暗号化とデータ保護
ユーザーが PC と一緒に旅行すると、機密情報が一緒に移動します。 機密データが保存されている場合は、物理的なデバイスの盗難や悪意のあるアプリケーションを介した不正なアクセスから保護する必要があります。
BitLocker
BitLocker は、オペレーティング システムと統合されたデータ保護機能であり、紛失、盗難、または不適切に使用停止されたデバイスからのデータの盗難や露出の脅威に対処します。 これは、128 ビットまたは 256 ビットのキー長を持つ XTS または CBC モードの AES アルゴリズムを使用して、ボリューム上のデータを暗号化します。 初期セットアップ時に、OOBE 中に BitLocker が有効になっていて、ユーザーが初めて Microsoft アカウントにサインインすると、BitLocker は回復パスワードを Microsoft アカウントに自動的に保存し、必要に応じて取得します。 ユーザーは、BitLocker を手動で有効にした場合に回復パスワードをエクスポートすることもできます。 回復キーの内容は、OneDrive または Azure 上のクラウド ストレージに保存できます[4]。
組織の場合、BitLocker はグループ ポリシーを使用するか、Microsoft Intune[3]のようなデバイス管理ソリューションを使用して管理できます。 ハードウェア セキュリティ テスト インターフェイス (HSTI)、モダン スタンバイ、UEFI セキュア ブート、TPM などのテクノロジを使用して、OS、固定データ、リムーバブル データ ドライブ (BitLocker To Go) の暗号化を提供します。
Windows 11 バージョン 24H2 の新機能
BitLocker プリブート回復画面には、回復パスワードが MSA に保存されている場合、Microsoft アカウント (MSA) ヒントが含まれます。 このヒントは、回復キー情報を格納するために使用された MSA アカウントをユーザーが理解するのに役立ちます。
詳細情報
BitLocker To Go
BitLocker To Go は、リムーバブル データ ドライブ上の BitLocker を指します。 BitLocker To Go には、USB フラッシュ ドライブ、SD カード、および外付けハード ディスク ドライブの暗号化が含まれています。 ドライブは、パスワード、スマート カードの証明書、または回復パスワードを使用してロックを解除できます。
詳細情報
デバイスの暗号化
デバイス暗号化は、特定のデバイスで BitLocker 暗号化を有効にするプロセスを簡略化する Windows 機能です。 これにより、OS ドライブと固定ドライブのみが暗号化され、外部/USB ドライブは暗号化されません。 さらに、DMA アクセスを許可する外部からアクセス可能なポートを持つデバイスは、デバイス暗号化の対象になりません。 標準の BitLocker 実装とは異なり、デバイスの暗号化は自動的に有効にされ、継続的な保護が保証されます。 Windows のクリーンインストールが完了し、すぐに使えるエクスペリエンスが完了すると、デバイスは暗号化が既に整った状態で最初に使用できるように準備されます。
組織には、BitLocker の完全な実装を優先してデバイス暗号化を無効にするオプションがあります。 これにより、暗号化ポリシーと設定をより詳細に制御できるため、organizationの特定のセキュリティ要件が確実に満たされます。
Windows 11 バージョン 24H2 の新機能
DMA と HSTI/モダン スタンバイのデバイス暗号化の前提条件は削除されます。 この変更により、自動および手動の両方のデバイス暗号化の対象となるデバイスが増えます。
詳細情報
暗号化されたハード ドライブ
暗号化されたハード ドライブは、ハードウェア レベルで自己暗号化されるハード ドライブのクラスです。 これにより、ディスク全体のハードウェア暗号化が可能になり、ユーザーに対して透過的になります。 これらのドライブは、BitLocker によって提供されるセキュリティと管理の利点と、自己暗号化ドライブの機能を兼ね備えています。
暗号化ハード ドライブは、ハードウェアで暗号化操作を実行することにより、BitLocker のパフォーマンスを向上させ、CPU の使用率と電力消費を削減します。 暗号化されたハード ドライブはデータをすばやく暗号化するため、BitLocker の展開をエンタープライズ デバイス間で拡張でき、生産性への影響はほとんどありません。
暗号化されたハード ドライブでは、次の機能が有効になります。
- スムーズなパフォーマンス: ドライブ コントローラーに統合された暗号化ハードウェアを使用すると、パフォーマンスの低下なしにドライブを完全なデータ レートで動作させることができます
- ハードウェアに基づく強力なセキュリティ: 暗号化は常にオンであり、暗号化のキーがハード ドライブから離れることはありません。 ドライブは、ロックを解除する前に、オペレーティング システムから独立してユーザーを認証します
- 使いやすさ: 暗号化はユーザーに対して透過的であり、ユーザーはそれを有効にする必要はありません。 暗号化されたハード ドライブは、オンボード暗号化キーを使用して簡単に消去できます。 ドライブ上のデータを再暗号化する必要はありません
- 保有コストの削減: BitLocker は既存のインフラストラクチャを使用して回復情報を格納するため、暗号化キーを管理するための新しいインフラストラクチャは必要ありません。 プロセッサ サイクルを暗号化プロセスに使用する必要がないため、デバイスの動作効率が高くなります
詳細情報
個人データ暗号化
個人データ暗号化は、ユーザーのコンテンツを保護するために設計されたユーザー認証暗号化メカニズムです。 個人データ暗号化では、pin または生体認証方法を使用して、最新の認証スキームとしてWindows Hello for Businessを使用します。 個人データ暗号化で使用される暗号化キーは、Windows Hello コンテナー内に安全に格納されます。 ユーザーがWindows Helloでサインインすると、コンテナーのロックが解除され、キーを使用してユーザーのコンテンツの暗号化を解除できるようになります。
Windows 11バージョン 22H2 の個人データ暗号化の最初のリリースでは、アプリケーションがコンテンツを保護するために採用できる一連のパブリック API が導入されました。
Windows 11 バージョン 24H2 の新機能
個人用データ暗号化は、 既知のフォルダーの個人用データ暗号化を使用してさらに強化され、Windows フォルダー (ドキュメント、画像、デスクトップ) への保護が拡張されます。
詳細情報
Email暗号化
Email暗号化を使用すると、ユーザーは電子メール メッセージと添付ファイルをセキュリティで保護して、デジタル ID (ID) または証明書を持つ目的の受信者のみがそれらを読み取ることができるようにすることができます[8]。 ユーザーは、送信者の ID を確認し、メッセージが改ざんされていないことを確認するメッセージに デジタル署名 することもできます。
Windows 11に含まれる新しい Outlook アプリでは、Microsoft Purview Message Encryption、S/MIME、Information Rights Management (IRM) など、さまざまな種類の電子メール暗号化がサポートされています。
Secure/多目的インターネット メール拡張機能 (S/MIME) を使用する場合、ユーザーは、organization内のユーザーと、適切な暗号化証明書を持つ外部連絡先に暗号化されたメッセージを送信できます。 受信者は、対応する暗号化解除キーがある場合にのみ、暗号化されたメッセージを読み取ることができます。 暗号化証明書が使用できない受信者に暗号化されたメッセージが送信された場合、メールを送信する前にこれらの受信者を削除するように求められます。
詳細情報