Microsoftさん、それはないでしょう

2024年10月2日 14:06

弊社でお預かりしておりますデータのOSは、やはり何と言ってもWindowsが大多数を占めます。皆様もうご存じかとは思いますが、そのWindowsが11で大きな方針転換をしました。本日はそのことについてお話を致したいと思います。

セキュリティに大きく舵を切ったWindows11

Windows11では、おそらくセキュリティをいまより高めたいという意思を持ってだと思うのですが、セキュリティ関連のことが強化されました。いろいろと変更を伴っているのですが、とりあえずセキュアブートとTPM2.0が必須になったということは確かなようです。まず、ここから見ていきましょう。

セキュアブートとは？

セキュアブートというのは、簡単に言ってしまいますと電源投入後でWindows起動以前、多くのユーザーの方が「PCのメーカーのロゴが出る画面」あるいは「なんだか英語でいろいろなことが並んでいる画面」という認識でいらっしゃるであろう、ごく普通にPCを使うのであれば健全なPCユーザーの皆様は触らなくていいところで、裏で動いている機能の一つです。
どういうことをやっているかと言いますと、簡単に言えばこのPCにはどのようなソフトウェアがインストールされているかをチェックした上で、その正当性を確認し、どの機材から起動するのかを確認したあと、実際に起動すべき機材からOSを引っ張り出してきてメモリ上に展開するのか、通常はそれを行っています。
ここでセキュアブートが有効になっていると、それに加えて怪しい動作をする可能性があるようなソフトウェアがインストールされていないかどうかを確認して、見つかったらそのソフトウェアは無視して起動するという機能です。
「安全でよいのでは？」という感想をお持ちの方も多いと思いますが、確かにこれは安全性を確実なものにするための機能ではあります。しかし、ソフトウェアというのは何もアプリケーションだけとは限りません。
PCにパーツを積み増した経験がおありの方であれば、デバイスドライバのインストールという作業を経験なさっていることと思います。デバイスドライバとは、簡単に言えばそのパソコン本体と積み増したパーツが会話をするための言語のようなものです。これがインストールされていないと、OSはパーツが何を言っているのかわからず、このパーツは使えないということになってしまいます。
そしてこのデバイスドライバもソフトウェアの一種ですから、セキュアブートが有効になっていると特に古いパーツにおいて「危険なもの」と認識されてしまい、結果使用することができないという可能性が十分に考えられるわけです。

TPM2.0

さて、もうひとつ問題なのがこのTPM2.0です。トラステッド・プラットフォーム・モジュールの略ということになります。
Microsoftさん的には、ストレージ、ザックリ言うとSSDやHDDを暗号化したいというのが希望みたいです。仮にPCからSSDやHDDを抜き取ったとして、それを別のPCに接続したら、以前ならそのドライブの中身が見えました。
ところがWindows11では、同じことをやっても中身が見えないようにしたい、それを実現するのがこのTPM2.0ということになります。
わかりやすく言えば、SSDやHDDという家から出るときに鍵をかけるイメージだとお考え下さい。特にワンルームマンションなんかで郵便受けがドアについているところは結構ありますが、鍵をかけたあとにその鍵を郵便受けに入れてしまうと、普通の方法ではその家に入ることはもうできません。「この家にはもう帰るつもりはない」という意思表示になってしまいますよね。
というわけで、鍵を隠しておく場所は別の場所である必要があります。ありがちなのが水道栓の中とかですが、TPM2.0はこの水道栓ということになります。
このTPM2.0が具体的にどのように実装されているかというのは場合によって違ったりはするのですが、間違いなく言えるのは各PCに固有のものであって、取り外せるものでも取り替えられるものでもないということです。
というわけで、PCが壊れてしまった場合、暗号化されたままのSSDやHDDを取り出しても、それを読み取る方法はもうないということになります。

そしてBitLockerへ

正確に言うと、TPM2.0＝暗号化、ではなくてTPM2.0の機能のひとつがBitLockerということになるのですが、このBitLockerが暗号化ということになります。
Windows11がリリースされてからでももう結構経ちますが、その間にもいろいろと仕様変更がなされていまして、以下の5条件を満たすと勝手に暗号化されることになってしまいました。

Microsoftアカウントを利用してログインしていること
TPM2.0がデバイスに含まれていること
セキュアブートが有効になっていること
起動ドライブに250MB以上の空き領域が残っていること
クリーンインストールまたは新規にPCを購入

これらの条件ですが、Windowsユーザーの方は無意識のうちに満たしていると思うんですよね。せめて「暗号化しますか？」という確認ぐらい出してほしいものだと思うのですが。

ご依頼いただく際にお願いしたいこと

ここまで述べてきてもうおわかりいただけるかと思うのですが、この仕様がある以上、暗号化されたままのSSDやHDDをお預かりしても、ディザスタリカバリの意味をなしません。単純に、定期的なバックアップのお役に立つにとどまります。
ですので、非常にお手間を取る話ではあるのですが、バックアップの際には一旦暗号化を解除していただき、バックアップを作成した上でそれを弊社にお預けいただきまして、ご希望ならばお使いのSSDやHDDは再度暗号化していただく、という形にならざるを得ません。
本当に、Microsoftさん、それはないでしょうといったところです。

回復キーは紙に記録して持っておく？

もうひとつ、暗号化されたSSDやHDDの中身を見る方法があるとすれば、暗号化キーというものを利用する方法です。先ほどの例で言うとドアに鍵をかけて、その鍵を自分で持っておくという方法です。
その方法その1は「コマンドプロンプト」を使う方法です。コマンドプロンプトがどこにあるのかは、すみません文字数の関係上各自ご確認いただきたいのですが、これを右クリック→管理者として実行をクリックします。そこで以下のコマンドを実行します。

manage-bde_-protectors_-get_c:

これがCドライブの場合です。わかりにくかったのでアンダーバーにしましたが、実際に実行するときにはアンダーバーの部分はスペースにして下さい。
方法その2はマイクロソフトアカウントを利用する方法です。普通にマイクロソフトアカウントにログインしていただいてもいいのですが、以下のURLに直接アクセスすると一発で出てきますのでご利用下さい。

https://account.microsoft.com/devices/recoverykey

方法その3は、確認方法と言うより利用方法なのですが、BitLockerが有効になっているパソコンを操作できる必要があります。ですので、バックアップとセットにして定期的に確認しておくのがよいでしょう。
スタートボタンをクリック→キーボードで「bit」と入力→BitLockerの管理が出るので開く→回復キーのバックアップをクリック→ファイルに保存するをクリックしてUSBメモリなどに保存します。ちなみに、この手順で印刷することもできます。

小括

というわけで、セキュリティが大幅強化されたWindows11のお話をお届け致しました。
リリース直後はだんだんハードルを下げていくだろうと言われていたWindows11ですが、実際にはだんだんハードルが上がっています。
まあ偶然なんだと思いますがWindowsって
XP（好評）→Vista（不評）→7（好評）→8および8.1（不評）→10（好評）と交互に来ていますので、順番から言えば11は不評になりますね。実際、今年中に12のリリース予定なんて噂も出ていますし、しばらくは状況を注視する必要がありそうです。