普通のBitLocker / BitLocker to go / 普通の暗号化USBメモリとの違い
(普通の)BitLocker
・内蔵SSD/HDDのみに使用
・パーテーションを切ることも可能
USB接続スティック型SSDでも利用可能
(USBメモリは利用不可。もちろんパーテーション切ることも不可)
・条件を満たせばWindows HomeEditionでも使用可。
(というより勝手に暗号化される汗)
Windows Homeでも「BitLocker」が有効になっている場合がある!対処法まとめ-ふくしまクラウド
BitLocker to go
・USBメモリ/外付けSSSD USB/スティック型SSD など外部デバイスのみ暗号化
(内臓ストレージは対象外)
・Windows professional Editionのみ使用可
ハードウェア暗号化USB
・USBメモリ/外付けSSSD USB/スティック型SSD など外部デバイスのみ暗号化
・Windows pro 、home/Mac で使用可能(製品により対応OSは異なる)
Proffesional Editionは法人等で多く導入されているOSです。
意識していない人も少なくないと思いますが、オフィスにあるパソコンは大体こちらが使われています。逆に家庭用パソコンでは、8割方Home Editionが入っています。
前は、proとhomeの大きな違いは、ActiveDirectoryに入れるかどうかの違いで、個人用ではproを使うメリットはほとんどありませんでした。
でも、BitLocker to go機能が使えるというこの一点だけで、家庭用パソコンでもproを選ぶ価値があるんじゃないか、と思っています。
ハードウェア暗号化USBは、windowsだけでなく、様々なOSで使用できるように暗号化機能自体がUSBメモリに組み込まれています。
ハードウェア暗号化USBは具体的にはこういうものです。
RUF3-HSL4G / RUF3-HSL8G / RUF3-HSL16G / RUF3-HSL32G
https://www.amazon.co.jp/gp/product/B00I5870XE/ref=ppx_yo_dt_b_asin_title_o07_s00?ie=UTF8&th=1
ちなみに、私個人はこの製品が一番おすすめです。Win11リリース前に発売された製品なので、Win11とは書かれていませんが、普通に動きます。
理由としてはバッファローは信頼性が高いメーカーであるというのに加え、パスワードを10回連続で間違えると中のデータが自動的に消えるという機能が付いています。
他の製品は、回数制限がない または 回数制限100回というものがほとんどです。
機密データ、個人情報入りUSBメモリを落としてしまっても、まず大丈夫です。
データが漏洩する可能性は極めて低いと思います。
パスワードは、コンピュータでぐるぐる回して自動的に入れることもできるので、回数制限がないといつか破られる可能性もあります。
あと混同しやすいのは、ハードウェア暗号化USBでなく、暗号化はしないけど、アクセスする際は、パスワードを要求するものがあります。
こういった製品は安いので一見お得に見えます。通常ではデータアクセスはむつかしいですが、USBメモリを分解して中の半導体メモリを取り出して、ゴニョゴニョするとデータを読み出せてしまいます。
手間はかかるのでそこまでやる人は少ないかもしれませんが、機密情報とか手に入れるためには手間は惜しまない、という人はやらないとは言い切れません。
簡易セキュリティくらいに思ったほうがいいかもしれません。
普通のUSBメモリに暗号化ソフトが付いているものもありますが、ほとんどファイル移動すれば自動的に暗号化されるのではなく、いちいち主導でやらなければならないので、組織などで、これ使ってください!と指示しても1-2割くらいは面倒くさがってしません。
だから、自動的にすべきです。
すごいややこしい違いですが、この3つを説明しました。
用途、コスト、使用OSなどを考えて選んでください。
Windows限定なら、BitLocker to goがおすすめで、Win/Mac両対応ならハードウェア暗号化USBがおすすめです。
他にも組織内で導入しているセキュリティソフトによっては、これ以外でも暗号化することは可能です。
また、Bit Locker to go ならActiveDirectoryを導入していれば、グループポリシーで専用Organization Unitに突っ込めば使用を強制することも可能です。
USBメモリを全面禁止している組織もあると思いますが、そこまでやらずともグループポリシーでこれも選択肢です。
もっともが外部ストレージ使用禁止するか、暗号化USBのみ許可するかは業務次第なので、どちらがいいかは言うことできないです。
ケースバイケース
個人的にはこのようなルールかな。。。。
原則外部ストレージ使用禁止。
ただし、業務上やむを得ないケースは暗号化USBを「特例」として所属部署上長承認を前提として申請ベースで使用許可。暗号化USB以外は絶対使用禁止
暗号化USB許可する場合は、ADのグループポリシー使用推奨。
暗号化USBを特例で許可する場合は、個人や各部署に管理をゆだねるのではなく、
情報システム部が一括管理。個々のUSBメモリには一個づつ管理番号を振って、台帳を作りしっかり管理。
OUの操作って、難しいからこれができる会社は限られると思うけどね・・・
セキュリティ全般に言えることだけど、技術的なことだけでなく、運用ルールもしっかり考えておかないと、時間とともにグダグダになりがち。
利便性/現場の声無視して、セキュリティガチガチは簡単。
セキュリティと利便性は相反するようだけど、バランス考えて、落としどころ考えないと。。。
BitLocker to go の改良点をひとつあげれば、*回連続でパスワードを間違えれたらを中のデータが消えるという機能がないこと。
ここ有効/無効を回数任意で設定できるように改善してほしいな
あともう一つ、複雑なパスワードを管理者側が「任意」で強制させられるようにしてほしいな
覚えやすくて強度の高い安全なパスワードの作り方【アイデア/ルール】
>マイクロソフトさん
