リムーバブルディスクの扱いについては、新しいグループポリシーでデバイス種類に応じた柔軟な設定が可能となった。その1つとして、暗号化機能「BitLoker to Go」が紹介された。

これはUSBデバイスや外付けハードディスク等を対象に、暗号化を行う機能だ。「NTFSでもFATでも利用可能。必要容量が64MBなので、実際に利用できるのは容量が128MB以上のUSBメモリからとなる」と高田氏。

アンロック方法はデバイスとPCを紐づけておき、接続されると自動的にアンロックされる自動解除と、パスワードによるアンロック、スマートカードによる認証と3種類が用意されている。「最も安全なのはスマートカードだが、リーダーが必要で、後方互換もない。実際に使い易いのは後方互換のあるパスワードだろう」と高田氏は語った。

BitLocker to Goとは

BitLocker to Goのアンロック方法と特性

また、固定ドライブを暗号化する機能として「BitLocker ドライブ暗号化」も解説。OSドライブの暗号化対象となるのは、OS自体に加えて、ページファイルや一時ファイル、データ、ハイバネーションファイルだ。こちらもアンロック方法は複数用意されている。

BitLockerドライブ暗号化のアーキテクチャ

BitLockerドライブ暗号化のアンロック方法

Windoes 7ではBitLokerについてセットアップとの統合、管理機能強化、リカバリー手法の拡張という3点が強化された。セットアップとの統合では、Windows 7のクリーンインストール時にシステム用パーティションを自動生成する機能を持つことで、利用開始後に暗号化を実施することを容易にした。

管理機能の強化としては、グループポリシーとしてリムーバブルドライブの暗号化を強制し、暗号化されていないドライブは読み取り専用としてしか認識しない等の設定も可能になった。

パスワード長の最少値を設定したり、対象PC以外で暗号化されたデバイスの書き込みを制限することもできる。

リカバリー手法の拡張としては、データ回復エージェント(DRA)の搭載が行われた。証明書ベースでの回復が可能で、グループポリシー経由で公開キー入りの証明書を配布することができる。また、管理者は組織内すべての暗号化ドライブをアンロックすることも可能になった。

これらの機能を利用するにあたっての注意点として、事前に組織間にまたがるルール策定や証明書発行等を行うことの大切さが語られた。

BitLokerの機能強化点

BitLoker利用上の注意点