ディスク暗号化とTPM(セキュリティ考察)

BitLockerによって、暗号化にTPMを使うことが一般的になりました。
しかし、TPMの使い方を正しく理解しないと、PCの紛失、盗難からデータの保護を目的にBitLockerをセットアップしたのに、もしかすると、期待した効果が得られていないかも知れません。

まず、ディスク暗号化には、暗号化方式として「AES256」などが使われますが、簡単に復号化されないような仕組みが備わっています。
ディスクにあるデータは、データ暗号化鍵(DEK: Data Encryption Key)を使用して、セクタレベルで暗号化されます。
DEKは、暗号化ソフトウェアが一意のものを生成しますので、同じ暗号化ソフトウェアを使って複数のPCを暗号化しても、それぞれ異なるDEKが使われます。
DEKは鍵暗号化鍵 (KEK: Key Encryption Key)によって暗号化されます。 DEKをKEKによって、秘匿するとかラップするとか言います。

簡単に説明すると、ディスクを鍵(DEK)を使って暗号化するので、それを復号化するためには錠が必要です。
他人に錠を利用されないように、錠も鍵(KEK)を使って暗号化します。

錠にかける鍵(KEK)も暗号化ソフトウェアでディスク内に生成され、鍵をあけるために、通常、IDとパスワードを使用します。
ここでTPMを使うことができます。
TPMは、PCのマザーボードにはんだ付け、あるいはチップセット内に実装されています。
暗号化ベンダーは、TPM 内に鍵を作成すれば、その鍵は一意であり、その TPM内 にのみ存在するので、鍵の使用範囲をそのPCのみに制限することができます。
TPM で保護される鍵は、PIN などの認証値を必要とする構成ができるのですが….

BitLockerの場合、起動時の認証方法として、
「TPM のみ」
「TPM + PIN」 (BitLockerプリブート認証必要)
「TPM + スタートアップキー」(BitLockerプリブート認証必要)
などが選べます。

TPMのみで構成してしまうと、PCの電源投入後、認証を必要とせずにTPM内の鍵が自動で使われ、そのままWindowsが起動します。
これでは、鍵に錠を挿したままと同じです。

ディスクだけ抜かれて、持ち出された場合、ディスクにはマザーボード上のTPM内にある鍵が無いので、復号化することはできません。
しかし、ノートPCの場合、ディスクだけ抜かれるということは想定しがたく、PCの紛失、盗難からデータの保護を目的に暗号化するのであれば、「TPMのみ」の構成ではなく、「TPM + PIN」など、他の認証方法を選択すべきです。

もし、社員に受け入れられないなどの理由で、「TPM+PIN入力」によるプリブート認証と、Windowsサインインの2度による認証を使用していないのであれば、ウィンマジックのSecureDocを検討してみてください。
BitLockerで暗号化されたPCにSecureDocをインストールすると、SecureDocのプリブート認証が必要になりますが、Windowsとのシングルサインオン(SSO)の設定が可能で、尚且つ、認証にWindowsのパスワードを使うことができます。
プリブート認証で、これまで使用していたWindowsのパスワードを入力すると、Windowsが起動し、自動サインオンとなるので、エンドユーザーの利便性をさげずに済みます。

おすすめ

人気の投稿