SPN通信 2011年2月28日

BitLocker使用時のベストプラクティス


みなさん、こんにちは。 SPNの塩月です。

先週Windows 7および2008 R2のサービスパック1が公開されましたが、環境によってはインストール時にいろいろと問題が発生しているようですね。組織内でサービスパックを展開する際には、事前に十分検証していただければと思います。

  Windows 7 / 2008 R2 Service Pack 1 Problems 
  http://isc.sans.edu/diary.html?storyid=10453
さて今回のSPN通信では、Windows OSのディスク・フルボリューム暗号化機構「BitLocker」を使用する際のベストプラクティスについてご紹介しましょう。
  Best Practices for BitLocker in Windows 7
  http://technet.microsoft.com/en-us/library/dd875532(WS.10).aspx
マイクロソフトが公開している上記文書には、組織内でWindows 7へBitLockerを展開する際に推奨される各種グループポリシー設定や、運用上の留意点が記述されています。この中でも特に注目していただきたいのが、OSドライブ暗号化の際に重要となる以下の二点です。
  1) 多要素認証の使用
  2) スタンバイモードの禁止
OSドライブをBitLockerで暗号化することにより、そのドライブ内のユーザデータが保護されることはもちろんですが、OSの重要な情報(ユーザのパスワード情報、OS設定情報、ハイバネーションファイル、プログラムファイル等)も同時に保護されます。そのため、たとえノートPCが盗難に遭ったとしても機密情報が漏洩する危険性は、それほど大きくはないでしょう。

ただしBitLockerを使用しているからといって、常に安心できるわけではありません。上記文書にも書かれていますが、BitLockerの保護が効果を発揮するのはコンピュータが完全に停止している状態(シャットダウン状態)、もしくは休止状態(ハイバネーション状態)の時だけです。なぜならそれ以外の状態にあるPCでは、BitLockerがOSドライブを暗号化/復号するために使用する「鍵」がPCのメモリの中に保護されていない形で存在するからです。メモリ中のBitLockerの鍵を抽出する手法やツールについては、以下をご参照ください。

  Lest We Remember: Cold Boot Attacks on Encryption Keys
  http://citp.princeton.edu/memory/

  Passware Kit Decrypts Hard Disks Encrypted with BitLocker or TrueCrypt
  http://www.lostpassword.com/hdd-decryption.htm
では前述した「多要素認証の使用」および「スタンバイモードの禁止」がBitLockerの安全性にどのように役立つのでしょうか。

例えばBitLockerを「TPM(セキュリティチップ)」の認証のみで使用している場合を考えてみましょう。TPMへアクセスするために「PIN(暗証番号またはパスワード)」を要求するように設定していなければ、攻撃者はシャットダウンしているノートPCを起動し、OSが動作している状態へと楽に移行させることができます。そのため、TPM+PIN、TPM+USBスタートアップキーといった多要素でのOS起動前認証(プリブート認証)を行うことが求められます。

スタンバイ状態のPCの場合はどうでしょう。スタンバイモードで停止しているPCはOS稼働中のメモリ状態をそのまま保持しているため、スタンバイから復帰する際にBitLockerはあらためて認証を要求することはしません。たとえ多要素認証を用いていたとしても、スタンバイからの復帰時には攻撃者はPINを入力したり、USBキーを挿入したりする必要はないわけですね。またスタンバイ状態で停止しているPCからメモリを物理的に取り外すことで、メモリ中の鍵にアクセスされる危険性もあります。Vista以降、グループポリシーでスタンバイモードを禁止させることができるようになりましたので、その設定を有効活用することが推奨されています。

Vistaから導入されたBitLockerはWindows 7でその機能が大幅に強化されると同時に、グループポリシーで制御可能な設定項目もかなり増えています。上記マイクロソフトのガイドライン文書を参考にして、安全なノートPCの運用につなげていただければと思います。

それではみなさん、またお会いしましょう。

合同会社セキュリティ・プロフェッショナルズ・ネットワーク
代表社員 塩月誠人