メタラーまとんがハイソにやらかすようです

東大理系修士卒JTBCエンジニアのハイソサイエティ(上流階級)な日常

PCを買ったらHDD暗号化やHDDパスワードをWindows10の標準機能「BitLocker」で実現しよう!

ども!まとんです。

Windowsのセキュリティ対策で悩む社会パーソンのみなさんに、「HDDパスワード」「HDD暗号化」を簡単に実現する方法をご紹介します!

Windows7のサポートが切れる前にWindows10に買い替えよう!

まず、大前提として、みなさんご存知の通り、Windows7のサポートが2020年1月14日に終了します。

サポートが切れたOSを使い続けるのは、いつハッキングされてもおかしくない状況です。

2017年のランサムウェアWannacry事件の影響で、セキュリティ意識が高まっている会社は多いと思います。

早いうちにWindows10に切り替えるべきです。

そして、せっかくなら新しいパソコンを買った方が良いでしょう。

とりあえず最低限、下記性能のPCを買っておけば間違いないです。

  • OS:WIndows 10 Pro 64bit版(ビジネスで使うならPro必須。何かと。)
  • メモリ:8GB以上
  • SSD:128GB以上

あとは、なんでもよいです!

うちの会社はセキュリティが厳しくて・・・というアナタへ

セキュリティ対策がしっかりしている会社は、こんなルールを設けていることがあります。

「パソコンには「HDD暗号化」と「HDDパスワード」設定が必須」

まず、これについて説明します。

HDD暗号化とは?HDDパスワードとは?

HDD暗号化とは、HDD(ハードディスクとSSDの意味)の中身をごっそり暗号化することです。

ごっそりというのは、「各ファイルごとにパスワードをかける」わけではなく、「HDDへのアクセスにパスワードをかける」という意味です。

どんな意味があるの?

例えばPCを紛失して、悪意のある人の手に渡ったとします。

悪意のある人は、まず、普通にパソコンを起動してログインを試みます。

Windowsにログインパスワードがかけてあれば、簡単には入れません。

そこで次に、悪意のある人は、パソコンを分解して、HDDだけを取り出して中身を見ようとします。

ここではWindowsパスワードは守ってくれません。

しかし、HDD暗号化がかかっていれば、HDDを取り出して中身を見るときにパスワードなどの入力を求められるので、中身が見られません。

こうして、PCを紛失したとしても、情報漏洩を防ぐことができます。

このように、HDDの中身を見るためのパスワードを「HDDパスワード」と言います。

場合によっては、PC起動時に毎回、HDDパスワード入力を求める設定も可能です。(HDDパスワードとWindowsログインパスワードの二つを毎回入力させる)

HDD暗号化はどうやって実現する?

HDD暗号化は基本的に、Windowsの機能ではないので(Windowsが立ち上がる以前の話なので)、全てのパソコンにHDD暗号化の機能があるわけではありません。

(メーカーによっては機能があるパソコンもあります。東芝ダイナブックなど。)

そのため、多くの会社では、社員のPCにHDD暗号化用のソフトを導入して(コストをかけて)実現しています。

しかし、ここで朗報があります。

HDD暗号化できる「BitLocker」がWindowsでは標準搭載!

実はWIndows Vistaから、HDD暗号化機能「BitLocker」が標準搭載されています。

これによって、特殊ソフトを導入しなくても、HDD暗号化が実現できます!!(会社のセキュリティ対策部門の方、ちゃんと理解していますか?)。

標準搭載ということは、PCを買ってから、ポチポチと画面上で設定するだけで、HDD暗号化を有効化できるということです。

詳細な手順はこちらのサイトが参考になります。

mitani.work

ただし、WIndows 10 Homeでは機能制限がある!

上の方で「ビジネスでPCを買うならWindows 10 Proにすべき」と書きましたが、ここでも効いてきます。

BitLockerはWindows 10 Homeでは機能制限がされています。

具体的には、ドライブの暗号化ができないようです。

これでは話にならないので、OSはProを選ぶようにしましょう。

「BitLocker」使い方のオススメは?

では、僕が考えるBItLockerのオススメの使い方を説明します。

これが絶対に正しい!というわけではないので、自己責任で参考にしてください。

  • 全ての内蔵ドライブに対してBItLocker暗号化を有効にする
  • 回復キーをUSBメモリにバックアップする
  • PC起動時は「BitLockerのPIN認証」と「Windowsログインパスワード」の2段階認証にする

では、順番に説明します。

全ての内蔵ドライブに対してBItLocker暗号化を有効にする

内蔵ドライブというのは、システムが入ったCドライブや、データが入ったDドライブなどです。

これら全てに対して、BItLocker暗号化を有効にしてください。(有効にする際は「ドライブのすべてを暗号化する」を選択)

これによって、「悪意のある人がPCを分解してHDDを直接見ても」中身が見られなくなります。

一方で、USBメモリや外付けHDDなどの「リムーバブルディスク」も、「BitLocker To Go」で暗号化できます。これらも必要とあれば暗号化してよいと思います(使用する際に毎回パスワードを入力することになります)。

回復キーをUSBメモリにバックアップする

BitLockerの暗号化を解除する方法は複数ありますが、その一つが「回復キー」(48桁の数字、変更不可)です。

BitLockerでドライブ暗号化を有効化する際に、回復キーのバックアップとして「USBメモリに保存」「紙に印刷」などしてくれと言われますが、僕はUSBメモリに保存することをオススメします。

このUSBメモリは大切に保管してください。

回復キーはいつ使う?

回復キーは、PCが壊れて修理する際に使います。

PCが壊れて、どうしようもなくなって、メーカーに修理に出すとします。

するとメーカーはHDDの中身を見ようとしますが、BItLocker暗号化がされていたら、メーカーでも中身は見れません(当然ですね)。

そのとき、回復キーがあれば、修理ができるわけです。

逆に、回復キーをバックアップしていなくて、他の手段を何も用意していなかった場合、そのPCは修理できません。サヨナラとなります。

自分のPCのデータを故障から守るために、回復キーのバックアップをオススメします。

一方で、PCを使うときに毎回48桁の数字を入力するのは面倒なので、「PC起動時に回復キーは入力しない」設定にすることをオススメします(デフォルトでそうなっていると思います)

PC起動時は「BitLockerのPIN認証」と「Windowsログインパスワード」の2段階認証にする

最後に、日常使いに関することです。

そもそも、BItLockerの暗号化は、デフォルトでは「PC起動時にBItLockerのパスワード入力は不要」となっているため(僕が買ったSurface Pro 6ではそうでした)、暗号化したとしても、PC立ち上げ時にはWindwosログインパスワードしか求められません。

Windowsログインパスワードは、実は、パスワード総当たり攻撃(ブルートフォースアタック)で突破することが現実的に可能です。

つまり、WIndowsログインパスワードだけでは、悪意のある人には突破される」と考えてください。

そこで、BitLockerのPIN認証を追加して、二重ロックにすることをオススメします。

BItLockerのPIN認証は、入力失敗に回数制限があるため、総当たり攻撃では突破できません。(回数制限を超えると、上記の回復キー(48桁数字)の入力が求められます)

PINは自分で好きなパスワードを設定できます。

悪意のある人のパスワード総当たり攻撃から守るために、「PIN」「Windowsログイン」の二段階認証にするべきです。

PINを設定するための詳細な手順は、下記サイトが参考になります。

windows777.com

いかがでしたか?

僕のオススメの設定をすれば、ハッカーが簡単には突破できない、難攻不落のPCができあがります。

まとめると、

  • PCを分解してHDDを直接見る→HDD暗号化で対策
  • PCが故障して修理に出したい→回復キーで暗号化を解除
  • パスワード総当たり攻撃→PINとWindowsログインの二重認証で対策

これで安心してPCをモバイル利用して、紛失しちゃってください!(もちろん、紛失しないに越したことはないですが)

参考になりましたら幸いです。

僕のオススメのPC(20万以下)はこちら!

イケてるIoT屋ならSurfaceがオススメです!

色んな理由で20万以下でPCを買いたい人は多いと思いますが、20万ギリギリでカスタマイズしたSurface Pro 6は下記モデルになります。

IoTでビッグデータディープラーニングしていけ!!

 

以上、メタラーまとんでした。

ではでは。