暗号化した場合、そのBitLocker暗号化ドライブは(既定値のXTS-AESアルゴリズムで暗号化されるため、これに非対応の)Windows 8.1やWindows 7などでは読み取りできないこととなる[5]

固定データ ドライブを、Windows 10 (Version 1511) 以降が実行されていない他のデバイスで使用する可能性がある場合、AES-CBC 128 ビットまたは AES-CBC 256 ビットを使用する必要がある。例えばOSドライブとは別の内蔵デバイスとしてSATA接続のデータ専用SSDを(データの移行や復旧作業などのために)一時的にWindows 8.1やWindows 7など、別のOSが稼働する環境に付け替えて読み取りを試みる可能性がある場合、最初にBitLocker暗号化する段階で、暗号化アルゴリズムを意図的に(リムーバブルドライブと同様の)AES-CBC 128 ビットまたは AES-CBC 256 ビットに指定して暗号化しておかねば、読み取りできない[6]

BitLocker To Go

Windows 7以降のエディションでは、USBメモリなどのリムーバブル・ディスクの暗号化を行えるBitLocker To Go機能が追加された。

BitLocker To Go リーダー

BitLocker To Go非対応のWindows XPとWindows Vistaで、暗号化されたディスクからデータを読み取るためのアプリケーション。読み取りのみで書き込みは行えない。また、読み取れるのはFAT16、FAT32、またはexFATのみでNTFSや他のファイルシステムは読み取れない。[7]

Windows 7以降では下位エディションでもBitLockerで暗号化されたドライブの読み書きが可能なためリーダーは必要なく上記の制限はない。[8]

デバイスの暗号化

Windows RT 8とWindows 8.1(無印)で導入された、システムドライブの暗号化のみが可能な、機能限定版。Homeエディションでも利用可能。

  • InstantGo
  • TPM 2.0
  • Microsoftアカウントと紐づけた管理者アカウント

が必須要件。前述のBitLockerが使用可能なエディションではBitLockerから管理できる。

暗号化モード

BitLocker暗号化実装を構築するものとして次の3つの認証機構が使われている。[9]

透過動作モード
このモードはTPM 1.2ハードウェアの機能を使って透過的ユーザー・エクスペリエンスを提供する。ユーザーは通常通り電源を入れてWindowsにログオンする。ディスク暗号化に使われるキーはTPMチップによって暗号化され、改変されていない最初のブートファイルを読み込むときにOSローダーコードによって解除される。BitLockerのOS起動前コンポーネントは Trusted Computing Group (TCG) によって規定された手法 "Static Root of Trust Measurement" の実装によって成り立っている。このモードはコールドブートアタック[注 1]に対して脆弱であり、攻撃者は電源が切れているマシンをブートさせることが可能である。
ユーザー認証モード
このモードではOSのブート前にユーザーがPINやパスワードによる認証を行う必要がある。
USBキー モード
ユーザーは保護されたOSから起動するために、起動用のキーを含むUSBデバイスをコンピューターに接続する必要がある。USBキーは暗号化スマートカードを読み込むCCID英語版デバイスで供給される。ただ単に外部USBドライブにキーファイルを格納するよりも、CCIDを使用することが好ましい。CCIDプロトコルは秘密鍵をスマートカードに組み込まれた暗号化プロセッサによって秘匿し、単純にUSBドライブからコピーして盗まれたキーファイルによってシステムが侵害されることを防ぐからである。

上記の認証方法から次の組み合わせがサポートされており、全てはオプションの回復キー(キーエスクロウ)をサポートする。[10]

  • TPMのみ[11]
  • TPM + PIN[12]
  • TPM + PIN + USBキー[13]
  • TPM + USBキー[14]
  • USBキー[15]
  • パスワードのみ

動作

BitLockerは論理ボリューム暗号化システムである。ボリュームはハードディスクドライブ全体であってもそうでなくても、あるいは複数の物理ドライブでスパン構成されていてもよい。また、有効時にはTPMとBitLockerはオフラインでの物理的攻撃、ブートセクタ感染型マルウェアなどを阻止するために、信頼されたブートパス(BIOSやブートセクタ)の同一性を確保する。

BitLockerが機能するために、少なくとも2つのNTFSフォーマット済みボリュームが必要になる。1つはオペレーティングシステム(通常はCドライブ)で、もう一つはオペレーティングシステムのブート用となる最小100MBのボリュームである[16]。ブートボリュームは暗号化されていない必要がある。Windows Vistaではこのボリュームに必ずドライブ文字が割り当てられるが、Windows 7ではその必要はない。旧バージョンのWindowsと異なり、Windows VistaのDISKPARTコマンドはNTFSボリュームのサイズを縮小する機能があり、BitLockerのためのシステムボリュームは確保済みの空き領域から作成することができる。マイクロソフトよりBitLocker Drive Preparation Toolが提供されており、新しいボリュームのためにWindows Vista上の既存のボリュームを縮小して必要なブートストラップファイルを転送するようになっている[17]。Windows 7ではBitLockerが使われていない場合でも既定でブートボリュームを作成するようになっている。

一度代替ブートパーティションが作成されると、TPM、PINまたはUSBキーなどのディスク暗号化キー保護機構を設定した後にTPMモジュールを初期化する必要がある。それからボリュームはバックグラウンド処理で暗号化される。全ての論理セクタを読み込み、暗号化し、ディスクに再度書き戻すため、サイズの大きいディスクでは時間が掛かる場合がある。全てのボリュームが暗号化されてボリュームが安全であると考えられるとき、キーは保護される。BitLockerは低水準デバイスドライバを用いて全てのファイルを暗号化・復号しており、暗号化ボリュームはプラットフォーム上で動作するアプリケーションに対して透過的に作用する。

一度オペレーティングシステムカーネルが起動すると、BitLockerと共に暗号化ファイルシステム (Encrypting File System ; EFS) によって保護が行われる。オペレーティングシステム上のプロセスやユーザーからのファイルの保護はEFSなどのWindows上で実行されるソフトウェアによってのみ暗号化が行われる。従って、BitLockerとEFSはそれぞれ異なる種類の攻撃に対する保護を提供する。[18]

Active Directory環境ではBitLockerはオプションのキーエスクロウをサポートする。(Windows Server 2008以前のWindowsバージョンでActive Directoryサービスが動いている場合、スキームの更新が必要になることがある。)

BitLockerおよび他の完全ディスク暗号化システムは不正なブートマネージャーによる攻撃を受ける可能性がある。一度悪意のあるブートローダーが秘匿情報を手に入れてしまうと、ボリュームマスターキー (Volume Master Key ; VMK) を復号して暗号化済みハードディスクのどんな情報も復号または改変するアクセスが可能になる。BIOSやブートセクタを含む信頼されたブートパスを保護するようにTPMを設定することで、BitLockerはこの脅威を低減できる。(ただ、時によってブートパスに対する正しい変更がPCRチェックの失敗と判断され、警告メッセージを表示させることがある。)[19]

第1システムデバイスでBitLockerを使うには、UEFIで互換性サポートモジュール (Compatibility Support Module ; CSM) を無効にする必要がある。[要検証]

脚注

注釈

  1. ^ システムの電源切断後もしばらくの間はDRAMのデータが消えずに残留することを利用した攻撃手法。

出典

  1. ^ BitLocker Overview
  2. ^ What's new in BitLocker?” (2015年11月12日). 2015年11月16日閲覧。
  3. ^ ソリッド ステート ドライブ (SSD) に関するサポートと Q&A
  4. ^ 第2回 BitLocker To GoでUSBメモリやリムーバブルハードディスクを暗号化して保護する (1_2):超入門BitLocker”. 打越浩幸. @IT (2017年3月1日). 2020年12月27日閲覧。
  5. ^ ドライブの暗号化方法と暗号強度を選択してください (Windows 10 [Version 1511 以降)]”. Group Policy Administrative Templates. Microsoft. 2020年12月27日閲覧。
  6. ^ Windows 10 デバイスで BitLocker による暗号化を有効にする”. Google Workspace 管理者 ヘルプ. 2020年12月27日閲覧。
  7. ^ Description of BitLocker To Go Reader”. 2015年11月16日閲覧。
  8. ^ BitLocker To Go リーダーとは”. 2016年4月11日時点のオリジナルよりアーカイブ。2014年3月29日閲覧。 “どのエディションの Windows 7 でも暗号化されたドライブを開いて変更することはできます。”
  9. ^ BitLocker Drive Encryption”. Data Encryption Toolkit for Mobile PCs: Security Analysis. Microsoft (2007年4月4日). 2007年9月5日閲覧。
  10. ^ ProtectKeyWithNumericalPassword method of the Win32_EncryptableVolume class”. MSDN Library. Microsoft (2008年2月19日). 2008年7月18日閲覧。
  11. ^ ProtectKeyWithTPM method of the Win32_EncryptableVolume class”. MSDN Library. Microsoft (2008年2月19日). 2008年7月18日閲覧。
  12. ^ ProtectKeyWithTPMAndPIN method of the Win32_EncryptableVolume class”. MSDN Library. Microsoft (2008年2月19日). 2008年7月18日閲覧。
  13. ^ ProtectKeyWithTPMAndPINAndStartupKey method of the Win32_EncryptableVolume class”. MSDN Library. Microsoft (2008年2月19日). 2008年7月18日閲覧。
  14. ^ ProtectKeyWithTPMAndStartupKey method of the Win32_EncryptableVolume class”. MSDN Library. Microsoft (2008年2月19日). 2008年7月18日閲覧。
  15. ^ ProtectKeyWithExternalKey method of the Win32_EncryptableVolume class”. MSDN Library. Microsoft (2008年2月19日). 2008年7月18日閲覧。
  16. ^ BitLocker Drive Encryption in Windows 7: Frequently Asked Questions”. TechNet Library. Microsoft (2012年3月22日). 2012年4月7日閲覧。
  17. ^ Description of the BitLocker Drive Preparation Tool”. Microsoft (2007年9月7日). 2008年2月19日時点のオリジナルよりアーカイブ。2008年2月22日閲覧。
  18. ^ Ou, George (2007年6月8日). “Prevent data theft with Windows Vista's Encrypted File System (EFS) and BitLocker”. TechRepublic. CBS Interactive. 2013年9月7日閲覧。
  19. ^ BitLocker Drive Encryption in Windows 7: Frequently Asked Questions”. TechNet Library. Microsoft (2012年3月22日). 2013年3月16日閲覧。

関連項目

  • ディスクの暗号化(英語)
  • ディスク暗号化ソフトの比較(英語)
  • BestCrypt(英語)(ディスク暗号化ソフトウェア。Windows、Mac OS X、Linux に対応。)
  • FileVault(Mac OS Xに搭載されているディスク暗号化機能)
  • TrueCrypt(オープンソースのディスク暗号化ソフトウェア。Windows 7/Vista/XP、Mac OS X、Linux に対応。)
  • VeraCrypt(開発が終了したTrueCryptのソースコードを引き継いだオープンソースのディスク暗号化ソフトウェア。Windows、OS X、Linux に対応。)
  • DiskCryptor(英語)(Windows用のディスク暗号化ソフトウェア。パーティションにデータがある状態のままでドライブやパーティションを暗号化できる。 ファイルコンテナは作成できない。)
  • FreeOTFE(英語)(Windows 2000 から 7 までの全バージョンで動作する。Linux は限定的にサポート)
  • FreeOTFE Explorer(英語)(管理者権限がなくとも、暗号ボリュームにアクセスできるGUIシェル)
  • CryptoNAS(英語)(Linux ベースの NAS サーバーで、一緒に利用するドライブを暗号化。ネットワーク内のコンピュータ上で Samba(Windows)共有経由でアクセスできる。)
  • LUKS(ディスク暗号化ソリューションの一つ)
  • Pretty Good Privacy, GNU Privacy Guard(公開鍵暗号化方式によるファイル暗号化ソフトウエア)
  • 暗号
  • Advanced Encryption Standard
  • データの完全消去
  • 暗号化ファイルシステム

外部リンク


BitLocker

出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/02/23 00:07 UTC 版)

Windowsのセキュリティ機能」の記事における「BitLocker」の解説

詳細は「BitLocker」を参照 BitLockerはディスク全体暗号化することができるセキュリティ機能。他のPCディスク接続されても、中身を読むことはできないコンピューターTrusted Platform Module(TPM)が搭載されていれば、それを使用して暗号化を行う。BitLocker To GoUSBメモリなどのリムーバブル・ディスク暗号化行える。

※この「BitLocker」の解説は、「Windowsのセキュリティ機能」の解説の一部です。
「BitLocker」を含む「Windowsのセキュリティ機能」の記事については、「Windowsのセキュリティ機能」の概要を参照ください。

ウィキペディア小見出し辞書の「BitLocker」の項目はプログラムで機械的に意味や本文を生成しているため、不適切な項目が含まれていることもあります。ご了承くださいませ。 お問い合わせ


英和和英テキスト翻訳>> Weblio翻訳
英語⇒日本語日本語⇒英語
  

辞書ショートカット

すべての辞書の索引

「BitLocker」の関連用語

BitLockerのお隣キーワード
検索ランキング

   

英語⇒日本語
日本語⇒英語
   



BitLockerのページの著作権
Weblio 辞書 情報提供元は 参加元一覧 にて確認できます。

   
デジタル大辞泉デジタル大辞泉
(C)Shogakukan Inc.
株式会社 小学館
IT用語辞典バイナリIT用語辞典バイナリ
Copyright © 2005-2025 Weblio 辞書 IT用語辞典バイナリさくいん。 この記事は、IT用語辞典バイナリの【BitLocker】の記事を利用しております。
ウィキペディアウィキペディア
All text is available under the terms of the GNU Free Documentation License.
この記事は、ウィキペディアのBitLocker (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。 Weblio辞書に掲載されているウィキペディアの記事も、全てGNU Free Documentation Licenseの元に提供されております。
ウィキペディアウィキペディア
Text is available under GNU Free Documentation License (GFDL).
Weblio辞書に掲載されている「ウィキペディア小見出し辞書」の記事は、WikipediaのWindowsのセキュリティ機能 (改訂履歴)、Microsoft Windows Vista (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。

©2025 GRAS Group, Inc.RSS