BitLocker To Goによる暗号化でUSBメモリの盗難・紛失対策をする方法
2018/04/22
本エントリーの目次
先日友人からこんな質問が。
セキュリティーUSBメモリーを買おうかと思っているんだけど、どれが良いの?
どうもこの友人、娘さんの写真をおじいちゃん・おばあちゃん(友人のお父さんとお母さん)に見せようと、USBメモリーに入れて持ち歩いていたところ、その帰り道の道中で紛失してしまったらしい。
写真自体は自宅のPCにバックアップをとってあり、大切な娘さんの写真がなくなったわけではないそうで、一安心。
その他に重要なデータが入っていたわけでもなく、大きな損害となるようなことはなかったらしい。
とはいえ、娘さんの写真が何枚も保存されていたわけで。
もし仮に、紛失したUSBメモリーを知らない第三者に拾われて見られてしまったとしたら、ちょっと気持ちが悪い。
また仕事用のデータを入れておくこともあるので、今後のことも考えて、データを暗号化して保続しておくことができるUSBメモリー、いわゆるセキュリティーUSBメモリーを買おうと思ったんだそう。
USBメモリーの紛失による個人情報の漏洩は頻繁に起きている!
試しに検索エンジンで『USBメモリー 紛失 個人情報漏洩』と検索すると、個人情報を保存していたUSBメモリーを紛失してしまいました、という多数の報告とお詫びに関する情報が見つかります。
この事実から分かるとおり、とても頻繁に、それこそ毎月のように個人情報を保存していたUSBメモリーの盗難・紛失事件が起きている、というわけ。
こういった問題を起こさないために、個人情報を扱う会社さんでは、USBメモリーによる個人情報の持ち出しが禁止されている会社さんも多いはず。
USBメモリーで重要なデータを持ち歩かなければ、盗難や紛失の心配はないけれど…
不要なデータは持ち歩かないに越したことはありませんし、それが最も有効な対策であることは間違いありません。
そもそもデータの保管場所から重要なデータを持ち歩かなければ、盗難や紛失の心配はありませんから。
ですが業務上必要があり、データを外部に持ち歩く必要があることもあるでしょう。
そういった場合には、何らかの盗難・紛失対策を行い、情報の取り扱い上の決まり事を設け、しっかりとした手続きを経てから持ち歩くような規則となっているのではないかと。
この時よく利用されるUSBメモリーの盗難・紛失対策の一つが、冒頭に登場した友人が購入を検討していたセキュリティーUSBメモリーの使用です。
セキュリティーUSBメモリーとは?
セキュリティーUSBメモリーとは、何らかのセキュリティー対策が施されたUSBメモリーのこと。
そのため特定の技術・機能を搭載したUSBメモリーのことを指す言葉ではありません。
ただその多くで実装されている機能が、データを暗号化してUSBメモリーに保存し、パスワードでロックをかける、というものです。
したがって直接盗難・紛失を防止する積極的な対策ではなく、盗難・紛失により、本来情報を見る権限のない(情報を見てはいけない)第三者がUSBメモリーを不正に取得、そしてその内部の情報を不正に閲覧・取得するのを防ぐ、という対策となります。
そしてこういった機能を持ったセキュリティーUSBメモリーには、たとえば以下の製品が挙げられます。
このセキュリティーUSBメモリーでは、USBメモリーをPCに接続してから、パスワードを入力しないと、データの保存領域にアクセスできません。
そのためパスワードを知らない第三者が、USBメモリー内に保存された情報を不正に取得・閲覧することはできず、USBメモリーの紛失・盗難にあっても安心!というわけ。
たしかにこういったセキュリティーUSBメモリーを使用すれば、もしもの時にも安心ではあります。
ですが…。
セキュリティーUSBメモリーは高い!
そうなんです!
セキュリティーUSBメモリーは、普通のUSBメモリーに比べ、かなり高価。
しかも高い割に保存できるデータ量が少ない製品が多いです。
たとえば先にご紹介した、エレコムさんのMF-ENU3A04GBKは、USB3.0対応の4GBのメモリーで、実売価格が5,000~7,000円前後。
ですが今時、USB3.0対応の普通の4GBのメモリーは1,000円前後で買えてしまいます。
そのため5倍以上も高価、というわけ。
いくらセキュリティーUSBメモリーが欲しいとはいえ、これではなかなか買いにくいですよね。
そこではるるがおすすめしたいのは、条件を満たしていれば無料で利用できるWindowsのセキュリティーUSBメモリー化機能、BitLocker To Goです!
実際に先の友人にも、このBitLocker To Goをおすすめし、実際に使ってもらったところ、無料でやりたいことができた!
と大変喜んでいました。
そこで今回はこの、WindowsのセキュリティーUSBメモリー化機能、BitLocker To Goをご紹介します!
Windowsの標準機能、BitLocker To Goで普通のUSBメモリーを暗号化して保護する方法
今回ご紹介するWindowsのセキュリティーUSBメモリー化機能、BitLocker To Goは、普通のUSBメモリーを暗号化して保護することができ、しかも無料で使用できる素晴らしい機能です。
Windowsに付属する機能のため、WindowsのPCを持っていれば、誰でも無料で利用可能です。
ただ先に書いたとおり、それにはある条件を満たしている必要があります。
そのためまずはこの前提となる条件をご紹介します。
WindowsのセキュリティーUSBメモリー化機能、BitLocker To Goを使用できる条件
BitLocker To Goの機能には、USBメモリーに暗号化を設定・施す機能と、暗号化したUSBメモリーを利用する(データの読み書きを行う)機能があります。
USBメモリーに暗号化を施す機能については、Windows 7のEnterprise、Ultimate(Professionalの上位エディション)、Windows 8 Professional、Enterprise、Windows 8.1 Professional、Enterprise、Windows 10の Professional、Enterpriseのエディションが必要です。
暗号化したUSBメモリーを利用する機能は、Windows 7、8、8.1、10のどのエディションでも可能です。
したがってWindows XPやVistaのPCでは、OSの標準機能でBitLocker To Goによって暗号化を施したUSBメモリー内のデータを読み書きすることはできません。
ただしBitLocker To Go リーダーというマイクロソフトさんのソフトウェアを使用すれば、読み取りのみ可能となります。
これに対し、Windows 7のEnterprise以上のOS、またはWindows 8以降のProfessional相当以上のエディションのOSのみを使用している方であれば、問題なく利用可能です。
また普通のUSBメモリー自体が必要なので、持っていないようであれば、別途購入する必要があります。
すでにUSBメモリーを持っているのであれば、それにBitLocker To Goの暗号化を施せばいいので、追加の費用は一切かかりません。
WindowsのセキュリティーUSBメモリー化機能、BitLocker To Goの使い方
まずはBitLocker To Goの暗号化機能により、USBメモリーを暗号化する方法をご紹介します。
BitLocker To Goの暗号化機能を使用して、USBメモリーを暗号化する方法
こちらが今回、BitLocker To Goの暗号化機能を使用して、暗号化を施す対象となるUSBメモリー。
どこにでも売っている、16GBの普通のUSBメモリーです。
これをPCに接続したところ、Pドライブとして認識された模様。
尚、今回はWindows 10 Professionalを使用して、BitLocker To Goの暗号化機能をご紹介します。
そのため他のバージョン・エディションのOSでは、多少UI(画面のデザインなど)が異なるかもしれません。
ですが手順は大きくは変わらないはずなので、ぜひ参考になさってください。
まず画面左下のWindowsボタンを右クリックします。
すると以下のような画面が表示されるので、『コントロールパネル』をクリックします。
コントロールパネルが表示されたら、『BitLockerドライブ暗号化』をクリックします。
するとBitLockerの管理画面が表示されるので、BitLocker To Goで暗号化したいドライブを選択します。
ここでは先ほどドライブを確認した、Pドライブを選択します。
『BitLockerが無効です』と表示されるので、『BitLockerを有効にする』をクリックします。
ドライブの暗号化の解除に使用するパスワード、もしくはスマートカードについて確認されますが、スマートカードを持っている方はあまりいらっしゃらないと思うので、通常は『パスワードを使用してドライブのロックを解除する』を選べばOKです。
パスワードは簡単に推測されない複雑かつ長いものを入力してください。
ちなみにマイクロソフトさんは、『パスワードには大文字、小文字、数字、空白文字、記号を含めてください』と推奨しています。
そのためこれらを組み合わせておけば大丈夫でしょう。
次はなんだか難しそうなことが書いてある画面が出てきます。
『回復キー』とは、もしもパスワードを忘れてしまった際に、BitLocker To Goで暗号化したUSBメモリーを復号(暗号化したデータをもとに戻すこと)するために使用する非常用のパスワードのようなものです。
これをどこに保存しますか?と聞いてきています。
今回は一番扱いやすいであろう、『ファイルに保存する』を選択。
するとファイルの保存先を聞いてくるので、適当にデスクトップにでも保存してください。
保存されたファイルを開くと、中身はこのようになっています。
ここで重要なのが、回復キーの識別に使用する『ID』と非常用のパスワードである『回復キー』です。
このファイルが手に入れば、BitLocker To Goで暗号化したUSBメモリーを誰でも復号し、中身を閲覧・取得可能となってしまいます。
そのためこのファイルは、絶対に第三者の手に渡らないように気をつけて、大切に保管してください。
次にドライブの暗号化の範囲をどうしますか?と聞かれます。
これについては画面上の説明書きを読んでいただき、それによって適切な方を選択してください。
よく意味が分からん!または読むのが面倒な方は『ドライブ全体を暗号化する』を選択してください。
こうしておけば、ドライブ全体が暗号化されるので、セキュリティー上はより安心です。
今度は使用する暗号化方式はどうするのかね?と聞いてきます。
これについても意味が分からん!または読むのが面倒な方は『互換モード』を選択してください。
最後に、本当に良いのね?やっちゃうわよ?
と聞いてくるので、問題がなければ、『暗号化の開始』をクリックします。
以上の手順で、BitLocker To GoによるUSBメモリーの暗号化処理を開始します。
図解すると長く感じますが、実際には画面の確認内容を選択・入力するだけなので、2~3分ほどの作業です。
暗号化の最中に、USBメモリーを取り外したい場合は、事前に必ず『一時停止』をクリックしてから、取り外してください。
そうしないとドライブ内のデータが破損してしまう可能性があるのでご注意を。
そして暗号化が完了すると、以下のような画面が表示されます。
この状態であれば、普通のUSBメモリーと同じように、USBメモリーを取り外すことで可能です。
尚、はるるの自宅のPCでは、16GBのUSBメモリー全体の暗号化におよそ5~7分ほどかかりました。
これについてはPCやUSBメモリーの性能にもよると思いますが、多少の時間がかかります。
BitLocker To Goで暗号化したUSBメモリーを復号して、読み書きできるようにする方法
さて、次はBitLocker To Goで暗号化したUSBメモリーを復号して、読み書きできるようにする方法をご紹介します。
まずUSBメモリーを普通のUSBメモリーと同じように、USBのポートに接続します。
すると画面上に以下のような画面が表示されるので、これをクリックしてください。
ただこのメッセージ、数秒で消えてしまうので、もしクリックが間に合わなかった場合は、エクスプローラーを起動して、USBメモリーのドライブをダブルクリックしてください。
尚、この段階ではUSBメモリーの暗号化が解除されていないため、USBメモリーのドライブ名や記憶領域のサイズ、プロパティなどは一切閲覧できません。
またロック中であることを示す、鍵のマークがドライブの上に表示されています。
次に解除画面でパスワードを聞かれるので、先ほど設定したパスワードを入力して『ロック解除』をクリックします。
ちなみにパスワード入力ボックスの右端にある目のようなアイコンをクリックしている最中は、入力したパスワードが見れるので、どこまで入力したっけ?といった時に利用されると良いかと。
以上の手順でBitLocker To Goで暗号化したUSBメモリーの暗号化の解除(復号)が完了しました。
あとは普通のUSBメモリーと同じように使用可能です。
復号すると、以下のようにUSBメモリーのドライブ名や記憶領域のサイズなどが確認できるようになります。
また鍵が灰色になり、暗号化が解除されていることを示しています。
いつ暗号化処理を実行しているの?
先ほど、BitLocker To Goで暗号化したUSBメモリーの暗号化を解除(復号)したあとは、普通のUSBメモリーと同じように使用すればOKと書きました。
そこであれれ?USBメモリーに書き込んだデータはいつ暗号化しているの?と疑問に思われるかもしれませんね。
BitLocker To Goでは、USBメモリーにデータを書き込む際に暗号化しているようで、書き込み完了時点で暗号化が完了しています。
これについては、マイクロソフトさんのBitLockerのQ&Aページに記載されています。
データの読み取りと書き込みの際、BitLocker の暗号化と暗号化解除は、ドライブ全体に対して一度に実行されるのですか。
いいえ。
データの読み取りと書き込みの際に BitLocker の暗号化と暗号化解除がドライブ全体に対して実行されるわけではありません。
BitLocker で保護されたドライブ内の暗号化されたセクターが、システムの読み取り操作から要求されたときにのみ、暗号化を解除されます。ドライブに書き込まれるブロックは、先に暗号化されてから、物理ディスクに書き込まれます。
暗号化されていないデータが、BitLocker で保護されたドライブに格納されることはありません。
そのためUSBメモリーに書き込みが完了した = 暗号化が完了している、ということです。
この仕様により、一度暗号化を解除したUSBメモリーは、普通のUSBメモリーと同じように利用できる、というわけ。
BitLocker To GoでUSBメモリーに設定したパスワードを忘れてしまった場合の対処方法
これには2つの対処方法があります。
まず1つ目は、先ほどUSBメモリーを暗号化した際にバックアップしておいた、『回復キー』を使う方法。
そしてもう一つは初期化する方法です。
『回復キー』を使用して、暗号化を解除する方法
この方法では、パスワードは忘れてしまったものの、先ほどUSBメモリーを暗号化した際にバックアップしておいた『回復キー』が手元にある状態であれば、使用可能な対処方法です。
まずUSBメモリーをPCに接続し、パスワード入力画面を表示します。
この画面上で『その他のオプション』をクリックし、『回復キーを入力する』をクリックします。
すると以下のような回復キー入力画面が表示されるので、『キーID』に表示されたIDが保存しておいた、回復キーのファイル内に記載されたIDの先頭と一致していることを確認し、回復キーを入力します。(入力するのは、『ID』ではなく『回復キー』です!)
入力が終わったら、『ロック解除』をクリックしてください。
『回復キー』が正しければ、ロックが解除され、パスワードを入力して解除した状態と同じ状態となります。
これでめでたしめでたし…の前に!
パスワードを変更する!
『回復キー』を使って、ロックを解除できたのは良かったですが、これでは毎回あの48桁の『回復キー』を入力しないといけないので、とっても面倒です。
そこでパスワードを新しいものに変更しておきましょう!
パスワードの変更は、エクスプローラーでUSBメモリーを表示。
これを右クリックして、『BitLocker パスワードの変更』をクリック。
そこで『忘れたパスワードをリセットする』をクリックして、パスワードを変更してください。
USBメモリーを初期化する方法
この方法を使用する際の重要なポイントとして、USBメモリー内に保存されたデータはあきらめる、という点が挙げられます。
BitLocker To GoはAES-CBCという強力な暗号化方式を採用しています。
そのため正規の手順(パスワードや回復キー)以外の方法で暗号化を解除するのは、大変困難です。
だからこそセキュリティ対策として成り立っているわけですが…。
したがって正規の手順(パスワードや回復キー)で暗号化を解除できない以上、USBメモリー内に保存されたデータを取り出すことはできません。
思い当たるパスワードを何度も試す、または総当たり攻撃(ブルートフォースアタック)と呼ばれる、全部の文字の組み合わせを試せばいつかは解除できるのかもしれませんが、おそらく現実的ではないでしょう。
この場合に、もうデータはどうでもいいけれど、USBメモリーを再び普通のUSBメモリーとして使いたい!
ということであれば、USBメモリーの初期化(フォーマット)を実行することで、再び利用可能となります。
この初期化作業(フォーマット)を行うには、エクスプローラーでUSBメモリーを表示。
これを右クリックして、『フォーマット』をクリック。
そして『開始』をクリックして、フォーマットが完了すれば、通常のUSBメモリーとして再度使用可能となります。
これ以後に保存したデータは暗号化されていないので、ご注意ください。
またこの状態のUSBメモリーを、再度BitLocker To Goで暗号化することも可能です。
USBメモリーのセキュリティーを向上させるには、BitLocker To Goがおすすめです!
今回ご紹介した、Windowsの標準機能であるBitLocker To Goは無料で使用でき、普通のUSBメモリーにAES-CBCという強力な暗号化方式を使用してデータを暗号化して保存できるようになります。
そのため安価で手軽にUSBメモリーのセキュリティーを向上できるので、とても便利です!
USBメモリーのセキュリティーを手軽に向上させたいのであれば、BitLocker To Goの利用はとってもおすすめですよ~!