2025年01月06日

BitLocker 暗号化と個人データの暗号化

Windows 11 も、24H2 がリリースされてしばらくたちますが、様々な不具合も確認はされていおりますが、とりあえず不具合ではありませんが、あれ?と思った点を取り上げてみました。


【BitLocker 暗号化がデフォルトで有効になる?】

昨年になるのでちょっと前ですが、PCを起動すると回復キーの入力を求められて起動できなくなるトラブルが続いた時期がありました。

20240714-1.jpg
さてそんな BitLocker 暗号化やデバイスの暗号化といった機能が、Windows 11 Ver.24H2 からはデフォルトで有効になるという話題があります。その始まりは、おそらく「Microsoft is enabling BitLocker device encryption by default on Windows 11」(TheVerge)の報道。

20241106-5-3.jpg

ただし、Ver.23H2 から更新アシスタントでアップグレードした場合には有効にならずクリーンインストールした場合には有効になるようです。

今回、手元のPCで、Ver.24H2 に更新アシスタントを利用してアップグレードものについては、Bitlocker の暗号化は無効のままでした。

ただし実際にクリーンンインストールされている例をネットで検索してみると、ローカルアカウントであっても Bitlocker は有効化されているようなので、Microsoft アカウントなどでサインインすれば、Microsoft アカウントに Bitlocker の暗号化キーはバックアップされますが、ローカルアカウントの状態で使っていて自分で確認してバックアップしていない状態だったりするケースで、トラブルになって Bitlocker の回復キーを求められるようになると対処のしようがなくなってしまいますのでくれぐれもご注意ください。

Microsoft のブログや新機能の紹介記事を確認する限りでは、「OEM 向け Windows 11 での BitLocker ドライブ暗号化」の「BitLocker 自動デバイス暗号化のハードウェア要件」の中で要件が緩和されていることに言及。また「保護はユーザーが Microsoft アカウントまたは Azure Active Directory アカウントを使用してサインインインした後でのみ有効になります。 それまでは保護が中断され、データは保護されません。 BitLocker 自動デバイス暗号化はローカル アカウントでは有効になっていません。」ともあるのですが、実際にクリーンインストールされている例で見ると、ローカルアカウントでもデフォルトで有効化されているケースも散見されるようです。

そもそもこの機能が必要か?不要は?はともかくとして、暗号化してPCを保護すること自体は、いいことなわけですし、それをちゃんと利用者が把握して、管理できていればいいだけのことなので、こうした報道を機にしっかり自身のPCについても確認しておくことが大切です。

20241106-5-1.jpg

さて Windows 11 Home で利用可能な "デバイスの暗号化" については、富士通の例ですが「デバイスの暗号化 / BitLocker ドライブ暗号化について教えてください」(富士通)の中で、「デバイスの暗号化について」のところを開くとありますが、この機能が搭載されているPCの場合には、「デバイスの暗号化を搭載している機種は、Microsoft アカウントでサインインしたときなどに、自動的にデバイスの暗号化がオン(有効)になります」とあるので、一般向けの Windows 11 Home のPCについても、Microsoft アカウントでサインインをすると自動的に「デバイスの暗号化」は有効になり、その回復キーは Microsoft アカウント上にバックアップされるとあります。

ただしこの辺りも先ほどの BitLocker 同様 Ver.24H2 以降は、デフォルトで有効化されているとなると、ローカルアカウントなどでサインインしてても有効化されている可能性も高いので、確認の上、回復キーのバックアップは忘れないようにしてください。

デバイスの暗号化や、Bitlocker の暗号化を有効化されている場合には、回復キーの確認及びバックアップはご自身で控えていただく必要がありますので、くれぐれもご注意ください。


【個人データの暗号化(PDE)とは?】

さて今回手元のPCで、Ver.24H2 について気になったのが実はこの機能でした。

アップグレードで、BitLocker は無効のままで問題なかったわけですが、ある時 気が付いたら、この PC で作成しデスクトップに保存したデータをUSBメモリに保存して別のPCで開こうとしたら開けない....

20241106-5-4.jpg 20241106-5-5.jpg 20241106-5-6.jpg

アプリによって表示されるメッセージも多少異なりましたが、上記のような感じでした。

20241106-5-2.jpg

改めて、デスクトップ上の該当データのアイコンを確認してみると、アイコンに鍵のマークがついておりました。つまり、「PDE」(個人データ暗号化)が設定されている状態なわけです。

確認のため、ローカルフォルダを確認。ドキュメントや、ピクチャーなどのフォルダは暗号化はされておりませんでしたが、どういうわけか? デスクトップのみ暗号化が有効になっておりました。
つまりは、デスクトップにデータを保存すると個人データの暗号化PDE)が有効になって保持されるということになります。


【Ver.22H2で搭載された機能】

この「PDE」(個人データ暗号化)自体は、Windows 11 Ver.22H2 で追加された機能になります。当然ながら、搭載されていても手元のPCでは、Ver.23H2 で使用している段階では有効にしていなかったので、無効のままだったわけです。しかし Ver.24H2 になって、どういうわけか?「デスクトップ」のみ、この機能が有効化されておりました。

ただしその後、別の Windows 11 Ver.23H2 で、Windows Update にて自動で Ver.24H2 にアップデートしてみたPCでも確認したところ、この時の様な症状はなく「PDE」については、あくまでも自動で有効になるような症状は確認できませんでしたので問題はなさそうです。

この機能が有効な状態でデスクトップにデータを保存すると、その保存されたデータは自動的に暗号化が適用されます。現時点で自分のPCが有効になっているかどうかは、以下の手順でも確認できます。
  • エクスプローラーを開いてみて、デスクトップを右クリックしてプロパティを開きます
  • 全般タブ>「属性」のところにある「詳細設定」を開きます
  • 「圧縮属性または暗号化属性」のところで「内容を暗号化してデータをセキュリティで保護する」にチェックが入ってればONの状態です
必要に応じて、ON あるいは OFF としてご利用ください。


【BitLocker と PDE の違い】

さて同じ暗号化でもこの2つには違いがあります。どちらも Windows 11におけるデータ保護を目的とする機能ですが、その範囲に違いがあります。その違いについて簡単に見ていくことにしましょう。
  1. BitLocker:ボリューム全体を暗号化
  2. PDE:ファイル・フォルダ単位での暗号化

1) BitLocker

BitLocker は、ボリューム全体を暗号化するもので、システムの起動時、すべてのデータを一度に暗号化・復号化し保護します。ただし起動してしまえばすべてのデータにはアクセスができるようになります。


2) PDE

PDEは、文字通り個人データを暗号化するもので、ファイル・フォルダ単位で行え、ボリューム全体の BitLocker に比べるとより細かな対応が可能になるものです。利用するユーザーが個人でデータを管理するのに役立つ機能です。さらにネットワーク越しのアクセスを制限する特徴もあり、PDEで保護されたデータは、ネットワーク上の共有フォルダからではアクセスできないため、データ流出のリスク低減にも寄与するわけです。


【Ver.24H2 からはエンタープライズユーザー向けにも】

さてこの「PDE」ですが、「Personal Data Encryption folder protection now available」(2024/12/20)の Windows IT Pro ブログにも紹介されていましたが、「The new Personal Data Encryption known folder protection capability is now available on Windows 11, version 24H2 Enterprise and Education editions.」とあるように、Enterprise エディションと Education エディションでも利用できるようになったようです。


<参照>




デル株式会社



VAIO STORE
posted by クリック at 09:50| 東京 ☔| Comment(0) | TrackBack(0) | Windows11 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック