米MicrosoftはWindows Vistaに「BitLocker」と呼ばれるディスク暗号化機能を搭載予定だが,このことが賛否両論を呼んでいる。これは,パソコンのマザーボードに搭載されたTrusted Platform Module(TPM)チップと連動して,ハードディスクのデータを暗号化する機能だ。Microsoftによると,重要な社内データをノート・パソコンに入れて持ち歩く重役を抱える企業において,極秘情報が社外に漏れるのを防ぐ効果があるという。しかし,犯罪者が自らのデータを守るためにBitLockerを使うかもしれない。また暗号化したデータを復元できなくなるトラブルも増加するだろう。

 BitLockerの仕組みを紹介しよう。BitLockerは,ハードディスクをハッカーの手から守るために使用する,ハードウエア・ベースの暗号化機能だ。TPM 1.2チップと連携し,128ビットまたは256ビットのAdvanced Encryption Standard(AES)暗号化アルゴリズムを使用する。TPMチップを搭載しないパソコンでもオプションでBitLockerを使用できるが,この場合システムへのアクセスには,USBメモリー・キーまたは文字と数字を組み合わせたパスワードが必要になる。

 TPMチップを使用する場合,システムの起動中でもファイルの安全性が保たれる。一方,TPMチップを搭載しないパソコンでBitLockerを使用すると,起動時のファイルの安全性については保証されなくなる。

 Windows NT系列の標準ファイル・システム「NTFS」の機能である暗号化ファイル・システム(EFS,Encrypting File System)に詳しい読者なら,BitLockerのことを大したことではないと思うかもしれない。BitLockerもEFSも,泥棒が盗んだハードディスクを別のパソコンに接続してデータを取り出す---といったことを防ぐために,データを暗号化する目的の機能だからである。

 しかしBitLockerとEFSという2つの機能には,技術的に大きく異なる点がいくつかある。最も顕著なのは,BitLockerのほうが強力なハードウエアをベースにした暗号化スキームを用いているということだ。BitLockerは,Microsoftが以前「Secure Startup and Full Volume Encryption」と呼んでいた機能である。セキュリティに対する意識がとりわけ高い人は,BitLockerとEFSを一緒に使うことも可能だ。というのも,BitLockerはWindows OSがインストールされているボリュームのみを保護するからである。従って,その他のボリューム内のデータを守るためにEFSを使うことも可能だ。EFSは暗号鍵をOSパーティションに保存する。

 BitLockerで面倒なのは,様々な設定を施さなければならないことである。例えば,起動ファイルとOS用に2つの別個のパーティションが必要になる。BitLockerを使う上でのシステム設定方法については,Microsoftが少々分かりにくい説明書を用意しているので,ここでその手順を繰り返すことはしない(手順についてはこちらのサイトを参照のこと,英語)。もっと重要なのは,BitLockerが様々な議論を呼びそうであることだ。

 TPMチップを搭載するハードウエアへの投資に前向きな企業にとって,BitLockerは有力な選択肢であるように思える。しかし,MicrosoftはBitLockerを使用するシステムでどのようなパフォーマンスの低下が発生するか,まだコメントしていない。その上,BitLockerの効果を引き出すには,数多くの設定が必要なようだ。厳重に管理された環境下で,管理者の手を煩わせずに個人がBitLockerを利用できるようになるかどうか,まだはっきりしていない。

 TPMチップを搭載しないマシンでBitLockerを使った場合,激しい攻撃にさらされる可能性がある。それだけでなく,TPMチップを搭載するマシンでBitLockerを使用した場合でも,理論上は不正使用される可能性がある。Microsoftは,不正使用しようとする試みは「実行不可能」だと言ってはいるが。詰まる所,BitLockerが効果を発揮できるかどうかは,多くの場合設定の仕方にかかっている。従って,ここでも人為的なミスという厄介な可能性が頭をもたげてくる。

 さらに,リカバリー(ファイル復元)の問題がある。ユーザーがリカバリー・パスワードを忘れたり,リカバリー・キーをなくしたりした場合,BitLockerが保護しているデータは文字通り回収不能なのだ(もちろん,ムーアの法則が256ビットのAES暗号化に追い付けば話は別だが)。Microsoftはこの種の情報を安全な場所に保管しておくようユーザーに勧めている。しかし,われわれは人間だ。間違いは必ず起きる。

 私がBitLockerをテストしたのはほんのわずかの期間だった。それでも,機能がWindowsとよく統合されていることや,設定をグループ・ポリシーで多くのクライアントに配布できることには興味をそそられた。BitLockerは,自分のデータを競争相手や犯罪者などから守りたいという人にとって,ありがたい機能のように思われる。しかし,筆者はBitLockerが,結果的に恩恵よりも多くの害をもたらすのではないだろうかと危惧している。BitLockerでデータを暗号化したばかりにデータを復元できなくなってしまう人の数は,BitLockerのおかげで他人にデータ盗まれなかった人の数を超えるだろうか。こればかりは,時間がたってみないと分からない。

Windows IT Pro, (C)2006. Penton Media, Inc.