VeraCrypt を使えば Windows 10 Home でもシステムドライブを暗号化できるが,問題もある

Windows 10 Home では BitLocker によるシステムドライブ暗号化を利用することができません。

そのため,パスワードやアクセス制御をかけたところで,ドライブを別のマシンに接続するだけで,誰でも簡単に内容を見ることができてしまいます。次善の策としてデバイスのハードウェア暗号化機能の利用を検討することになりますが,対応するハードウェアはかなり限られ,そもそもセキュアでもありません。つい最近も,デバッグ用ポートにアクセスすることで Samsung や Crucial といったメジャーなブランドの SSD のハードウェア暗号化をバイパスできる脆弱性が明らかになったばかりです。

余ったパーツでゲーム専用の Windows マシンをでっち上げていた私は困ってしまいました。Bitlocker は使えないし,SSD はハードウェア暗号化に対応していないし,TPM もなくモジュールの追加も難しいようです。もちろん,モバイルするわけではありませんし,そもそも Windows を使うのですから,あきらめてノーガード戦法で行くということも考えられます。しかし,暗号化されていないシステムを使うのは道端に落ちているものを拾って食べるようなもので,とても正気ではできることではありません。そこでウイスキーで脳にパッチを当ててから環境構築しようと思ったものの,残念ながらウイスキーを切らしていたので,仕方がないのでほかの選択肢を模索することにしました。

さて,結論としては,Windows 10 Home でシステムを暗号化する手段は存在します。Windows 標準の機能では実現できないにせよ,サードパーティのソフトにはそうした機能に対応したものもあるのです。

私が選択したのは VeraCrypt です。TrueCrypt フォークのひとつで,もっともよくメンテナンスされています。ユーザが比較的多いことから,バグや OS アップデートに伴う非互換性も洗い出されやすいと思われます。VeraCrypt ≒ TrueCrypt のフルディスク暗号化 (FDE) 機能は Windows XP の頃から使われていたもので,長年の実績もあります。議論のある Bitlocker のシステム暗号化機能と異なり FDE と呼んで差し支えないローレベルの暗号化であるので,セキュリティ面でも Bitlocker よりむしろ上かもしれません。

導入は非常に簡単であり,丁寧なウィザードに従うだけでした。コンピュータに不慣れな人はこのような方法でドライブを暗号化するべきではないので,ここでは細かく手順を説明することはしません

ただし,重大な問題点もあります。

最大の問題は、自動再起動した場合に、OS が起動する前の VeraCrypt のパスワード入力画面で止まってしまうことです。また,復号は Windows の起動に先立ってとても小さなプログラムだけロードされた状態でおこなわれるので,タッチパネルのオンスクリーンキーボードや Bluetooth キーボードなど BIOS / UEFI の時点で利用可能にならない入力手段しかない場合はパスワードを入力できません。

しかし,これらの問題点を考慮してもなお,知っておいて損はない方法でしょう。

コメントを残す

投稿にあたり,完全な IP アドレスが保存されます(公開されません)。

コメントはスパムフィルタで処理され,承認後に公開されます。