Fujitsu Cloud Direct当社が提供するサービスを法人のお客様へ直接販売するサイトです。

メニュー
閉じる

CLOUD NAVIクラウドとは?からクラウドを支える技術や関連用語まで解説

FJcloud実践

BitLockerで増設ディスクを暗号化する方法

2021年9月14日
BitLockerで増設ディスクを暗号化する方法

この記事は、ニフクラブログで2021-09-14に公開された記事を移転したものです。

こんにちは、FJcloud-V(旧ニフクラ)技術支援チームです。

クラウドサービスの利用において、セキュリティの確保はとても重要なテーマです。

FJcloud-V(旧ニフクラ)のサービス基盤は、自社での設計・運用の実施により、高度なセキュリティパフォーマンスを維持していますが、こちらで紹介しているように、OS層・アプリケーション層のセキュリティ確保については、お客様の責任範囲となります。

今回はセキュリティ確保の一手段として、Windows ServerでBitLocker(Windows OSに標準で搭載される暗号化機能)を利用した増設ディスク暗号化手順をご紹介いたします。

BitLockerについては「Why am I unable to automatically unlock my drive?(BitLockerをWindows Server 2012 以降に展開する方法)」(外部サイトへのリンクです)をご参照ください。

目次

前提条件

本ブログ記事は、以下の前提知識・作業を想定しています。

  • FJcloud-V(旧ニフクラ)の基本的なコントロールパネルの操作、サービスを利用する知識

(サーバー作成、ネットワーク構築など)* Windows Serverの基本的な操作、設定に関する知識

検証概要

以下の流れで増設ディスクを暗号化、動作確認まで実施します。

  • (1) 増設ディスク領域の暗号化を実施
    BitLockerの有効化、パスワードの設定、回復キーの保存、暗号化モードの設定
  • (2) 増設ディスクの自動ロック解除設定
    自動ロック解除の有効化
  • (3) 動作確認
    OS再起動後、ロック解除・保護状態・暗号化状態・書き込み読み込み可否を確認

BitLockerの注意点

BitLocker導入にあたって3つの注意点があります。

  1. 1. TPMの設定

    FJcloud-V(旧ニフクラ)仮想サーバーでは現状TPMが提供されていないため、ローカルグループポリシーから「スタートアップ時に追加の認証を要求する」を設定する必要があります。設定を行っていない場合BitLocker導入時にエラーが表示されてしまいますので忘れずに設定して下さい。

  2. 2. 回復キーの扱い

    回復キーがあればディスクの暗号化が解除できてしまうため、作業完了後はディスクを暗号化したサーバ外にて保存してください。

  3. 3. 自動ロック解除

    通常、ローカルディスクを暗号化せず増設ディスクのみの暗号化となる場合は自動ロック解除を使用することが出来ません。

    しかし、BitLocker To Goを使用することで擬似的に自動ロック解除が可能となります。BitLocker To Goによる自動ロック解除は『自動ロック解除を有効にしたユーザー』がログオンしたタイミングで初めてロック解除されますので運用の検討が必要となります。

    詳細は以下Microsoft公式サイト「Why am I unable to automatically unlock my drive?」(自動ロック解除について)(外部サイトへのリンクです)をご参照ください。

利用リソース

検証に利用したリソースは以下の通りです。

リソース 数量 備考
ファイアウォール 1
サーバー 1
増設ディスク 1 100GB
Microsoft Windows Server 2019 Standard Edition 1

検証準備

リソース作成

リソースの作成については、設定項目・設定値は省略させていただきます。

作成方法は以下を参照してください。

(1) ファイアウォールグループの作成

クラウドヘルプ(ファイアウォールグループの新規作成)

クラウドヘルプ(ファイアウォール:ルールの追加)

(2) サーバーの作成

クラウドヘルプ(サーバーの作成)

(3) ディスクの作成

クラウドヘルプ(ディスクの作成)

クラウドユーザーガイド(追加したディスクの設定方法(マウント手順):Windows系OSの場合)

暗号化の設定

(1) BitLocker導入

  1. サーバーマネージャーから「管理」>「役割と機能の追加」を選択
    役割と機能の追加
  2. 2. 『次へ(N)>』を選択
    開始する前に
  3. 3. 『役割ベースまたは機能ベースのインストール』を選択後『次へ(N)>』を選択
    インストールの種類の選択
  4. 4. 『サーバープールからサーバーを選択』を選択後、該当のサーバーを選択
    対象サーバーの選択
  5. 5. デフォルトから変更せず『次へ(N)>』を選択
    サーバーの役割の選択
  6. 6. 『BitLocker ドライブ暗号化』にチェックを入れる
    機能の選択1
  7. 7. 『管理ツールを含める(存在する場合)』にチェックを入れ『機能の追加』を選択
    役割と機能の追加ウィザード
  8. 8. 『次へ(N)>』を選択
    機能の選択2
  9. 9. 『必要に応じて対象サーバーを自動的に再起動する』のチェックを外す。『インストール(I)』を選択
    インストールオプションの確認

(2) ローカルグループポリシー設定

  1. 『ローカルグループポリシー』>『コンピューターの構成』>『管理用テンプレート』>『Windows コンポーネント』>『BitLocker ドライブ暗号化』>『オペレーティング システムのドライブ』を選択
    ローカルグループポリシー設定1
  2. 2. 『スタートアップ時に追加の認証を要求する』を選択後『編集(E)』を選択
    ローカルグループポリシー設定2
  3. 3. 『有効(E)』を選択後オプション:の『互換性のあるTPMが装備~』にチェックが入っていることを確認。『適用』を選択後『OK』を選択
    ローカルグループポリシー設定3
  4. 4. OSを再起動して設定を反映

(3) 増設ディスク暗号化

  1. 1. エクスプローラーを起動後『デバイスとドライブ』から増設ディスクを選択
    コンテキストメニューから『BitLockerを有効にする(B)』を選択
    BitLocker有効化
  2. 2. 『パスワードを使用してドライブのロックを解除する(P)』にチェックを入れパスワードを入力。『次へ(N)』を選択
    パスワード設定
  3. 3. 『ファイルに保存する(F)』の場合は ⇒ A手順へ
    『回復キーを印刷する(P)』の場合は ⇒ B手順へ
    回復キー保存先選択
  4. 3-A-1. 暗号化対象ディスク以外を保存場所に選択後、『保存(S)』を選択
    回復キーのファイル保存
  5. 3-B-1. 印刷で『Microsoft Print to PDF』を選択後、『印刷』を選択
    回復キーの印刷1
  6. 3-B-2. 任意の保存場所と任意のファイル名を指定後、『保存(S)』を選択
    回復キーの印刷2
  7. 4. 『回復キーが保存されました』または『回復キーが印刷されました』と表示されたら『次へ(N)』を選択
    回復キーバックアップ確認
  8. 5. 『使用済みの領域のみ暗号化する(新しいPCおよびドライブの場合には高速で最適)(U)』を選択後『次へ(N)』を選択
    暗号化範囲の選択
  9. 6. 『新しい暗号化モード(N)(このデバイスの固定ドライブに最適)』を選択後『次へ(N)』を選択
    暗号化モード選択
  10. 7. 『暗号化の開始(E)』を選択
    暗号化開始
  11. 8. しばらく待機すると完了画面がポップアップするため『閉じる(C)』を選択
    暗号化対象のドライブに鍵のアイコンが表示されていることを確認
    暗号化確認

(4) 増設ディスクの自動ロック解除有効化

  1. 1. エクスプローラーを起動後『デバイスとドライブ』から増設ディスクを選択後、コンテキストメニューから『BitLockerの管理』を選択
    自動ロック有効化1
  2. 2. 増設ディスクの『自動ロック解除の有効化』を選択
    自動ロック有効化2
  3. 3. 対象増設ディスクが『自動ロック解除の無効化』の表記に変わっていることを確認
    自動ロック有効化確認

(1) マウント・ロック解除確認

  1. OS再起動後、自動ロック解除の有効化を実施したユーザでログインする。
    エクスプローラーを開き、増設ディスクがマウントされ、ロックが解除されていることを確認
    マウント確認

(2) コマンドプロンプトを使用した保護状態確認

  1. 1. スタートメニューから『Windows システム ツール』>『コマンドプロンプト』>『その他』>『管理者として実行』を選択
    コマンドプロンプト起動
  2. 2. 以下のコマンドを実行して、保護状態のステータスを確認 
    > Manage-bde.exe -status
    保護状態の確認

(3) ディスクの管理からの暗号化確認

  1. 1. ディスクの管理の選択
    ディスクの管理
  2. 2. 増設ディスクが『BitLocker で暗号化済み』となっていることを確認
    パーティション暗号化確認

(4) 暗号化対象の増設ディスクへの書き込み・読み込み確認

  1. 1. デスクトップ上にテスト用ファイルを作成し、『増設ディスク』に配置
    テストファイル配置
  2. 2. 配置したテスト用ファイルにアクセス可能なことを確認
    ファイルへのアクセス確認

まとめ

本記事では、増設ディスクの暗号化を「BitLocker」を使用して実施しました。

注意点にも記した通り、FJcloud-V(旧ニフクラ)仮想サーバーにBitLockerを導入するにはローカルグループポリシーの設定変更というひと手間が必要になりますが、以降の手順は画面の表示に従って選択していけば問題なく導入完了まで到達することが可能な簡単な手順になります。

容易に増設ディスクを暗号化することが可能なため、 セキュリティ強化の1つの方法としてご検討ください。

Linux環境でも同様の検証を実施していますので、別の記事『LUKSを使用して増設ディスクを暗号化してみた!』もあわせてごらんください。

注意事項

  • 本記事については検証結果の1つとなります。実際に検討される場合は、事前にそれぞれの要件を鑑みて実装するか確認してください。
  • 本記事ではOS上の操作についても記載していますが、FJcloud-V(旧ニフクラ)ではOS以上はご利用者様の責任範囲となりますのでご留意ください。
  • 本記事に記載されている会社名、製品名等の固有名詞は各社の商号、登録商標または商標です。

関連記事

テーマに沿った記事を一気見
お客様のニーズに合ったより良いサービスを提供するために、当ウェブサイトではCookieを使用しています。お客様は、Cookie受け入れについて同意するかしないかを選択できます。詳細は、当社のクッキーポリシーを確認してください。
同意しない 同意する
PageTop