BitlockerでOSの起動前にパスワードを訊くようにするには（Bitlockerの標準設定では起動時に自動的に暗号化が解除されてしまう）

先日、NCIS最新シリーズ(シーズン14)で、セキュリティの穴を探すためにNSAが行ったテロのシミュレーションの資料が盗まれてしまった、というストーリーがあった。

なんの事はない、盗まれた原因は、担当者が家に仕事を持ち帰り、私物のパソコンで仕事をしていたため、そこからハッキングされたというものだった。

｢そりゃダメに決まってる｣

あの "機械音痴" キャラクターだったギブスまでがそう言ったのに驚いた(笑)

もう、時代は、それくらい当たり前になったんですね(^^;)

つい先日も、最近流行の｢請求書｣というタイトルのウイルス添付メールを開いてしまったと、"部長"から相談されたりして、頭を抱えたことがありました(笑)

"部長"ともあろう人が何をやっているのか・・・┐(´д｀)┌

長いパスワードの設定や（それ以前にパスワードを設定していないとか）、怪しげなメール添付ファイルを開くなとか、怪しげなサイトにアクセスするなとか、未だに、社員一人ひとりに徹底させるのに、なかなか理解が得られない部分もあり、困ってしまいますね。

仕事で使うパソコンについて、情報セキュリティが非常にうるさく言われる時代に(やっと)なり。

私物のパソコン等を職場に持ち込む事や、仕事を家に持ち帰ることが禁止はもはや常識になりました。

またファイル共有ソフトなども使用しないその他うるさく言われるようになってますね。

また、仕事に使用するパソコンはすべて暗号化が要求されるようになました。

これは、ネットワーク経由での情報漏えいではなく、物理的にパソコンごと盗まれてしまうことを想定しているわけですね。

某大手企業さんで、事務所に窃盗に入られ、パソコンごと盗まれてしまったという事件があったからだとか。

また、社用車の中に置いておいたノートパソコンを車上荒らしに盗まれてしまった事例などもあるとか。

しかし、セキュリティについてそこまで厳しく言われるようになったのはここ数年の話、以前はアンチウイルスソフトさえ、なかなか理解されず予算が降りない頭が痛い状況があり。ノーガード戦法もできないので、昔はフリーソフトでしのいでおりましたね(笑)

暗号化を言われた時も、なかなか理解してもらえない・・・幸い、TrueCryptという素晴らしい暗号化ソフトがあったので、なんとかしのいでおりましたが。

そのTrueCryptも終了してしまい、セキュリティ上の問題も指摘されるようになり。BitLockerを使うことを推奨される状況。

事実上、暗号化ソフトはBitlockerしか選択肢がないような状況ですよね

(TrueCryptの後継のVeraCryptという手もありますが。ちゃんと検証していないのでワカラナイのですが、うまく作動しないPCもあるようで。)

しかしBitLockerは、WindowsでもHOMEエディションでは使えないという・・・orz

お金がもったいないなら少しでも安く、という事でHOMEエディションしか買ってもらえなかった零細企業では使えませんでしたが(笑)

ようやっと、最近は、セキュリティを重要視してもらえるようになり、多少高くてもPRO版を買ってもらえる事になりました(笑)

前置きが長いといつも言われますね、それでは本題に(笑)

TrueCryptやVeraCryptを使うと、OSの起動時にパスワードを聞かれます。そこでパスワードが分からなければ起動(復号化)できない。

しかし、BitLockerは、TPMセキュリティチップ搭載のパソコンの場合は、初期状態ではシステムドライブを暗号化してもパスワードを訊かれません。TPMに保存されているようです。

TPMがないパソコンでは、USBメモリなどに復号化キーを保存しておいて、そのUSBメモリを挿さないと起動しないようにできるわけですが、そのUSBメモリの代わりをTPMチップが行っているようで、つまり、起動用のUSBキー指しっぱなしと同じ状態・・・(！？)

｢これによって暗号化されていることを意識することなしに通常通りパソコンの操作ができます。｣といいますが、それって誰でも電源をいれれば復号化して起動出来てしまうということですから、パソコン盗まれてしまったら、普通に起動できてしまいますから、意味がないのでは？？？

（※HDDだけ取り出して盗まれたようなケースなら、起動できないですけどね。。。）

そこで、システムドライブでも起動時にパスワードを訊かれうように設定を変更できます。

⇒ローカルブループポリシーエディターを使用して設定します

｢ファイル名を指定して実行｣
↓
｢gpedit.msc｣
↓
｢ローカルコンピューターポリシー｣
↓
｢コンピューターの構成｣
↓
｢管理用テンプレート｣
↓
｢Windowsコンポーネント｣
↓
「BitLockerドライブ暗号化｣
↓
｢オペレーティングシステムのドライブ｣

と進むと、中の項目に

｢スタートアップ時に追加の認証を要求する｣

という項目がありますので、これを有効にすればOK！(^-^)/

続いて

⇒ Bitlockerでスタートアップ時に入力するPINを数字以外の文字にしたい

日	月	火	水	木	金	土
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30