00:01
マイクロソフトの製品や技術を楽しく、わかりやすくお話しするPodcast番組
WoodStreamのデジタル生活です。
第593回目の配信であります。お届けしますのは木澤です。よろしくお願いします。
今週もお聞きいただきありがとうございます。
この配信はクラウドファンディングキャンファイアのコミュニティにより皆様のご支援をいただいて配信しております。
今回もやすりさん、ホワイトカラーさん、はじめ合計10名の方にご支援をいただいております。
ありがとうございます。
ご支援の内容に関しましては、この番組ウェブサイト windows-podcast.comでご案内しております。
もしご協力いただけるようでしたらよろしくお願いします。
また、リスナーの皆さんとのコミュニケーションの場として、チャットサイトDiscordにサーバーを開設しております。
こちらはPodcast番組、電気アウォーカーと共同運用しております。
よかったら参加してみてください。
DiscordサーバーのURLは番組を押さえてリンクがあっております。
はい、ということで、暑いですね。
エアコンが今週、平日なんですけどね、つくことになりまして。
これまではまだかなり厳しい状況だなって感じで。
さすがにちょっとね、部屋を染み切ることができないような状況で、多分健康第一ということで。
一応ノイズリダクションの方はかけてみようかと思いますが、後ろではまだセミが鳴いてるっていうところでですね、収録をしております。
ということで、どういうことだったんですか。
今週お話しする内容は、ビットロッカーについての話をしようと思います。
ビットロッカーそのものはですね、結構昔からの話で、それこそ10年くらい前からに遡った話になってしまうんですが。
最近Windows11でTPMのチップが必要とかね、という話があって。
そこらへんってじゃあどういうところでいろんなところに使われてるんだけど、どういうところに使われてるんだろうってところから、
ビットロッカーの話をね、多分今までしてなかったかなというところでお話をしたいと思います。
このビットロッカーっていうのは何かというと、Windowsでディスクを丸ごと暗号化する機能です。
Windowsのファイルの暗号化機能っていろいろありますよね。
それこそNTFSのこのファイル、このフォルダ、このファイルを暗号化しますっていう風に、ファイル単位もしくはフォルダ単位で暗号化するっていうこともできますけども。
このビットロッカーと言ってるのは、ハードディスクもしくはSSDのディスクそのものを暗号化してしまうという機能です。
例えばパソコンを盗みました。パソコンを盗まれちゃあれですけど。
例えばパソコンの中身が開けられて、ハードディスクだけ抜き取られました、SSDだけ抜き取られましたという状況で、
取られたハードディスクの内容を他のパソコンに繋がって読み出そうとしてしまうと、大体読み出せてしまうんですね。
03:01
これを読み出せないようにするっていう仕組みです。
例えばSSAとか別のパソコンに持って行って、例えばSATAのドライブラーとかUSBでもいいんですけど、
接続してみて、さあ中身見てみましょうと言っても中身が見れないということになっています。
実際動かしていたパソコンじゃないと読み出すことができないという仕組みになっていまして、
この機能そのものはWindows Vistaから搭載されていて、実際の公式にサポートといっているのはWindows 7以降では出ています。
もちろんWindows 10、Windows 11でも搭載がされています。
Windows 10の話でいきますと、これをサポートしているエディションはProfessional EditionとEnterpriseとEducationのみとなります。
例えば過去にさかのぼって、Windows VistaでもProfessionalとUltimateとかそういうエディションでしかダメですし、
Windows 7でもProfessional Edition、Windows 8でもProfessional Editionとなっていました。
実際Home EditionとかあとWindows 8の無印と言っている、まあHome Edition相当のやつですね。
これどういったことができるかというと、書き込みできないんですけど読み出しだけはできますということになっています。
さてこれどうやって暗号化しているかというとですね、
ファイルを読み出すとかディスクにアクセスするドライバーのレベルで間に1個暗号化を書けるというか解読するという仕組みのドライバーを1つ入れているんですね。
ここら辺を暗号化するということになっているんですが、それにためには暗号化キーというのを使っています。
暗号化キーそのものは、
例えば今回Windows 11でも必須だと言われているTPMのチップ、もしくはそのTPM相当のCPUに内蔵しているFTPM相当の機能でもOKですし、
あとはいろんな暗号化、データを作り出す仕組みがいろいろありますので、その情報をもとに暗号化するということになっています。
ですからマザーボードとかですね、CPUなどを硬化してしまうと読み出すことができなくなってしまいます。
さあその回復、読み出す方法、例えば暗号化してしまってCPUを変えてしまいましたとか、それこそTPMのマザーボードを変えてしまいましたというとき、
じゃあそれはどうすればいいかというと、もちろん救済処置というのが取られていまして、回復キーというのを用意しています。
これ実際回復キーはですね、マイクロソフトアカウントでOneDriveとかに保存とか、あとはAzureのアクティブディレクトリーですね、Azure ADでも管理しているとか、
あとは実際この暗号化キーそのものをファイルに保存して取っておく、あとは印刷をして取っておくとかですね、
これ48文字のコードがあるんですけど、これが回復キーということで、これがあれば復元はできます。
ですからそのCPU変えました、マザーボード変えましたといっても復元はできるようになります。
ちなみに今ファイルに保存できますと言いましたけど、暗号化かけているドライブ自身には保存はできないです。
06:00
試しに私今やってみたら保存できませんと言われちゃって、例えば外付けのUSBだとか、ネットワークドライブとかでもいいですけど、そちらに保存するということができます。
あとはAzureとかActive Directoryの配下だと、そこがしっかり管理されているということになっています。
ちょっとそこの話でしまうと話が長くなってしまうので、別の機会ということで今回は割愛させてもらいますけれども、
そういった回復キーでも呼び出すことができるようになります。
これ実際暗号化どういう仕組みでやってますかというと、AESというアルゴリズムを使って暗号化しています。
FVEK、フルボリュームエンクロラクションキーというので、ディスクそのものにも暗号化してしまうんですね、このキーを使って。
ただそのFVEKという暗号化キーの他に、さらにそれ自身を暗号化して管理するということもしています。
これVMKって言うんですね、ボリュームマスターキーって言うんですけど、このFVEK自身をVMKで暗号化してさらにとっておくという形で二重のガードをかけています。
このVMKといっている情報自身は、今言いましたTPMとか、あとこの回復キーからデータを作成することになってきます。
そういった形で暗号化をしてファイルの中身を守るということをしています。
この回復キーなんですけども、一旦戻すっていうことをするとき、そろそろUSBメモリーに取ってありましたけど、それどっか行ってしまいましたということもあると思いますし、
実際これはマイクロソフトアカウントに結び付けてありますと、マイクロソフトアカウントでマイクロソフトのサイトにログインをして見ることができます。
実際私も回復キーを参照するというのをサイトをたどっていくと、マイクロソフトアカウントに入って、私の場合はiPhoneのマイクロソフトのオーセンティケーターを連動させているので、iPhoneでまず認証をして、そこでマイクロソフトのサイトにアクセスしてみると、
実際見ると、サービスとかいろんなデバイスの過去に使った、ビットロッカーに使った暗号書きというのが全部表示されます。ですからこれを見て、その暗号書きを入力して回復させるということもできます。
そういったところで、実際暗号化することによって相手に一人が入りますので、性能の低下も若干あると思うんですね。あるサイトによると3%から5%の性能低下と言われていますけれども、だいぶ今デバイスも早くなっていますし、CPUも早くなっていますし、性能低下というのはもっと良くなっているのかなと思います。
ちなみに、プロエディションだけって最初言いましたけど、サーフェスとかWindows RTに限っては特別で、サーフェスRTで動いているWindows RTですね。これもビットロッカー対応しています。
09:02
おそらく皆さんサーフェスをお持ちの方は、マイコンピューターからCドライブとか見てもらうと、鍵のマークがついていると思うんですね。サーフェスなんていうのは、はじめからビットロッカーが入っているということになっています。鍵のマークがドライブのところにアイコンがついていると、ビットロッカーがかかっていますねということになります。
ということで、暗号化キーを調べたら、本当に最初に買ったサーフェスとかサーフェス2とか、そこら辺の暗号キーもまだ取ってありました。これは一応消すこともできますし、他の方に手に渡っていますので、後で消しておこうかなと思っています。
そういったところで、しっかりリスクも管理できて、復元するときも自分のマイクロソフトアカウントをちゃんと管理できれば、復元もできるということになります。
今回はWindowsのリスクそのものを暗号化してしまう機能、ビットロッカーについてお話をさせていただきました。
第593回はビットロッカーについてお話をさせていただきました。結構昔からの話なんですけど、多分どこかで話します話しますと言って話してなかったので、今回お話しさせていただきました。
.NET LABの勉強会、8月の勉強会なんですが、8月28日に行う予定です。多分今日8月1日なんですけど、明日Windows 365のリリースが始まるので、そこでいろいろ分かってくるところがあると思いますので、ちょっとそこら辺の話ができたらいいかなと思っております。
.NET LABなんですけども、今5月と6月と7月の勉強会の内容というアーカイブをですね、YouTubeのプレミア配信で毎週日曜日の午後1時30分から配信しています。
実はもう8月1日、今日のですね、昼13時30分からですね、5月分のプレミア配信ということで配信をさせていただきました。来週6月の勉強会の再配信やらせていただきます。
なんで3週連続やっているかというとですね、実はいつも勉強会の後にアーカイブをダウンロードして再編集してということで送っているんですけど、この3ヶ月ですね、ちょっとやってなくてですね、ちょっと編集しながらということで、ちょっと休暇なんですけど、この8月の3週間に分けて配信をさせていただきたいなと思っておりますので、ぜひ見ていただければなと思っております。
特に7月の勉強会の村地さんのWindows11の話、非常に納得というかすごく面白いセッションですので、ぜひ聞いていただきたいと思っております。
なんでWindows11にTPMだとかCPUの制限だとかというのを仕掛けられているかという、安全なWindowsを使うためにどういうふうにしたかということをですね、お話をいただいていますので、ぜひ聞いていただければなと思っております。
12:02
はい、そういうことでまたいろいろなネタを集めてお話したいと思います。またよろしくお願いします。
