BitLocker 計画ガイド
BitLocker 展開戦略には、organizationのセキュリティ要件に基づいて適切なポリシーと構成要件を定義する方法が含まれます。 この記事は、BitLocker の展開に役立つ情報の収集に役立ちます。
環境を監査する
BitLocker の展開を計画するには、現在の環境を理解します。 非公式監査を実行して、現在のポリシー、手順、およびハードウェア環境を定義します。 既存のディスク暗号化ソフトウェアとorganizationのセキュリティ ポリシーを確認します。 organizationがディスク暗号化ソフトウェアを使用していない場合は、これらのポリシーが存在しない可能性があります。 ディスク暗号化ソフトウェアが使用されている場合は、特定の BitLocker 機能を使用するためにポリシーの変更が必要になる場合があります。
organizationの現在のディスク暗号化セキュリティ ポリシーを文書化するには、次の質問にお答えください。
☑️ | 質問 |
---|---|
🔲 | BitLocker を使用する必要があるデバイスと使用しないデバイスを決定するためのポリシーはありますか? |
🔲 | 回復パスワードと回復キーストレージを制御するためのポリシーは何ですか? |
🔲 | BitLocker 回復を実行する必要があるユーザーの ID を検証するためのポリシーは何ですか? |
🔲 | 回復データにアクセスできるorganization内のユーザーを制御するためのポリシーは何ですか? |
🔲 | デバイスの使用停止または廃止を制御するためのポリシーは何ですか? |
🔲 | 暗号化アルゴリズムの強度は何ですか? |
暗号化キーと認証
トラステッド プラットフォーム モジュール (TPM) は、製造元が多くの Windows デバイスにインストールするハードウェア コンポーネントです。 BitLocker と連携して、ユーザー データを保護し、システムがオフラインの間にデバイスが改ざんされていないことを確認します。
BitLocker は、ユーザーが個人識別番号 (PIN) を提供するか、スタートアップ キーを含むリムーバブル USB デバイスを挿入するまで、通常の起動プロセスをロックできます。 これらの追加のセキュリティ対策により、多要素認証が提供されます。 また、正しい PIN またはスタートアップ キーが表示されるまで、コンピューターが休止状態から起動または再開されないようにします。
TPM を持たないデバイスでは、BitLocker を使用して Windows オペレーティング システム ボリュームを暗号化できます。 ただし、この実装では、TPM を操作する BitLocker によって提供されるスタートアップ前のシステム整合性検証は提供されません。
ほとんどのセキュリティ制御と同様に、情報保護の効果的な実装では、使いやすさとセキュリティが考慮されます。 通常、ユーザーはシンプルなセキュリティ エクスペリエンスを好みます。 実際、セキュリティ ソリューションが透過的になればなるほど、ユーザーが従う可能性が高くなります。
デバイスの状態やユーザーの意図に関係なく、組織がデバイス上の情報を保護することが重要です。 この保護は、ユーザーにとって煩雑になることはありません。 望ましくない以前の状況の 1 つは、ユーザーがプレブート中に入力を求められた後、Windows サインイン中に再び入力を求められる場合です。 ユーザーに入力を複数回求めることは避ける必要があります。
TPM は、保存中に BitLocker 暗号化キーを安全に保護でき、オペレーティング システム ドライブのロックを安全に解除できます。 キーが使用中であり、メモリ内にある場合は、ハードウェアと Windows の機能の組み合わせによってキーをセキュリティで保護し、コールド ブート攻撃による未承認のアクセスを防ぐことができます。 PIN ベースのロック解除などの他の対策は利用できますが、ユーザーフレンドリではありません。デバイスの構成によっては、キー保護に関してより多くのセキュリティが提供されない場合があります。 詳細については、「 BitLocker の対策」を参照してください。
BitLocker キー 保護機能
BitLocker 暗号化キーを保護するために、BitLocker ではさまざまな種類の 保護機能を使用できます。 BitLocker を有効にすると、各保護機能は ボリューム マスター キーのコピーを受け取り、その後、独自のメカニズムを使用して暗号化されます。
キー プロテクター | 説明 |
---|---|
自動ロック解除 | オペレーティング システムをホストしていないボリュームのロックを自動的に解除するために使用されます。 BitLocker では、レジストリとボリュームのメタデータに格納されている暗号化された情報を使用して、自動ロック解除を使用するすべてのデータ ボリュームのロックを解除します。 |
OS ドライブのパスワードとパスワード | ドライブのロックを解除するには、ユーザーがパスワードを指定する必要があります。 OS ドライブに使用すると、ユーザーはプリブート画面でパスワードの入力を求められます。 この方法ではロックアウト ロジックが提供されないため、ブルート フォース攻撃から保護されません。 |
スタートアップ キー | リムーバブル メディアに格納できる暗号化キー。ファイル名形式 <protector_id>.bek は です。 回復キーまたはスタートアップ キーを持つ USB フラッシュ ドライブの入力を求められたら、デバイスを再起動します。 |
スマート カード証明書 | オペレーティング システムをホストしていないボリュームのロックを解除するために使用されます。 ドライブのロックを解除するには、ユーザーがスマート カードを使用する必要があります。 |
TPM | セキュリティで保護された信頼のルートを確立し、初期ブート コンポーネントを検証するために使用されるハードウェア デバイス。 TPM 保護機能は、OS ドライブでのみ使用できます。 |
TPM + PIN | ユーザーが入力した数値キーまたは英数字キー 保護機能。OS ボリュームと TPM に加えてのみ使用できます。TPM は、初期ブート コンポーネントを検証します。 ユーザーは、起動プロセスを続行する前に正しい PIN を入力し、ドライブのロックを解除する前に入力する必要があります。 不適切な PIN が繰り返し入力された場合、TPM はロックアウトに入り、ブルート フォース攻撃から PIN を保護します。 ロックアウトをトリガーする繰り返し試行回数は変数です。 |
TPM + スタートアップ キー | TPM は、初期ブート コンポーネントを正常に検証します。 ユーザーは、OS を起動する前に、スタートアップ キーを含む USB ドライブを挿入する必要があります。 |
TPM + スタートアップ キー + PIN | TPM は、初期ブート コンポーネントを正常に検証します。 OS を起動するには、ユーザーが正しい PIN を入力し、起動キーを含む USB ドライブを挿入する必要があります。 |
回復パスワード | ボリュームが回復モードのときにロックを解除するために使用される 48 桁の番号。 多くの場合、数値は通常のキーボードで入力できます。 通常のキーボードの番号が応答しない場合は、ファンクション キー (F1 から F10) を使用して数値を入力できます。 |
TPM + ネットワーク キー | TPM は初期ブート コンポーネントを正常に検証し、WDS サーバーから有効な暗号化されたネットワーク キーが提供されています。 この認証方法は、多要素認証を維持しながら OS ボリュームの自動ロック解除を提供します。 このキー 保護機能は、OS ボリュームでのみ使用できます。 |
回復キー | BitLocker ボリュームで暗号化されたデータを回復するために使用できるリムーバブル メディアに格納されている暗号化キー。 ファイル名の形式 <protector_id>.bek は です。 |
Data Recovery エージェント | データ復旧エージェント (DRA) は、証明書を使用して BitLocker で保護されたドライブを復号化できるアカウントです。 BitLocker で保護されたドライブの回復は、適切な証明書で構成されたデータ復旧エージェントによって実現できます。 |
Active Directory ユーザーまたはグループ | 特定された Active Directory ユーザーまたはグループ セキュリティ (SID) に基づく保護機能。 このようなユーザーがアクセスしようとすると、データ ドライブのロックが自動的に解除されます。 |
TPM を使用しないデバイスのサポート
環境内に TPM 1.2 以降のバージョンを持たないコンピューターがサポートされるかどうかを判断します。 TPM を使用しないデバイスをサポートする場合、ユーザーは USB スタートアップ キーまたはパスワードを使用してシステムを起動する必要があります。 スタートアップ キーには、多要素認証のような追加のサポート プロセスが必要です。
ベースライン レベルのデータ保護が必要なorganizationの領域は何ですか?
TPM のみの認証方法は、セキュリティ ポリシーを満たすためにベースライン レベルのデータ保護を必要とする組織にとって最も透過的なユーザー エクスペリエンスを提供します。 総保有コストが最も低くなります。 また、TPM のみの方が無人のデバイスや、無人で再起動する必要があるデバイスに適している場合もあります。
ただし、TPM のみの認証方法では、高度なデータ保護は提供されません。 この認証方法は、初期ブート コンポーネントを変更する攻撃から保護します。 ただし、保護のレベルは、ハードウェアまたは初期ブート コンポーネントの潜在的な弱点の影響を受ける可能性があります。 BitLocker の多要素認証方法により、データ保護の全体的なレベルが大幅に向上します。
ヒント
TPM のみの認証の利点は、デバイスがユーザー操作なしで Windows を起動できることです。 デバイスが紛失または盗難にあった場合、この構成には利点がある可能性があります。デバイスがインターネットに接続されている場合は、Microsoft Intuneなどのデバイス管理ソリューションでリモートでワイプできます。
より安全なレベルのデータ保護が必要なorganizationの領域は何ですか?
機密性の高いデータを持つデバイスがある場合は、それらのシステムに多要素認証を使用して BitLocker を展開します。 ユーザーに PIN の入力を要求すると、システムの保護レベルが大幅に向上します。 BitLocker ネットワーク ロック解除を使用して、ネットワーク ロック解除キーを提供できる信頼された有線ネットワークに接続されている場合に、これらのデバイスが自動的にロック解除されるようにすることもできます。
organizationはどのような多要素認証方法を好みますか?
多要素認証方法によって提供される保護の違いを簡単に定量化することはできません。 ヘルプデスクのサポート、ユーザー教育、ユーザーの生産性、自動化されたシステム管理プロセスに対する各認証方法の影響を考慮してください。
パスワードと PIN の管理
システム ドライブで BitLocker が有効になっていて、デバイスに TPM がある場合、BitLocker がドライブのロックを解除する前に PIN を入力する必要があります。 このような PIN 要件により、デバイスへの物理的なアクセス権を持つ攻撃者が Windows サインインにアクセスすることさえできなくなり、攻撃者がユーザー のデータやシステム ファイルにアクセスしたり、変更したりすることがほぼ不可能になります。
起動時に PIN を要求することは、2 番目の認証要素として機能するため、便利なセキュリティ機能です。 ただし、この構成には、特に PIN を定期的に変更する必要がある場合は、いくつかのコストが発生します。
さらに、モダン スタンバイ デバイスでは、起動に PIN は必要ありません。起動頻度が低く、システムの攻撃面をさらに減らすその他の軽減策が組み込まれています。
スタートアップ セキュリティのしくみと Windows で提供される対策の詳細については、「 プレブート認証」を参照してください。
TPM ハードウェア構成
展開計画で、サポートされている TPM ベースのハードウェア プラットフォームを特定します。 構成をテストしてサポートできるように、organizationで使用される OEM のハードウェア モデルを文書化します。 TPM ハードウェアでは、計画と展開のすべての側面で特別な考慮事項が必要です。
TPM 1.2 の状態と初期化
TPM 1.2 の場合、複数の状態が考えられます。 Windows は TPM を自動的に初期化します。これにより、TPM が有効、アクティブ化、所有状態になります。 この状態は、TPM を使用する前に BitLocker が必要とする状態です。
保証キー
TPM を BitLocker で使用できるようにするには、RSA キー ペアである保証キーを含める必要があります。 キー ペアのプライベート 半分は TPM 内に保持され、TPM の外部で表示またはアクセスされることはありません。 TPM に保証キーがない場合、BitLocker は、BitLocker セットアップの一部として TPM に自動的に生成されるように強制します。
保証キーは、TPM のライフサイクルのさまざまなポイントで作成できますが、TPM の有効期間に 1 回だけ作成する必要があります。 TPM に保証キーが存在しない場合は、TPM 所有権を取得する前に作成する必要があります。
TPM と TCG の詳細については、「トラステッド コンピューティング グループ: トラステッド プラットフォーム モジュール (TPM) 仕様」を参照してください。
TPM 以外のハードウェア構成
TPM のないデバイスは、スタートアップ キーを使用してドライブ暗号化で保護できます。
TPM 以外の構成でのデプロイに影響する可能性がある問題を特定するには、次の質問を使用します。
- これらの各デバイスの USB フラッシュ ドライブの予算はありますか?
- 既存の TPM 以外のデバイスでは、起動時に USB ドライブがサポートされていますか?
BitLocker を有効にしながら、BitLocker システム チェック オプションを使用して個々のハードウェア プラットフォームをテストします。 システム チェックは、BitLocker がボリュームを暗号化する前に、USB デバイスと暗号化キーから回復情報を正しく読み取ることができることを確認します。
ディスク構成に関する考慮事項
正常に機能するには、BitLocker には特定のディスク構成が必要です。 BitLocker には、次の要件を満たす 2 つのパーティションが必要です。
- オペレーティング システム パーティションには、オペレーティング システムとそのサポート ファイルが含まれています。NTFS ファイル システムでフォーマットする必要があります
- システム パーティション (またはブート パーティション) には、BIOS または UEFI ファームウェアがシステム ハードウェアを準備した後に Windows を読み込むのに必要なファイルが含まれています。 このパーティションでは BitLocker が有効になっていません。 BitLocker を機能させるには、システム パーティションを暗号化し、オペレーティング システムとは異なるパーティション上に配置する必要があります。 UEFI プラットフォームでは、システム パーティションは FAT 32 ファイル システムでフォーマットする必要があります。 BIOS プラットフォームでは、システム パーティションは NTFS ファイル システムでフォーマットする必要があります。 サイズは 350 MB 以上である必要があります。
Windows セットアップでは、BitLocker 暗号化をサポートするようにコンピューターのディスク ドライブが自動的に構成されます。
Windows Recovery Environment (Windows RE) は、Windows プレインストール環境 (Windows PE) に基づく拡張可能な回復プラットフォームです。 コンピューターの起動に失敗すると、Windows はこの環境に自動的に移行し、Windows REのスタートアップ修復ツールによって、起動できない Windows インストールの診断と修復が自動化されます。 Windows REには、回復キーまたは回復パスワードを指定して BitLocker によって保護されたボリュームのロックを解除するために必要なドライバーとツールも含まれています。 BitLocker でWindows REを使用するには、Windows REブート イメージが BitLocker によって保護されていないボリューム上にある必要があります。
Windows REは、ローカル ハード ディスク以外のブート メディアからも使用できます。 Windows RE BitLocker 対応コンピューターのローカル ハード ディスクにインストールされていない場合は、さまざまな方法を使用してWindows REを起動できます。 たとえば、Windows Deployment Services (WDS) または USB フラッシュ ドライブを回復に使用できます。
BitLocker プロビジョニング
管理者は、 Windows プレインストール環境 (WinPE) からオペレーティング システムの展開を行う前に BitLocker を有効にすることができます。 この手順は、フォーマットされたボリュームにランダムに生成されたクリア キー 保護機能を適用して行います。 これは、Windows セットアップ プロセスを実行する前にボリュームを暗号化します。 暗号化で [使用済みディスク領域のみ ] オプションを使用する場合、この手順は数秒しかかからず、既存のデプロイ プロセスに組み込むことができます。 事前プロビジョニングには TPM が必要です。
特定のボリュームの BitLocker 状態をチェックするには、管理者は BitLocker コントロール パネル アプレットまたは Windows エクスプローラーでドライブの状態を確認できます。
[アクティブ化の待機中] 状態は、ドライブが BitLocker 用に事前プロビジョニングされたことを意味し、ボリュームの暗号化に使用される明確な保護機能のみが存在します。 この場合、ボリュームは保護されていないため、ドライブが完全に保護されていると見なされる前に、ボリュームにセキュリティで保護されたキーを追加する必要があります。 管理者は、コントロール パネル オプション、PowerShell コマンドレット、ツール、manage-bde.exe
または WMI API を使用して、適切なキー 保護機能を追加できます。 その後、ボリュームの状態が更新されます。
コントロール パネルオプションを使用する場合、管理者は BitLocker をオンにし、ウィザードの手順に従って、オペレーティング システム ボリュームの PIN (または TPM がない場合はパスワード)、パスワードまたはスマート カード 保護機能をデータ ボリュームに追加できます。 その後、ボリュームの状態を変更する前に、ドライブのセキュリティ ウィンドウが表示されます。
使用済みディスク領域のみ 暗号化
BitLocker セットアップ ウィザードを使用すると、管理者は、ボリュームに対して BitLocker を有効にするときに、[ 使用済みディスク領域のみ ] または [完全 暗号化] 方法を選択できます。 管理者は、BitLocker ポリシー設定を使用して、使用済みディスク領域のみまたは完全なディスク暗号化を適用できます。
BitLocker セットアップ ウィザードを起動すると、認証方法を使用するように求められます (パスワードとスマート カードはデータ ボリュームで使用できます)。 方法が選択され、回復キーが保存されると、ウィザードはドライブの暗号化の種類の選択を求めます。 [ 使用済みディスク領域のみ] または [ フル ドライブ暗号化] を選択します。
[使用済みディスク領域のみ] では、データを含むドライブの部分のみが暗号化されます。 未使用の領域は暗号化されません。 この動作により、特に新しいデバイスとデータ ドライブの場合、暗号化プロセスが高速になります。 この方法で BitLocker が有効になっている場合、ドライブにデータが追加されると、使用されるドライブの部分が暗号化されます。 そのため、暗号化されていないデータがドライブに格納されることはありません。
フル ドライブ暗号化では、データが格納されているかどうかに関係なく、ドライブ全体が暗号化されます。 このオプションは、再利用されたドライブに役立ち、以前の使用からのデータ残りが含まれている可能性があります。
注意
機密データが暗号化されていない状態で既に格納されている可能性がある既存のボリューム上の使用済み領域のみを暗号化する場合は注意してください。 使用済み領域暗号化を使用する場合、以前に暗号化されていないデータが格納されているセクターは、新しい暗号化されたデータによって上書きされるまで、ディスク回復ツールを使用して回復できます。 対照的に、まったく新しいボリューム上の使用領域のみを暗号化すると、ディスクに書き込まれるすべての新しいデータが暗号化されるため、セキュリティ リスクなしでデプロイ時間を大幅に短縮できます。
暗号化されたハード ドライブのサポート
暗号化されたハード ドライブは、ドライブ上のデータを暗号化するためのオンボード暗号化機能を提供します。 この機能は、デバイスのプロセッサからドライブ自体に暗号化計算をオフロードすることで、ドライブとシステムの両方のパフォーマンスを向上させます。 専用の専用ハードウェアを使用して、ドライブによってデータが迅速に暗号化されます。 Windows でドライブ全体の暗号化を使用する場合は、暗号化されたハード ドライブのいずれかがセキュリティと予算の要件を満たしているかどうかを判断するために、ハード ドライブの製造元とモデルを調査することをお勧めします。
暗号化されたハード ドライブの詳細については、「 暗号化されたハード ドライブ」を参照してください。
Microsoft Entra IDとActive Directory Domain Servicesに関する考慮事項
BitLocker は、Microsoft Entra IDとActive Directory Domain Services (AD DS) と統合され、一元化されたキー管理を提供します。 既定では、回復情報はMicrosoft Entra IDまたは AD DS にバックアップされません。 管理者は、BitLocker 回復情報のバックアップを有効にするために、ドライブの種類ごとに ポリシー設定 を構成できます。
次の回復データは、コンピューター オブジェクトごとに保存されます。
- 回復パスワード: BitLocker で保護されたボリュームを回復するために使用される 48 桁の回復パスワード。 BitLocker が回復モードになったときにボリュームのロックを解除するには、このパスワードを入力する必要があります
- キー パッケージ: キー パッケージと回復パスワードを使用すると、ディスクが重大な損傷を受けた場合、BitLocker で保護されたボリュームの一部を復号化できます。 各キー パッケージは、作成されたボリュームでのみ機能します。これは、対応するボリューム ID によって識別されます。
回復パスワード 保護機能に対する FIPS のサポート
FIPS モードで動作するように構成されたデバイスでは、 FIPS-140 NIST SP800-132 アルゴリズムを使用する FIPS 準拠の回復パスワード 保護機能を作成できます。
注
米国連邦情報処理標準 (FIPS) は、米国連邦政府によって使用されるコンピューター システムのセキュリティと相互運用性の要件を定義します。 FIPS-140 標準では、承認された暗号化アルゴリズムが定義されています。 FIPS-140 標準では、キー生成とキー管理の要件も規定されています。 国立標準技術研究所 (NIST) は、暗号化モジュール検証プログラム (CMVP) を使用して、暗号化アルゴリズムの特定の実装が FIPS-140 標準に準拠しているかどうかを判断します。 暗号化アルゴリズムの実装は、FIPS-140 準拠と見なされます。これは、それが送信され、NIST 検証に合格した場合のみです。 送信されていないアルゴリズムは、実装が同じアルゴリズムの検証済み実装として同じデータを生成した場合でも、FIPS 準拠と見なすことはできません。
- FIPS 準拠の回復パスワード 保護機能は、AD DS にエクスポートして格納できます
- 回復パスワードの BitLocker ポリシー設定は、FIPS モードかどうかに関係なく、BitLocker をサポートするすべての Windows バージョンで同じように機能します
ネットワークロック解除
一部の組織では、特に価値の高いデータを含む環境で、場所固有のデータ セキュリティ要件があります。 ネットワーク環境は、重要なデータ保護を提供し、必須の認証を適用する場合があります。 そのため、ポリシーでは、これらのデバイスが建物を離れたり、会社のネットワークから切断したりしてはならないことを示しています。 物理的なセキュリティ ロックやジオフェンスなどのセーフガードは、このポリシーをリアクティブコントロールとして適用するのに役立つ場合があります。 これらのセーフガードを超えて、デバイスが企業ネットワークに接続されている場合にのみデータ アクセスを許可するプロアクティブなセキュリティ制御が必要です。
ネットワーク ロック解除 を使用すると、Windows 展開サービスが実行されている有線企業ネットワークに接続すると、BitLocker で保護されたデバイスが自動的に開始されます。 デバイスが企業ネットワークに接続されていない場合は、ユーザーが PIN を入力してドライブのロックを解除する必要があります (PIN ベースのロック解除が有効になっている場合)。 ネットワーク ロック解除には、次のインフラストラクチャが必要です。
- 動的ホスト構成プロトコル (DHCP) をサポートする統合拡張ファームウェア インターフェイス (UEFI) ファームウェア バージョン 2.3.1 以降を持つクライアント デバイス
- Windows 展開サービス (WDS) ロールを実行している Windows Server
- DHCP サーバー
ネットワーク ロック解除機能を構成する方法の詳細については、「 ネットワーク ロック解除」を参照してください。
BitLocker の回復
組織は、BitLocker の実装計画全体の一部として、BitLocker 回復戦略を慎重に計画する必要があります。 BitLocker 回復モデルを実装する場合は、 BitLocker 回復の概要に関するページで説明されているさまざまなオプションがあります。
BitLocker を監視する
組織は、Microsoft IntuneまたはConfiguration Managerを使用して、複数のデバイス間のデバイス暗号化を監視できます。 詳細については、「Intuneを使用したデバイス暗号化の監視」および「Configuration Managerでの BitLocker レポートの表示」を参照してください。
次のステップ
organizationの BitLocker 回復戦略を計画する方法について説明します。
BitLocker を構成するための使用可能なオプションと、構成サービス プロバイダー (CSP) またはグループ ポリシー (GPO) を使用して構成する方法について説明します。