テクノロジー セキュリティ 非公開: Windows のフルディスク暗号化 (FDE): BitLocker と代替手段

Windows のフルディスク暗号化 (FDE): BitLocker と代替手段

フルディスク暗号化は、デバイスが盗難された場合のアクセスを防ぐのに優れています。 Windows ネイティブの BitLocker とその代替手段を確認してみましょう。

ウェストバージニア州に本拠を置くコプリン・ヘルス・システムズのノートパソコンが盗まれ、43,000人の患者のデータが保存されているのが何が怖いのか知っていますか?

あるいは、日本の請負業者が住民46万人の個人情報が入ったUSBドライブを紛失して何が悪いというのでしょうか?

データは暗号化されていませんでした。

そのため、悪意のある者が簡単にダーク Web 上の個人データにアクセスし、販売する可能性があります。

彼らは苦労して教訓を学びました。しかし、データの暗号化がいかに簡単かを考えると、そうはならないはずです。

次のセクションでは、ディスク暗号化、BitLocker を使用した暗号化の方法、および BitLocker の代替手段について説明します。

コンテンツ 表示

フルディスク暗号化

フルディスク暗号化
フルディスク暗号化

フルディスク暗号化 (FDE) とは、ドライブをシステムにロックすることを指します。これは、侵害されたデバイス上のデータへのアクセスを防止し、システム ドライブに適用すると、セキュリティを強化するために起動時のチェックを可能にします。

ビットロッカー

ビットロッカー
ビットロッカー

Windows Professional、Enterprise、Education バージョンには、 BitLocker デバイス暗号化がプリロードされています。

BitLocker を使用すると、ドライブをパスワードで保護でき、一度内部に入ると正常に機能します。パスワードをリセットするための回復キーもあり、これがないとディスクの内容が判読できなくなります。

さらに、これはクロスプラットフォームで動作します。たとえば、Windows で暗号化されたドライブは Linux でも安全です。

特に、システムのロックが解除されると、これでは保護されなくなります。これらの暗号化メカニズムは、たとえば、ユーザーが無意識にインストールした個人情報を盗むスパイウェアに対しては役に立ちません。したがって、これらはウイルス対策ツールやスパイウェア対策ツールに代わるものではありません。

まず、タスクバーの検索に「 BitLocker 」と入力し、 「 BitLocker の管理 」 を開きます。

bitlockerフルディスク暗号化
bitlockerフルディスク暗号化

次に、対象のディスクを選択し、 「BitLocker をオンにする」 をクリックします。

その後のプロセスは、オペレーティング システム ドライブと非システム パーティション (ポータブル ディスクを含む) では異なります。

システムドライブ上の BitLocker

これは、デフォルトで、認証に TPM セキュリティ チップ (バージョン 1.2 以降) を使用します。 TPM がキーを返すと、マシンが起動します。

Trusted Platform Module (TPM) は、最新の PC に搭載されているチップです。これは、デバイス全体の完全性を保証する別個のチップです。ただし、システムが TPM を検出しても TPM を検出しない場合は、これをアクティブにする必要がある場合があります。

このような場合、起動前認証は行われず、PC を持っている人は誰でも Windows ログオン パスワードを使用して総当たり攻撃によって PC をオンにすることができます。

ただし、ローカル グループ ポリシー エディタからプリブート PIN をオンにして、最大限のセキュリティを享受できます。その後、TPM チップはマシンを起動する前に回復キーと PIN を要求します。

ここでの差別化要因は、これらのチップにはブルート フォース保護機能が搭載されていることです。したがって、攻撃者は数回試行するだけで諦めることになります。

暗号化を開始する前に、必ずこれを構成してください。

プロセスは非常に簡単です。まず、 ⊞+R を押して Windows Run を開き、 gpedit.msc と入力して Enter キーを押します。

次に 、 [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [BitLocker デバイス暗号化] > [オペレーティング システム ドライブ] に移動します。

起動前認証ビットロッカーのセットアップ
起動前認証ビットロッカーのセットアップ

BitLocker 暗号化では、起動前の物理認証として PIN または事前に設定された USB ドライブが必要になります。

ブート前認証ビットロッカー
ブート前認証ビットロッカー

次に、 「ドライブ全体を暗号化する か、 使用されているディスク領域のみ を暗号化する」に進みます。

古いコンピュータでは、Windows データ回復ツールを使用して空のセクタからデータを取得できる可能性があるため、一般にすべてを暗号化することをお勧めします。

次に、 新しい暗号化を 使用するか 互換モードを 使用するかを決定します。これはオペレーティング システム ドライブであるため、新しい暗号化モードを選択できます。互換モードはポータブル ドライブに適しています。

最後に、次のウィンドウで BitLocker システム チェックを実行して、 すべてが完全に機能するかどうかを確認することをお勧めします。

固定データ ドライブの BitLocker

これらのパーティションとドライブの暗号化はより簡単です。これにより、事前にパスワードを設定するように求められます。

bitlocker 固定ドライブ暗号化
bitlocker 固定ドライブ暗号化

これを乗り越えると、BitLocker システム チェックを除くプロセスはオペレーティング システム ドライブの暗号化と同様になります。

BitLocker は便利ですが、Windows Home バージョンを使用しているユーザーは利用できません。 2 番目に優れた無料オプションは Windows Device Encryption です (デバイスがサポートしている場合)。

これは、TPM 要件を義務付けるという点で BitLocker とは異なります。さらに、起動前認証の手段はありません。

システム情報で空き状況を確認できます。 Windows の「ファイル名を指定して実行」を開き、 msinfo32 と入力して Enter キーを押します。一番下までスクロールし、 「デバイス暗号化サポート」 に対して 「前提条件を満たす」 と記載されているかどうかを確認します。

そうでない場合は、おそらくデバイスがデバイス暗号化をサポートしていません。ただし、メーカーのサポートに連絡して、考えられる解決策を確認することができます。

あるいは、使用できる無料および有料のフルディスク暗号化ツールがいくつかあります。

ベラクリプト

vescrypt フルディスク暗号化
vescrypt フルディスク暗号化

VeraCrypt は、Windows、Mac、Linux 用の無料のオープンソース暗号化ソフトウェアです。 BitLocker と同様に、システム ドライブ、固定データ ドライブ、ポータブル ドライブを暗号化できます。

これはより柔軟であり、暗号化アルゴリズムに多くのオプションを提供します。さらに、オンザフライで暗号化することもできます。したがって、暗号化されたコンテナを作成し、ファイルを転送して暗号化します。

さらに、VeraCrypt は暗号化された隠しボリュームを作成でき、BitLocker のような起動前認証をサポートします。

ただし、ユーザー インターフェイスはわかりにくいかもしれませんが、YouTube チュートリアルで理解できないことはありません。

ベストクリプト

bestcrypt フルディスク暗号化
bestcrypt フルディスク暗号化

BestCrypt は、 Veracrypt のユーザーフレンドリーな有料バージョンと呼ぶことができます。

これにより、フルディスク暗号化を実現するためのさまざまなアルゴリズムと多数のオプションにアクセスできるようになります。暗号化コンテナーとシステム ドライブの作成をサポートします。

さらに、パスワード認証起動を導入することもできます。

BestCrypt はマルチプラットフォーム暗号化ツールで、21 日間の無料トライアルが付いています。

商用 BitLocker の代替品

これらは、ボリューム ライセンスに基づいたエンタープライズ対応ソリューションで構成されています。

ESET

ESETフルディスク暗号化
ESETフルディスク暗号化

ESET のフルディスク暗号化は リモート管理に優れています。オンプレミスおよびクラウドの暗号化ソリューションを柔軟に利用できます。

これは、業界標準の 256 ビット AES 暗号化を使用してハードドライブ、ポータブル ドライブ、電子メールなどを保護する機能を備えています。

さらに、ファイル レベル暗号化 (FLE) を使用して個々のファイルを暗号化できます。

インタラクティブなデモまたは本格的な実践用の 30 日間の無料トライアルでこれを確認できます。

シマンテック

Broadcom 傘下の Symantec も、エンタープライズ グレードの暗号化機能を提供する大手企業です。このフルディスク暗号化は TPM をサポートしており、機関用デバイスの改ざん防止状態を保証します。

さらに、起動前チェック、電子メール、リムーバブル ディスク暗号化も利用できます。

シマンテックはシングル サインオンの設定を支援し、クラウドベースのアプリケーションを保護することもできます。これはスマート カードをサポートしており、ユーザーがパスコードを忘れた場合にさまざまな回復方法を備えています。

さらに、シマンテックにはファイル レベルの暗号化、機密ファイル モニター、その他のさまざまな機能が備わっており、魅力的なエンドツーエンド暗号化ソリューションとなっています。

ZENworks

ZENworks フルディスク暗号化
ZENworks フルディスク暗号化

Microfocus の ZENworks は 、あらゆる組織で AES-256 暗号化を処理する最も簡単な方法です。

これは、オプションでユーザー名とパスワード、または PIN を使用したスマート カードによる起動前認証をサポートします。 ZENworks は、集中キー管理機能を備えており、ブートログインで行き詰まったユーザーを支援します。

デバイスの暗号化ポリシーを作成し、標準の HTTP Web 接続を介して適用できます。

最後に、クレジット カード不要の無料トライアルを利用して、直接確認することができます。

FDE 対 FLE

ディスク全体を暗号化する価値がない場合もあります。このような場合、ファイル レベルの暗号化またはファイル ベースの暗号化 (FBE) を使用して特定のファイルを保護することが賢明です。

FLE の方が一般的ですが、私たちはその存在を認識せずに使用することがよくあります。

たとえば、WhatsApp の会話はエンドツーエンドで暗号化されます。同様に、Proton mail経由で送信されるメールも自動的に暗号化され、受信者のみが内容にアクセスできます。

同様に、 AxCrypt や FolderLock などのツールを使用して、FLE でファイルを保護できます。

FDE に対する FBE の明確な利点は、すべてのファイルに異なる暗号化キーを設定できることです。したがって、1 つが侵害されても、他のものは安全に保たれます。

ただし、これにより、そのようなキーの管理がさらに面倒になります。

結論

機密情報が含まれるデバイスを紛失した場合、フルディスク暗号化は非常に重要です。

すべてのユーザーが重要なデータを社内に持っていますが、他の誰よりもディスク暗号化を必要としているのは企業です。

個人的には、BitLocker が Windows ユーザーにとって最高の暗号化ツールです。 VeraCrypt は、時代遅れのインターフェースに耐えられる人のためのもう 1 つの選択肢です。

そして、組織は誰かの評決に依存するのではなく、トライアルを受けて自社のユースケースに最適なものを選択する必要があります。ビジネスオーナーが避けるべき唯一のことはベンダーロックです。

PS: 基本をブラッシュアップするには、暗号化と認証のソフトウェアをチェックしてください。

「 Windows のフルディスク暗号化 (FDE): BitLocker と代替手段」についてわかりやすく解説!絶対に観るべきベスト2動画

【後編】Windowsにロックがかかり突然起動できなくなる場合があります。必ず確認してください!※BitLocker(ビットロッカー)とは。仕組みと、カギである「回復キー」の確認方法をご案内します。
https://www.youtube-nocookie.com/watch?v=IDeH_X59wa0&pp=ygVOIFdpbmRvd3Mg44Gu44OV44Or44OH44Kj44K544Kv5pqX5Y-35YyWIChGREUpOiBCaXRMb2NrZXIg44Go5Luj5pu_5omL5q61JmhsPUpB
Tutorial How to Open BitLocker for Windows 11
https://www.youtube-nocookie.com/watch?v=O7Ve7rwSTyM&pp=ygVOIFdpbmRvd3Mg44Gu44OV44Or44OH44Kj44K544Kv5pqX5Y-35YyWIChGREUpOiBCaXRMb2NrZXIg44Go5Luj5pu_5omL5q61JmhsPUpB

フルディスク暗号化は、デバイスが盗難された場合のアクセスを防ぐのに優れています。 Windows ネイティブの BitLocker とその代替手段を確認してみましょう。

ウェストバージニア州に本拠を置くコプリン・ヘルス・システムズのノートパソコンが盗まれ、43,000人の患者のデータが保存されているのが何が怖いのか知っていますか?

あるいは、日本の請負業者が住民46万人の個人情報が入ったUSBドライブを紛失して何が悪いというのでしょうか?

データは暗号化されていませんでした。

そのため、悪意のある者が簡単にダーク Web 上の個人データにアクセスし、販売する可能性があります。

彼らは苦労して教訓を学びました。しかし、データの暗号化がいかに簡単かを考えると、そうはならないはずです。

次のセクションでは、ディスク暗号化、BitLocker を使用した暗号化の方法、および BitLocker の代替手段について説明します。

コンテンツ 表示

フルディスク暗号化

フルディスク暗号化
フルディスク暗号化

フルディスク暗号化 (FDE) とは、ドライブをシステムにロックすることを指します。これは、侵害されたデバイス上のデータへのアクセスを防止し、システム ドライブに適用すると、セキュリティを強化するために起動時のチェックを可能にします。

ビットロッカー

ビットロッカー
ビットロッカー

Windows Professional、Enterprise、Education バージョンには、 BitLocker デバイス暗号化がプリロードされています。

BitLocker を使用すると、ドライブをパスワードで保護でき、一度内部に入ると正常に機能します。パスワードをリセットするための回復キーもあり、これがないとディスクの内容が判読できなくなります。

さらに、これはクロスプラットフォームで動作します。たとえば、Windows で暗号化されたドライブは Linux でも安全です。

特に、システムのロックが解除されると、これでは保護されなくなります。これらの暗号化メカニズムは、たとえば、ユーザーが無意識にインストールした個人情報を盗むスパイウェアに対しては役に立ちません。したがって、これらはウイルス対策ツールやスパイウェア対策ツールに代わるものではありません。

まず、タスクバーの検索に「 BitLocker 」と入力し、 「 BitLocker の管理 」 を開きます。

bitlockerフルディスク暗号化
bitlockerフルディスク暗号化

次に、対象のディスクを選択し、 「BitLocker をオンにする」 をクリックします。

その後のプロセスは、オペレーティング システム ドライブと非システム パーティション (ポータブル ディスクを含む) では異なります。

システムドライブ上の BitLocker

これは、デフォルトで、認証に TPM セキュリティ チップ (バージョン 1.2 以降) を使用します。 TPM がキーを返すと、マシンが起動します。

Trusted Platform Module (TPM) は、最新の PC に搭載されているチップです。これは、デバイス全体の完全性を保証する別個のチップです。ただし、システムが TPM を検出しても TPM を検出しない場合は、これをアクティブにする必要がある場合があります。

このような場合、起動前認証は行われず、PC を持っている人は誰でも Windows ログオン パスワードを使用して総当たり攻撃によって PC をオンにすることができます。

ただし、ローカル グループ ポリシー エディタからプリブート PIN をオンにして、最大限のセキュリティを享受できます。その後、TPM チップはマシンを起動する前に回復キーと PIN を要求します。

ここでの差別化要因は、これらのチップにはブルート フォース保護機能が搭載されていることです。したがって、攻撃者は数回試行するだけで諦めることになります。

暗号化を開始する前に、必ずこれを構成してください。

プロセスは非常に簡単です。まず、 ⊞+R を押して Windows Run を開き、 gpedit.msc と入力して Enter キーを押します。

次に 、 [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [BitLocker デバイス暗号化] > [オペレーティング システム ドライブ] に移動します。

起動前認証ビットロッカーのセットアップ
起動前認証ビットロッカーのセットアップ

BitLocker 暗号化では、起動前の物理認証として PIN または事前に設定された USB ドライブが必要になります。

ブート前認証ビットロッカー
ブート前認証ビットロッカー

次に、 「ドライブ全体を暗号化する か、 使用されているディスク領域のみ を暗号化する」に進みます。

古いコンピュータでは、Windows データ回復ツールを使用して空のセクタからデータを取得できる可能性があるため、一般にすべてを暗号化することをお勧めします。

次に、 新しい暗号化を 使用するか 互換モードを 使用するかを決定します。これはオペレーティング システム ドライブであるため、新しい暗号化モードを選択できます。互換モードはポータブル ドライブに適しています。

最後に、次のウィンドウで BitLocker システム チェックを実行して、 すべてが完全に機能するかどうかを確認することをお勧めします。

固定データ ドライブの BitLocker

これらのパーティションとドライブの暗号化はより簡単です。これにより、事前にパスワードを設定するように求められます。

bitlocker 固定ドライブ暗号化
bitlocker 固定ドライブ暗号化

これを乗り越えると、BitLocker システム チェックを除くプロセスはオペレーティング システム ドライブの暗号化と同様になります。

BitLocker は便利ですが、Windows Home バージョンを使用しているユーザーは利用できません。 2 番目に優れた無料オプションは Windows Device Encryption です (デバイスがサポートしている場合)。

これは、TPM 要件を義務付けるという点で BitLocker とは異なります。さらに、起動前認証の手段はありません。

システム情報で空き状況を確認できます。 Windows の「ファイル名を指定して実行」を開き、 msinfo32 と入力して Enter キーを押します。一番下までスクロールし、 「デバイス暗号化サポート」 に対して 「前提条件を満たす」 と記載されているかどうかを確認します。

そうでない場合は、おそらくデバイスがデバイス暗号化をサポートしていません。ただし、メーカーのサポートに連絡して、考えられる解決策を確認することができます。

あるいは、使用できる無料および有料のフルディスク暗号化ツールがいくつかあります。

ベラクリプト

vescrypt フルディスク暗号化
vescrypt フルディスク暗号化

VeraCrypt は、Windows、Mac、Linux 用の無料のオープンソース暗号化ソフトウェアです。 BitLocker と同様に、システム ドライブ、固定データ ドライブ、ポータブル ドライブを暗号化できます。

これはより柔軟であり、暗号化アルゴリズムに多くのオプションを提供します。さらに、オンザフライで暗号化することもできます。したがって、暗号化されたコンテナを作成し、ファイルを転送して暗号化します。

さらに、VeraCrypt は暗号化された隠しボリュームを作成でき、BitLocker のような起動前認証をサポートします。

ただし、ユーザー インターフェイスはわかりにくいかもしれませんが、YouTube チュートリアルで理解できないことはありません。

ベストクリプト

bestcrypt フルディスク暗号化
bestcrypt フルディスク暗号化

BestCrypt は、 Veracrypt のユーザーフレンドリーな有料バージョンと呼ぶことができます。

これにより、フルディスク暗号化を実現するためのさまざまなアルゴリズムと多数のオプションにアクセスできるようになります。暗号化コンテナーとシステム ドライブの作成をサポートします。

さらに、パスワード認証起動を導入することもできます。

BestCrypt はマルチプラットフォーム暗号化ツールで、21 日間の無料トライアルが付いています。

商用 BitLocker の代替品

これらは、ボリューム ライセンスに基づいたエンタープライズ対応ソリューションで構成されています。

ESET

ESETフルディスク暗号化
ESETフルディスク暗号化

ESET のフルディスク暗号化は リモート管理に優れています。オンプレミスおよびクラウドの暗号化ソリューションを柔軟に利用できます。

これは、業界標準の 256 ビット AES 暗号化を使用してハードドライブ、ポータブル ドライブ、電子メールなどを保護する機能を備えています。

さらに、ファイル レベル暗号化 (FLE) を使用して個々のファイルを暗号化できます。

インタラクティブなデモまたは本格的な実践用の 30 日間の無料トライアルでこれを確認できます。

シマンテック

Broadcom 傘下の Symantec も、エンタープライズ グレードの暗号化機能を提供する大手企業です。このフルディスク暗号化は TPM をサポートしており、機関用デバイスの改ざん防止状態を保証します。

さらに、起動前チェック、電子メール、リムーバブル ディスク暗号化も利用できます。

シマンテックはシングル サインオンの設定を支援し、クラウドベースのアプリケーションを保護することもできます。これはスマート カードをサポートしており、ユーザーがパスコードを忘れた場合にさまざまな回復方法を備えています。

さらに、シマンテックにはファイル レベルの暗号化、機密ファイル モニター、その他のさまざまな機能が備わっており、魅力的なエンドツーエンド暗号化ソリューションとなっています。

ZENworks

ZENworks フルディスク暗号化
ZENworks フルディスク暗号化

Microfocus の ZENworks は 、あらゆる組織で AES-256 暗号化を処理する最も簡単な方法です。

これは、オプションでユーザー名とパスワード、または PIN を使用したスマート カードによる起動前認証をサポートします。 ZENworks は、集中キー管理機能を備えており、ブートログインで行き詰まったユーザーを支援します。

デバイスの暗号化ポリシーを作成し、標準の HTTP Web 接続を介して適用できます。

最後に、クレジット カード不要の無料トライアルを利用して、直接確認することができます。

FDE 対 FLE

ディスク全体を暗号化する価値がない場合もあります。このような場合、ファイル レベルの暗号化またはファイル ベースの暗号化 (FBE) を使用して特定のファイルを保護することが賢明です。

FLE の方が一般的ですが、私たちはその存在を認識せずに使用することがよくあります。

たとえば、WhatsApp の会話はエンドツーエンドで暗号化されます。同様に、Proton mail経由で送信されるメールも自動的に暗号化され、受信者のみが内容にアクセスできます。

同様に、 AxCrypt や FolderLock などのツールを使用して、FLE でファイルを保護できます。

FDE に対する FBE の明確な利点は、すべてのファイルに異なる暗号化キーを設定できることです。したがって、1 つが侵害されても、他のものは安全に保たれます。

ただし、これにより、そのようなキーの管理がさらに面倒になります。

結論

機密情報が含まれるデバイスを紛失した場合、フルディスク暗号化は非常に重要です。

すべてのユーザーが重要なデータを社内に持っていますが、他の誰よりもディスク暗号化を必要としているのは企業です。

個人的には、BitLocker が Windows ユーザーにとって最高の暗号化ツールです。 VeraCrypt は、時代遅れのインターフェースに耐えられる人のためのもう 1 つの選択肢です。

そして、組織は誰かの評決に依存するのではなく、トライアルを受けて自社のユースケースに最適なものを選択する必要があります。ビジネスオーナーが避けるべき唯一のことはベンダーロックです。

PS: 基本をブラッシュアップするには、暗号化と認証のソフトウェアをチェックしてください。

「 Windows のフルディスク暗号化 (FDE): BitLocker と代替手段」についてわかりやすく解説!絶対に観るべきベスト2動画

【後編】Windowsにロックがかかり突然起動できなくなる場合があります。必ず確認してください!※BitLocker(ビットロッカー)とは。仕組みと、カギである「回復キー」の確認方法をご案内します。
https://www.youtube-nocookie.com/watch?v=IDeH_X59wa0&pp=ygVOIFdpbmRvd3Mg44Gu44OV44Or44OH44Kj44K544Kv5pqX5Y-35YyWIChGREUpOiBCaXRMb2NrZXIg44Go5Luj5pu_5omL5q61JmhsPUpB
Tutorial How to Open BitLocker for Windows 11
https://www.youtube-nocookie.com/watch?v=O7Ve7rwSTyM&pp=ygVOIFdpbmRvd3Mg44Gu44OV44Or44OH44Kj44K544Kv5pqX5Y-35YyWIChGREUpOiBCaXRMb2NrZXIg44Go5Luj5pu_5omL5q61JmhsPUpB

最新記事一覧

関連記事一覧