デバイスの暗号化と適用条件
「デバイスの暗号化」は、Windowsがインストールされたあと、最初のユーザー登録をして、該当ユーザーがログインしたときに実行されるCドライブの暗号化である。いわゆるOOBEの最中に開始され、利用者がMicrosoftアカウント、Azure Active Directoryのどちらかでユーザー登録をした場合も有効になる。
Windows 11のGUIでは、「デバイスの暗号化」と表記されるが、Microsoftのドキュメントでは、「BitLocker 自動デバイス暗号化(automatic device encryption)」(Auto-DE)と表記されることがある。つまり、BitLockerの1種なのである。
「デバイスの暗号化」は、ラップトップやタブレットなど、外部にもちだす可能性のあるハードウェアに対して、最低限のセキュリティを提供するために自動的に有効にされる。この条件がWindows 11 Ver.24H2で変更になる。簡単に言えば、従来は対象にならなかったマシンでも「デバイスの暗号化」が自動で有効になる。
緩和される条件は、
モダンスタンバイ
未登録のDMAポート
の2つである。前者は、ポータブルPCとデスクトップPCの違いとして利用される条件だ。正式には、モダンスタンバイまたは、ハードウェア セキュリティ テスト インターフェイス (HSTI)に対応しているかどうかが。
未登録のDMAポートとは、DMAデバイスがレジストリに登録されているかどうかである。レジストリは、
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses
で、通常は製造メーカーがプレインストール時の設定として登録する。このため、自作マシンなどは未登録のDMAポートのままになっている可能性があった。
24H2での「デバイスの暗号化」有効化条件の緩和は、これまで範囲外だったデスクトップマシンなどにまで、BitLockerによるドライブ暗号化を拡大するものだ。マシンが盗難やハッキングされた、といった場合にドライブを直接読み取られて、パスワードキャッシュなどの重大な情報が漏洩する可能性が低くなる。
少なくともログインできない状態なら、ファイルシステムを消去するしか方法がなく、比較的安全が保たれる。
BitLockerは、ドライブの暗号化で、不正なハードウェアアクセスなどの対策とはなるものの、地味な技術で、普段、恩恵に与ることもなれば、意識することも少ない。
ただ、トラブル時にWindows REを使う、ハードウェアの大規模な変更などで「BitLocker回復キー」を要求されることがあることは意識しておいた方がいいだろう。今年7月には、Windows Updateのあと、回復キーの入力を求められることがあった。少なくとも、BitLocker適用の有無と適用されていたら回復キーの入手方法ぐらいは確認しておくべきだ。
この連載の記事
-
第473回
PC
Windowsは内部的にどうやってインターネットへの接続状態を確認している? -
第472回
PC
WindowsのエラーをMicrosoftに送信するテレメトリ機能を理解する -
第471回
PC
Windowsのコマンドラインでエイリアスを使う -
第470回
PC
Windows用のパッケージマネージャー「Winget」 プレビュー版で機能が充実してきた -
第469回
PC
Windows Updateの27年 悪役だった頃から改良が進んで、徐々に目立たない存在に -
第468回
PC
2025年のWindowsどうなる!? Windows Insider Programの状況をあらためて見る -
第467回
PC
Copilot+ PCのNPUでカメラを処理する「Windows Studio Effects」 その内容や効果は? -
第466回
PC
PowerToysの最近の新機能には、複数アプリを指定位置に起動する「ワークスペース」や新規作成のカスタマイズがある -
第465回
PC
WindowsのPowerShellからBluetoothデバイスを調べる -
第464回
PC
Windows 10のサポート切れまで1年を切った さてWindows 10マシンをどうする? -
第463回
PC
Windows Terminal Preview版でSixelグラフィックスを実際に表示させてみる - この連載の一覧へ