Windows 7で強化されたUSBメモリの暗号化機能「BitLocker To Go」を試す


 Windows 7では、USBメモリの暗号化を行う「BitLocker To Go」という機能が追加された。このBitLocker To Goは、Windows Vistaで搭載されていた「BitLocker」をUSBメモリなどのリムーバブルディスクに対象を広げた機能だ。今回は、このBitLocker To Goを紹介する。

【8月21日改訂】Windows Server 2008 R2およびWindows 7の製品版が公開されたのに伴い、画面キャプチャおよび操作手順に残っていた英語表記部分を修正しました。


BitLocker To Goってなに?

BitLocker To Goで提供される機能

 BitLocker To Goは、Windows 7やWindows Server 2008 R2で新たに採用された、USBメモリなどリムーバブルディスクを暗号化する機能。BitLocker To Goを使えば、USBメモリの内容を自動的に暗号化することができる。

 BitLocker To Goは誰でも簡単に利用できる。Windows 7やWindows Server 2008 R2にUSBメモリを挿入し、右クリックして「BitLockerを有効にする」をクリックするだけだ。あとはメッセージにしたがってパスワードを設定し、パスワードを忘れたときに復元できるようにする回復キーを保存したり、印刷したりすればOKだ。


コンピューターに表示されているリムーバブルディスクを右クリックし、[BitLockerを有効にする]をクリックする[パスワードを使用してドライブのロックを解除する]をオンにし、パスワードを設定。設定後に[次へ]をクリックする[回復キーをファイルに保存する]をクリックする

ダイアログボックスが表示されるので、回復キーの保存場所を選び、[保存]をクリックする[次へ]をクリックする[暗号化の開始]をクリックする

暗号化の進行状況が表示される。USBメモリのサイズにより暗号化にかかる時間が異なるので注意暗号化されるとリムーバブルディスクのアイコンがカギマーク付きに変わる

 暗号化したUSBメモリは次回以降、PCに挿すとパスワードの入力が求められる。


BitLockerで暗号化したUSBメモリを挿すと、パスワードの入力を求めるダイアログボックスが表示される。パスワードを入力し、[ロック解除]をクリックする暗号化されたUSBメモリの内容が表示される

 パスワードを忘れてしまった場合は、保存している回復キーのファイルを開いて、回復キーを入力すればいい。その際、パスワードを再設定するのを忘れないように。


パスワードを忘れたときは、[パスワードを忘れた場合]をクリックし、回復キーを入力する[回復キーを入力する]をクリックするメモ帳などのテキストエディタで回復キーが書かれたファイルを開き、回復キーをコピーする

回復キーを入力したら、[次へ]をクリックこれで一時的に利用できる状態になった。忘れたパスワードを再設定する場合は、[BitLockerの管理]をクリックするパスワードを再設定する場合、[ドライブのロック解除のためのパスワードを変更する]をクリックして、設定しなおす

Active Directoryから管理する-強制的にBitLocker To Goを使わせる方法

 BitLocker To Goは、Active Directoryと組み合わせて使うとさらに効果的だ。AppLockerで紹介したように、BitLocker To Goの設定もActive Directoryのグループポリシーで行える。


Active Directory参加ユーザーがUSBメモリを使う場合、必ずBitLocker To Goで暗号化されるようグループポリシーを設定する。まずはBitLocker To Go用のグループポリシーオブジェクトを作成する。サーバーマネージャーの[機能] - [グループポリシーの管理] - [フォレスト:enterprisewatch.com] - [ドメイン] - [enterprisewatch.com] - [グループポリシーオブジェクト]を右クリックし、[新規]をクリック「BitLocker」という名前をつけて[OK]をクリックする次にこのグループポリシーオブジェクトにリンクを設定する。[enterprisewatch.com]を右クリックし、[既存のGPOのリンク]をクリックする

[BitLocker]を選択し、[OK]をクリックする次は、作成したBitLockerの編集画面に切り替える。[BitLocker]を右クリックし、[編集]をクリックする[BitLocker]のグループポリシー管理エディターが起動する。BitLocker To Goを有効にするための設定を行う。[コンピューターの構成] - [ポリシー] - [管理用テンプレート: ローカルコンピューター] - [Windowsコンポーネント] - [BitLockerドライブ暗号化] - [リムーバブルデータドライブ]をクリックし、右側に表示された[BitLockerで保護されていないリムーバブルドライブへの書き込みアクセスを拒否する]をダブルクリックする

[有効]を選択し、[OK]をクリックする。これで設定は終了だグループポリシーの設定をすぐに反映されるよう、コマンドプロンプトを起動し、「gpupdate /force」を実行する

ドメイン参加ユーザーでクライアントPCにログオン。同様に、グループポリシーの設定をすぐに反映されるよう、コマンドプロンプトを起動し、「gpupdate /force」を実行するUSBメモリを挿すと、BitLockerドライブ暗号化を使用するか、暗号化せずに読み取り専用で開くかを確認するダイアログボックスが表示されるようになった

 設定後、USBメモリを挿すと、暗号化されていなければ、USBメモリを暗号化するかメッセージが表示される。もし、暗号化しないなら、USBメモリは読み取り専用になり、USBメモリにファイルを書き込むことはできない。また、容量の大きなUSBメモリを暗号化する場合は、最初の暗号化に時間がかかることがある。いったん暗号化すれば、普通のUSBメモリと変わりなく使用できる。


Active Directoryから管理する-回復キーを一元管理する方法

 強制的にBitLocker To Goを使用する設定の欠点は、パスワードや回復キーの管理を利用ユーザーにまかせっぱなしになるところだ。これを解決するひとつの方法として、回復キーをシステム管理者側でコントロールできるようにする設定を紹介する。

 といっても、それほど複雑な方法ではなく、回復キーを保存する共有フォルダを用意し、そのフォルダで一元管理するだけだ。


[コンピューターの構成] - [ポリシー] - [管理用テンプレート: ローカルコンピューター] - [Windowsコンポーネント] - [BitLockerドライブ暗号化]をクリックし、右側に表示された[回復パスワードの既定のフォルダーを選択する]をダブルクリックする[有効]を選択し、[既定のフォルダーパスの構成]に共有フォルダのパスを入力する。共有フォルダはユーザーが書き込める設定にしておこう。入力後、[OK]をクリックするグループポリシーの設定をすぐに反映されるよう、コマンドプロンプトを起動し、「gpupdate /force」を実行する

ドメイン参加ユーザーでクライアントPCにログオン。同様に、グループポリシーの設定をすぐに反映されるよう、コマンドプロンプトを起動し、「gpupdate /force」を実行するUSBメモリを挿すと、BitLockerドライブ暗号化を使用するか、暗号化せずに読み取り専用で開くかを確認するダイアログボックスが表示される回復キーの保存場所が設定した共有フォルダになっているのがわかる。ここに保存すれば、回復キーをなくしてしまうといった事態にも対処できる

Windows 7以外のOSでBitLocker To Goは使えるか?

 BitLocker To Goで暗号化したUSBメモリはWindows Vistaなどではどうなるだろうか。Windows Vistaなどで暗号化したUSBメモリを開くと、BitLockerToGo.exeとRead Me.htmlというファイルが表示される。このBitLockerToGo.exeを実行することで、暗号化されたUSBメモリを使うことができる。

 自動再生のダイアログボックス上でBitLocker To Go Readerをクリックするか、USBメモリ内のBitLockerToGo.exeを起動すると、パスワード入力用のダイアログボックスが表示される。パスワードを入力してロックを解除すれば、暗号化されたUSBメモリの内容が表示される。ただし、Windows Vistaなどで暗号化されたUSBメモリを使用すると、読み取り専用となる。このため、Windows Vista上ではファイルを書き込むことはできない。


暗号化されたUSBメモリを挿すと、自動再生のダイアログボックスが表示される。[BitLocker To Go Reader]をクリックするパスワードを入力し、[ロック解除]をクリックするBitLocker To Goリーダーという専用のアプリケーションが起動し、USBメモリ内のファイルが読み取り専用で表示される

 BitLocker To Goを使用すれば、セキュリティ上問題視されているUSBメモリを安全に利用できる。きちんとUSBメモリの内容が暗号化されるため、もしUSBメモリを無くしたとしても、データが勝手に流出することはなくなる。これなら、便利なUSBメモリを使用できなくするよりも、安全に使うことができる。

 BitLocker To Goを使ってみると、自分がUSBメモリを使っている状況では便利だが、データを誰かに渡すときに利用するにはちょっと不便だ。いちいち、パスワードを教えなければならない。また、教えたパスワードは、すべてのBitLocker To Goで使用されているため、安全性を考えれば、誰かにパスワードを教えたら、新たなパスワードに変える必要がある。

 こういったときに、ワンタイムのパスワードが使えたり、指定された時間まで特定のパスワードで暗号を解くことができるなどの機能があればもっと便利になるだろう。



(山本 雅史)

2009/7/24/ 00:00