Windows のフル ディスク暗号化 (FDE): BitLocker と代替手段
公開: 2022-08-31Full Disk Encryption は、デバイスが盗まれた場合にアクセスを防止するのに優れています。 Windows ネイティブの BitLocker とその代替手段を確認してみましょう。
43,000 人の患者のデータを含む、ウェスト バージニアに本拠を置く Coplin Health Systems の盗まれたラップトップの何が怖いのか知っていますか?
あるいは、日本の請負業者が 46 万人の住民の個人情報が保存された USB ドライブを紛失した場合、何が悪いのでしょうか?
データは暗号化されませんでした。
そのため、悪意のある人物がダーク Web 上の個人データに簡単にアクセスして販売する可能性があります。
彼らは難しい方法で教訓を学びました。 しかし、データの暗号化がいかに簡単であるかを知っていれば、そうではありません。
次のセクションでは、ディスクの暗号化、BitLocker での暗号化の方法、および BitLocker のいくつかの代替手段について説明します。
フルディスク暗号化

フル ディスク暗号化 (FDE) は、ドライブをシステムにロックすることを指します。 侵害されたデバイス上のデータへのアクセスを防ぎ、システム ドライブに適用された場合は、セキュリティを強化するための起動時のチェックを可能にします。
ビットロッカー

Windows のプロフェッショナル、エンタープライズ、および教育バージョンには、BitLocker デバイス暗号化がプリロードされています。
BitLocker を使用すると、ドライブをパスワードで保護できます。ドライブは、内部に入ると通常どおり機能します。 パスワードをリセットするための回復キーもあります。これがないと、ディスクの内容が判読できなくなります。
さらに、これはクロスプラットフォームで機能します。 たとえば、Windows で暗号化されたドライブは、Linux でも安全なままです。
特に、システムのロックが解除されると、これはあなたを保護しません. これらの暗号化メカニズムは、たとえば、無意識のうちにインストールした可能性のある個人情報を盗むスパイウェアに対しては役に立ちません。 したがって、ウイルス対策ツールやスパイウェア対策ツールに代わるものではありません。
開始するには、タスクバーの検索に BitLocker と入力し、 Manage BitLockerを開きます。

対象のディスクを選択し、[ Turn BitLocker on ] をクリックします。
以降のプロセスは、オペレーティング システム ドライブと、ポータブル ディスクを含む非システム パーティションでは異なります。
システム ドライブの BitLocker
これは、既定で、TPM セキュリティ チップ (バージョン 1.2 以降) を認証に使用します。 そして、TPM がキーを返すと、マシンが起動します。
トラステッド プラットフォーム モジュール (TPM) は、最新の PC に搭載されているチップです。 これは、デバイス全体の完全性を保証する個別のチップです。 ただし、TPM を取得してもシステムが TPM を検出しない場合は、これを有効にする必要があります。
このような場合、起動前の認証は行われず、PC を持っている人は誰でも、Windows のログオン パスワードをブルート フォースすることで PC をオンにすることができます。
ただし、ローカル グループ ポリシー エディターからプリブート PIN を有効にして、最大限のセキュリティを享受することができます。 その後、TPM チップは、マシンを起動する前に回復キーとピンを要求します。
ここでの差別化要因は、これらのチップにブルート フォース保護が備わっていることです。 したがって、攻撃者はあきらめる前にほんの数回の試行しかできません。
暗号化を開始する前に、これを設定することを忘れないでください。
プロセスは非常に簡単です。 まず、 ⊞+R
を押して Windows Run を開き、 gpedit.msc
と入力して Enter キーを押します。
次に、 [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [BitLocker デバイス暗号化] > [オペレーティング システム ドライブ] に移動します。

これで、BitLocker 暗号化には、起動前の物理認証として PIN または事前設定された USB ドライブが必要になります。

次に、「ドライブ全体または使用済みディスク領域のみを暗号化する」に進みます。
古いコンピューターでは、Windows データ回復ツールを使用して空のセクターからデータを取得できる可能性があるため、すべてを暗号化することをお勧めします。
その後、新しい暗号化または互換モードのどちらを使用するかを決定します。 これはオペレーティング システム ドライブであるため、新しい暗号化モードを選択できます。 互換モードは、ポータブル ドライブにより適しています。
最後に、次のウィンドウでBitLocker システム チェックを実行して、すべてが完全に機能するかどうかを確認することをお勧めします。
固定データ ドライブの BitLocker
これらのパーティションとドライブの暗号化はより簡単です。 これにより、事前にパスワードを設定するよう求められます。

これを乗り越えれば、このプロセスは、オペレーティング システム ドライブを暗号化するのと同じようになり、BitLocker システム チェックが除外されます。
BitLocker は便利ですが、Windows Home の亜種を使用している人には利用できません。 2 番目に優れた無料のオプションは、デバイスがサポートしている場合、Windows デバイスの暗号化です。

これは、TPM 要件を義務付けるという点で BitLocker とは異なります。 また、プリブート認証の手段はありません。
システム情報で可用性を確認できます。 Windows Run を開き、 msinfo32
と入力して Enter キーを押します。 一番下までスクロールして、 Meet の前提条件がDevice Encryption Supportに対して記載されているかどうかを確認します。
そうでない場合、おそらくお使いのデバイスはデバイス暗号化をサポートしていません。 ただし、製造元のサポートに連絡して、考えられる解決策を確認することができます。
または、使用できる無料および有料のフルディスク暗号化ツールがいくつかあります。
ベラクリプト

VeraCrypt は、Windows、Mac、および Linux 用の無料のオープンソース暗号化ソフトウェアです。 BitLocker と同様に、システム ドライブ、固定データ ドライブ、およびポータブル ドライブを暗号化できます。
これはより柔軟で、暗号化アルゴリズムに多くのオプションを提供します。 さらに、オンザフライで暗号化することもできます。 そのため、暗号化されたコンテナーを作成し、ファイルを転送して暗号化します。
さらに、VeraCrypt は暗号化された隠しボリュームを作成でき、BitLocker のような起動前認証をサポートします。
ただし、ユーザー インターフェイスは圧倒されるかもしれませんが、YouTube のチュートリアルで解決できないことは何もありません。
ベストクリプト

BestCrypt は、Veracrypt の使いやすい有料版と言えます。
これにより、ディスク全体の暗号化を実現するためのさまざまなアルゴリズムと多数のオプションにアクセスできます。 暗号化コンテナーとシステム ドライブの作成をサポートします。
さらに、パスワード承認の起動を展開できます。
BestCrypt はマルチプラットフォームの暗号化ツールで、21 日間の無料トライアルが付属しています。
商用 BitLocker の代替手段
これらは、ボリューム ライセンスに基づくエンタープライズ対応ソリューションで構成されています。
ESET

ESET フルディスク暗号化は、リモート管理に優れています。 オンプレミスとクラウドの暗号化ソリューションに柔軟性をもたらします。
これは、業界標準の 256 ビット AES 暗号化を使用して、ハード ドライブ、ポータブル ドライブ、電子メールなどを保護する機能を備えています。
さらに、これにより、ファイル レベル暗号化 (FLE) を使用して個々のファイルを暗号化できます。
これは、インタラクティブなデモまたは 30 日間の無料トライアルで本格的なハンズオンで確認できます。
シマンテック

Broadcom の Symantec は、エンタープライズ レベルの暗号化機能を提供するもう 1 つの有力企業です。 このフルディスク暗号化は TPM をサポートし、機関のデバイスの改ざんのない状態を保証します。
さらに、起動前チェック、電子メール、およびリムーバブル ディスクの暗号化も利用できます。
シマンテックは、シングルサインオンの設定を支援し、クラウドベースのアプリケーションを保護することもできます. これはスマートカードをサポートし、ユーザーがパスコードを忘れた場合にさまざまな回復方法があります。
さらに、Symantec には、ファイル レベルの暗号化、機密性の高いファイル モニター、およびその他のさまざまな機能が付属しており、魅力的なエンド ツー エンドの暗号化ソリューションとなっています。
ZENworks

Microfocus の ZENworks は、あらゆる組織で AES-256 暗号化を処理する最も簡単な方法です。
これは、ユーザー名とパスワードによるオプションのプリブート認証、または PIN によるスマート カードをサポートします。 ZENworks は、ユーザがブート ログインで行き詰まるのを助ける集中型のキー管理機能を備えています。
デバイスの暗号化ポリシーを作成し、標準の HTTP Web 接続を介して適用できます。
最後に、無料のクレジットカードなしの試用版を利用して、直接見ることができます.
FDE対FLE
ディスク全体を暗号化する価値がない場合があります。 このような場合、ファイル レベルの暗号化またはファイル ベースの暗号化 (FBE) を使用して特定のファイルを保護することをお勧めします。
FLE はより一般的であり、その存在を認識せずに使用することがよくあります。
たとえば、WhatsApp の会話はエンドツーエンドで暗号化されています。 同様に、Proton メールで送信されたメールも自動的に暗号化され、受信者のみがコンテンツにアクセスできます。
同様に、AxCrypt や FolderLock などのツールを使用して、FLE でファイルを保護できます。
FDE に対する FBE の明確な利点は、すべてのファイルが異なる暗号化キーを持つことができることです。 したがって、1 つが危険にさらされても、他のものは安全なままです。
ただし、これにより、そのようなキーを管理するという追加の手間が発生します。
結論
機密情報を含むデバイスを紛失した場合、フル ディスク暗号化は非常に重要です。
すべてのユーザーが重要なデータを搭載していますが、ディスクの暗号化を他の誰よりも必要としているのは企業です。
個人的には、BitLocker は Windows ユーザーにとって最高の暗号化ツールです。 VeraCrypt は、時代遅れのインターフェイスに耐えることができる人のための別のオプションです。
また、組織は誰かの判断に頼るのではなく、ユースケースに最適なものを選択するために試行を行う必要があります。 ビジネス オーナーが避けるべき唯一のことは、ベンダー ロックです。
PS: 暗号化対認証ソフトウェアをチェックして、基本をブラッシュ アップしてください。