Surface と BitLocker によるセキュリティ

こんにちは、Windows サポート部の石井です。

サポート部門でも Surface をご利用いただいているお客様が増えていることを日々体感し、やりがいを感じています！

企業での使用も増え、特に気にされるのは、持ち運び時のセキュリティです。
Surface では、BitLocker という Windows のドライブ暗号化のテクノロジーが使用可能であり、データの保護が行えます。
今回は、Surface における BitLocker についてご紹介いたします。

- BitLocker とは

BitLocker とは、ドライブを暗号化することで、ハードウェアが持ち出され、ディスクを抜き出された時に中身が見えない状態とする機能です。
万が一、Surface が盗難され、ディスクを何とかしてハッキングしようとしても、暗号化のためデータが見られることはありません。

- BitLocker とセキュリティ

BitLocker により、ドライブの暗号化をかけることでデータを保護できますが、このままですと、起動ごとにパスワードが求められていて不便です。
そこで、TPM (トラステッド プラットフォーム モジュール) というハードウェアが登場します。

Surface 全機種には、TPM というハードウェアが実装されています。
TPM により、BitLocker を有効化してドライブを暗号化していても、普段使用するときには自動的に暗号化を解除して OS を起動出来ます。

非常に便利なのですが、「勝手に暗号化が解除されるのだったら、どこが安全なの？」という疑問が浮かぶでしょう。
TPM では、ハードウェアの構成が変わることを検知して、この暗号化の自動解除を行わなくなります。
ハードウェアのハッキングのため、特殊なデバイスを接続する、といったことを行った場合、このハードウェア変更を検知して暗号化を解除しない状態にします。

また、Windows のログオン画面で、パスワードを手当たり次第に試す「辞書攻撃」と呼ばれるハッキング手法にも対抗出来ます。
BitLocker では、パスワード入力を一定回数失敗したことを検知し、自動的に一定の期間、ログインをロックします。
次のログインは、一定時間を経過しなければ行えないため、辞書攻撃には天文学的な時間を要するため、成立しません。
(ただし、それでも、あまりに短く簡易なパスワードをご使用だと安全とは言えませんので、可能な限り強力なパスワードをご利用ください。)

上記のようなテクノロジーにて、Surface が盗難されたとしても、データが盗まれる危険性というのは極めて低くなります。
加えて、SkyDrive のクラウド ストレージにデータを保存いただければ、データをディスクに保存するというリスクはさらに低下しますし、データを失うこともありません。

BitLocker の概要は以上となります。
続いて、お手持ちの Surface の種類に応じた Tips をご紹介します。

- Surface RT、Surface 2 について

Surface RT、Surface 2 については、既定で BitLocker が有効になっています。

補足となりますが、有効かどうか確認を行うのであれば、以下の方法を実行してください。

1. スタート画面を表示し、"cmd" とタイプし、コマンド プロンプトを開きます。
2. "コマンド プロンプト" が表示されるので、長めにタッチし、メニューから [管理者として実行] を押します。
3. [ユーザー アカウント制御] に "はい" をクリックし、コマンド プロンプトを表示します。
4. "manage-bde -status" というコマンドを入力し、Enter を押します。
5. 結果の中に、"Protection Status: Protection On" と表示されていれば、BitLocker の保護が有効な状態です。

BitLocker 回復キーは、Microsoft アカウントと紐づけたアカウントを使っていると、自動的に Microsoft アカウントに保存されるので、万が一、自身がロックアウトされて回復キーが求められた時には、別の端末から入手することが出来ます。

http://windows.microsoft.com/recoverykey

Microsoft アカウントに紐づけていない場合や、いざというときにインターネットに接続できない場合に備えて、別の方法で回復キーをバックアップするには、
[コントロール パネル] の画面右上の検索ボックスに、"bitlocker" と入力して表示される、"BitLocker ドライブ暗号化" から、"回復キーのバックアップ" を使用します。
これにより、ファイルに保存したり、キーを印刷するといったことが可能です。

 BitLocker 回復キー: よく寄せられる質問
 http://windows.microsoft.com/ja-jp/windows-8/bitlocker-recovery-keys-faq

また、Surface 2 については、Windows Update から、システムを最新にしていただくことをお勧めします。
2014 年 1 月の更新プログラムにて、スリープ等から復帰したときに、BitLocker のパスワードが求められてしまうという問題を修正しています。

 ご参考: 以下の技術情報にて不具合修正情報が記載されています。(特にお読みいただく必要はありません。)
 Surface 2 prompts you for the BitLocker recovery key when you restart the device
 http://support.microsoft.com/kb/2921482

- Surface Pro、Surface Pro 2 について

コントロール パネルの [BitLocker ドライブ暗号化] から、ドライブの [BitLocker を有効にする] を選択して、ウィザードを完了させることで有効化できます。
Surface RT、Surface 2 の項でご紹介した、回復キーのバックアップについても、複数ご用意いただくと安心です。

また、Surface Pro と Surface Pro 2 では、通常の TPM によるセキュリティに加えて、暗証番号 (PIN) をかけて「OS の起動自体にパスワードをかけて制約する」ということも可能です。
通常の、TPM による BitLocker でも十分にセキュアですが、PIN によるロックをかければ OS の起動すら行えない状態にできます。

手順
======
1. "Windwos キー" + "R" からファイル名を指定して実行を開きます。
2. "gpedit.msc" と入力し、[ローカル グループ ポリシー エディタ] を開きます。

3. [ローカル グループ ポリシー エディタ] にて、以下を構成します。

-----------------------------------------------------------------
　コンピューターの構成
　└管理用テンプレート
　　└Windows コンポーネント
　　　└BitLocker ドライブ暗号化
　　　　└オペレーティング システムのドライブ

　　　　　[スタートアップ時に追加の認証を要求する]：有効
　　　　　TPM スタートアップ PIN 構成：
　　　　　　TPM でスタートアップ PIN を許可する
　　　　　　（または）
　　　　　　TPM でスタートアップ PIN を要求する

　　　　　＊上記以外の項目は必要に応じて変更してください。
　　　　　　スタートアップ時の PIN のみ許可する場合は既定のままで問題ありません。

　　　　　[スレートでプリブート キーボード入力が必要な BitLocker 認証を使用できるようにする]：有効
-----------------------------------------------------------------

この機能を有効にすれば、OS が起動する前に PIN 入力を行うよう設定が可能です。会社のポリシーで、強力なプロテクトが必要でしたら、是非ともご検討ください。
なお、PIN 入力にはタイプ カバー、タッチ カバー、あるいは外付け USB キーボードが必要です。タブレットとして、キーボード無しでご利用の方は起動が行えなくなりますので、ご注意下さい。

- BitLocker PIN に関しての補足

Surface Pro 2 においては、BitLocker PIN 入力画面にて、キーボードを認識しないという既知の問題がございます。
こちらは、ボリューム (-) ボタンを押しながら電源を入れることで認識されるようになりますので、回避策としてしばらくの間、ご協力ください。

本問題は、Windows Update による今後のファームウェア アップデートにて修正を予定しております。現時点での具体的なリリース月は未定ですが、リリース次第、本記事を更新します。

Surface のファームウェアは、Windows Update により、月次の更新プログラムとして随時更新を行っておりますので、ご利用の Surface については可能な限りWindows Update による更新プログラムをご利用下さい。

        補足: Surface Pro 2 の更新プログラムの履歴は以下よりご確認いただけます。
        Surface Pro 2 update history
        http://www.microsoft.com/surface/en-us/support/install-update-activate/pro-2-update-history

Surface Pro (1) でも、リリース当初この問題がありましたら、Windows Update より最新のファームウェア アップデートを行うことで解消されます。

- Surface と BitLocker のまとめ

Surface と BitLocker によるセキュリティをまとめると以下です。

1.       万が一、盗難されても、BitLocker によりディスクの中身は見えません。(ただし、強力なログイン パスワードは設定してください。)
2.       回復キーのバックアップは忘れずに！
3.       Surface Pro、Surface Pro 2 では、起動時の暗証番号 (PIN) により毎回のパスワードを要求することもできます。

他社へのリンクとなりますが、@IT 様からも BitLocker について詳細なご説明をいただいています。
今回の記事で、BitLocker について興味が出ましたら、是非ともご参考ください。

Windows 8レボリューション：第16回　データを保護するBitLocker暗号化 (1/2)
http://www.atmarkit.co.jp/ait/articles/1302/28/news114.html

// Teppei