今まで、USBメモリなどのリムーバブルメディアの暗号化やファイルの暗号化などはよく使っていたが、PCのシステムドライブの暗号化というのはやったことがなかった。
速度低下に対する懸念もあるが、OSとの相性やその他の要因で万が一復号や起動できなくなったりしたらセキュリティ以上に大事になるし、暗号化を行うのにどれだけ時間がかかるのか計り知れなかったこともある。様々なツールはあったが、システムがインストールされているドライブを暗号化するなんてとても手を出せなかったのである。
ところが、WindowsがVista以降でBitLockerという暗号化の仕組を提供してきた。
当初それを知って、VistaはUltimateにアップグレードしたのだが、この当時のBitLockerはHDDの暗号化しかできず、上のような理由で試すにも至らなかった。Windows 8.1の頃になって、リムーバブルメディアも暗号化できるようなBitLocker(To Go)になり、ようやくその機能を使うようになったのである。
Windows 10機を購入したとき、自動的にCドライブが暗号化される設定になっていて、それでCドライブを暗号化しても問題なく使えるということをしり、つい昨日、Windows 8.1機のほうもCドライブの暗号化を行ってみたという状況である。
さて、リムーバブルメディアの暗号化は、PC本体から取り外して持ち歩いたりするUSBメモリなどもあるので、暗号化しておく意味はあると思っていたが、Cドライブを暗号化するのは何の意味があるのか。
ドライブが取り外されると、それはリムーバブルと同様の状況なので、そういう時には暗号化が機能することになるが、そもそもそんな状況は想定できるのか。
BitLockerで、TPMだけを使って暗号化されている場合は、ノートPCと共にあれば普通に起動できてしまう。TPMから取り外されると、その環境では回復キーなどを使わない限り復号できない。TPMに加えてPINやUSBキーを併用することにすると、それは復号できる者がユーザ本人に限られるので、そこは確保される。要はパスワードなどで鍵を開ける操作がないと意味が無いのではないかとも思った。
PCはBIOS、UEFIでのパワーオンパスワードやハードディスクパスワードがあるので、これを併用することでそういう心配は無くなるのか。
BIOSは、恐らくハードウエアにアクセスするためのパスワードであるので、この場合はディスクを取り外してしまえば多分意味が無くなる。そういう場合、ディスクが暗号化されていると、TPMにも接続されていない環境なので、復号することができない。
そのような事情と状況を考えると、一般的なユーザの段階ではその辺りの機能を活用することでだいたい十分なのではないか。
ただし、PCを起動した状態にしておいたりパスワードを通過させる機能を使っていたりするとそこが脆弱点になるのは言うまでもない。