ユーザーが PC と一緒に旅行すると、機密情報が一緒に移動します。 機密データを保存する場合は、物理的なデバイスの盗難や悪意のあるアプリケーションからの不正なアクセスから保護する必要があります。
BitLocker
BitLocker は、オペレーティング システムと統合されたデータ保護機能であり、紛失、盗難、または不適切に使用停止されたデバイスからのデータの盗難や露出の脅威に対処します。 これは、128 ビットまたは 256 ビットのキー長を持つ XTS または CBC モードの AES アルゴリズムを使用して、ボリューム上のデータを暗号化します。 初期セットアップ時に、OOBE 中に BitLocker を有効にし、初めて Microsoft アカウントにサインインすると、BitLocker は回復パスワードを Microsoft アカウントに自動的に保存し、必要に応じて取得します。 BitLocker を手動で有効にした場合は、回復パスワードをエクスポートすることもできます。 回復キーの内容は、OneDrive または Azure [5] のクラウド ストレージに保存できます。
組織の場合は、グループ ポリシーを使用するか、Microsoft Intune[4]のようなデバイス管理ソリューションを使用して BitLocker を管理できます。 ハードウェア セキュリティ テスト インターフェイス (HSTI)、モダン スタンバイ、UEFI セキュア ブート、TPM などのテクノロジを使用して、OS、固定データ、リムーバブル データ ドライブ (BitLocker To Go) の暗号化を提供します。
ハードウェアアクセラレーション Bitlocker
9 月の更新プログラムが適用された Windows 25H2 および 24H2 以降では、Microsoft BitLocker が更新され、Intel® Total Storage Encryption を含む最新の SoC と CPU の機能が利用されます。
これらの機能は次のとおりです。
- 暗号化オフロード: BitLocker 内のストレージ IO に対する一括暗号化操作は、メイン CPU コアから専用の暗号エンジンにオフロードされます。 このオフロードにより、BitLocker のパフォーマンスが向上し、バッテリの寿命が延びます。
- ハードウェアで保護されたキー: BitLocker の一括暗号化キーはハードウェアでラップされます。 この保護により、元の一括暗号化キーが CPU とメモリに公開され、セキュリティが強化されます。
詳細情報
BitLocker To Go
BitLocker To Go は、リムーバブル データ ドライブ上の BitLocker を指します。 BitLocker To Go には、USB フラッシュ ドライブ、SD カード、および外付けハード ディスク ドライブの暗号化が含まれています。 パスワード、スマート カードの証明書、または回復パスワードを使用してドライブのロックを解除できます。
詳細情報
デバイスの暗号化
デバイス暗号化は、特定のデバイスで BitLocker 暗号化を有効にするプロセスを簡略化する Windows 機能です。 これにより、OS ドライブと固定ドライブのみが暗号化されますが、外部 USB ドライブは暗号化されません。 さらに、DMA アクセスを許可する外部からアクセス可能なポートを持つデバイスは、デバイス暗号化の対象になりません。 標準の BitLocker 実装とは異なり、デバイスの暗号化は自動的に有効にされ、継続的な保護が保証されます。 Windows のクリーンインストールを完了し、すぐに使用できるエクスペリエンスを完了すると、デバイスは暗号化が既に整った状態で最初に使用する準備が整います。
組織は、BitLocker の完全な実装を優先してデバイス暗号化を無効にすることができます。 このオプションを使用すると、暗号化ポリシーと設定をより詳細に制御できるため、organization固有のセキュリティ要件を満たすことができます。
DMA と HSTI/モダン スタンバイのデバイス暗号化の前提条件は削除されます。 この変更により、自動および手動の両方のデバイス暗号化の対象となるデバイスが増えます。
詳細情報
暗号化されたハード ドライブ
暗号化されたハード ドライブは、ハードウェア レベルで自己暗号化するハード ドライブのクラスです。 完全なディスク ハードウェア暗号化を提供し、ユーザーに対して透過的です。 これらのドライブは、BitLocker によって提供されるセキュリティと管理上の利点と、自己暗号化ドライブの機能を組み合わせたドライブです。
暗号化ハード ドライブは、ハードウェアで暗号化操作を実行することにより、BitLocker のパフォーマンスを向上させ、CPU の使用率と電力消費を削減します。 暗号化されたハード ドライブはデータをすばやく暗号化するため、生産性にほとんど影響を与えず、エンタープライズ デバイス間で BitLocker の展開を拡張できます。
暗号化されたハード ドライブでは、次の機能が有効になります。
- スムーズなパフォーマンス: ドライブ コントローラーに統合された暗号化ハードウェアを使用すると、パフォーマンスの低下なしにドライブを完全なデータ レートで動作させることができます
- ハードウェアに基づく強力なセキュリティ: 暗号化は常にオンであり、暗号化のキーがハード ドライブから離れることはありません。 ドライブは、ロックを解除する前に、オペレーティング システムから独立してユーザーを認証します
- 使いやすさ: 暗号化はユーザーに対して透過的であり、ユーザーはそれを有効にする必要はありません。 暗号化されたハード ドライブは、オンボード暗号化キーを使用して簡単に消去できます。 ドライブ上のデータを再暗号化する必要はありません
- 保有コストの削減: BitLocker は既存のインフラストラクチャを使用して回復情報を格納するため、暗号化キーを管理するための新しいインフラストラクチャは必要ありません。 プロセッサ サイクルは暗号化プロセスに使用されないため、デバイスの動作効率が高くなります
詳細情報
Email暗号化
Email暗号化を使用すると、ユーザーは電子メール メッセージと添付ファイルをセキュリティで保護し、デジタル ID (ID) または証明書を持つ目的の受信者のみがそれらを読み取ることができるようにすることができます[8]。 ユーザーは、送信者の ID を確認し、メッセージが改ざんされていないことを確認するメッセージに デジタル署名 することもできます。
Windows 11の新しい Outlook アプリでは、Microsoft Purview Message Encryption、S/MIME、Information Rights Management (IRM) など、さまざまな種類の電子メール暗号化がサポートされています。
Secure/多目的インターネット メール拡張機能 (S/MIME) を使用すると、organization内のユーザーと、適切な暗号化証明書を持つ外部連絡先に暗号化されたメッセージを送信できます。 受信者は、暗号化解除キーが一致する場合にのみ、暗号化されたメッセージを読み取ることができます。 暗号化証明書が使用できない受信者に暗号化されたメッセージを送信する場合、メールを送信する前にこれらの受信者を削除するように求められます。
詳細情報