はじめに
前回の記事でMicrosoftのeDriveの概要と最新の作成手順を説明しました。
eDriveは2012年に導入され、導入当時はWindowsがeDrive作成可能であることを検出すると自動で作成するものでした。しかし、前回の記事で説明したとおり現在ではユーザによる操作が必要となり手順が煩雑になりました。
今回の記事ではその要因についてまとめます。
まとめ
eDriveの作成手順が煩雑化した要因は以下の3つと考えられます。
- 自己暗号化ドライブの暗号処理機能に脆弱性が発見されMicrosoftがBitLockerの標準暗号処理を変更したこと
- TCG Opalの要件が変更されたこと
- Windowsの新規インストール時にBitLockerによる暗号化が標準で実施されるよう変更されたこと
eDrive導入後に起きた出来事
今回説明する出来事を時系列で箇条書きすると以下のようになります。
- (2012年:eDrive導入)
- 2018年:自己暗号化ドライブ(Self Encrypted Drive: SED)の暗号処理機能に脆弱性発見
- 2019年:(上記脆弱性発見に伴い)BitLockerの標準暗号処理方式設定変更
- 2022年:TCG Opalの要件変更
- 2024年:新規インストール時に標準でBitLocker暗号化を実施するように変更
2018年:自己暗号化ドライブ(SED)に脆弱性発見
これは、複数メーカーのSSDが備える暗号処理機能に脆弱性が発見されたという出来事です。その脆弱性とは、パスワードや暗号化に使用される鍵を知らなくても暗号化されたドライブ内のデータを復号できてしまう、というものでした[1][2]。
攻撃にはドライブへの物理アクセスが必要でしたが、当時BitLockerはドライブがeDriveに対応していれば(つまりSEDであれば)ドライブの暗号化にSEDが備える暗号化機能(以降、ハードウェア暗号化と記載)を優先して使用する設定であり、深刻に受けとめられました。
この脆弱性への対応策として、BitLockerによる暗号化方式としてCPUパワーを用いる方式(以降、ソフトウェア暗号化と記載)を使用することが推奨されました。
2019年:BitLockerの標準暗号処理方式設定変更
上記脆弱性の発見を受けて、Microsoftは2019年9月のWindows定例アップデートにおいてBitLockerが使用する標準の暗号化方式をソフトウェア暗号化に変更しました[3]。
アップデートの内容として以下のとおり明確に記載されています。
Changes the default setting for BitLocker when encrypting a self-encrypting hard drive. Now, the default is to use software encryption for newly encrypted drives. For existing drives, the type of encryption will not change.
MicrosoftのWebページ[3]より
この設定変更の結果、eDrive作成時にBitLockerにハードウェア暗号化を使用させるには設定変更が必要、ということになりました。
2022年:TCG Opalの要件変更
Trusted Computing Group (TCG)が策定したストレージのセキュリティにかかわる標準仕様であるOpal Security Subsystem Class (SSC)[4](以降TCG Opalと記載)は、2009年1月に初版(バージョン1.0、リビジョン1.0)が発行されました。
以降、バージョン1.0リビジョン2.0が2009年4月、バージョン1.0リビジョン3.0が2010年4月に発行され、2012年2月にバージョン2.00リビジョン1.00が発行されました。2025年3月現在の最新版はバージョン2.30です。MicrosoftがeDriveの要件に挙げているTCG Opalのバージョンは、eDriveの導入時期から2.00だと推測されます。
TCG Opalには付帯機能(feature)があります。そのうちいくつかはTCG Opal準拠を謳ううえで実装が必須な機能であり、いくつかは実装不要なオプションの機能です。そしてTCG Opal準拠に必須である付帯機能はTCG Opalのバージョンごとに異なります。
実際TCG Opal準拠に必須である付帯機能は、2022年に発行されたバージョン2.02リビジョン1.0において、それまでのバージョン2.01リビジョン1.00(2015年発行)から変更されました。具体的には"Block SID Authentication feature set"が追加されました。仕様書の2.10節"Mandatory Feature Sets"という節に記載されています。
| v2.01 r1.00(2015年発行) | v2.02 r1.0(2022年発行) | |
|---|---|---|
| 必須(追加)機能(feature set) | Additional DataStore Tables, PSID | Additional DataStore Tables, PSID, Block SID Authentication |
この"Block SID Authentication"という機能は、ATA SecurityのSECURITY FREEZE LOCKコマンドと同様の機能を提供するものです。この機能は、重要なセキュリティ設定を変更できないようにするものです。システム起動の初期段階において使用されることを想定しています。たいていはBIOSがコマンドを発行します。
ATA Security feature setをサポートするドライブにSECURITY FREEZE LOCKコマンドを発行するとfrozen状態となりSecure Eraseを実行するためにはこのfrozen状態を解除する必要がある[5][6][7]、という状況をご存知の方もいるかもしれません。Block SID Authentication機能が実現するのはこれのTCG Opal版です。
NVMe仕様にはSECURITY FREEZE LOCKコマンドのような機能が存在しないこと、またTCGがBlock SID Authentication機能の活用を推奨している[8]ことから、最近のBIOS(UEFIソフトウェア)はTCG Opalをサポートするドライブには積極的にBlock SID Authentication機能を活用していると考えられます。
実際、BIOSメーカーのAMIはBlock SID Authentication機能のサポートについてニュースリリースを出しています[9]。
2024年:クリーンインストール時に標準で暗号化適用
Microsoftは、Windows 11バージョン24H2において、Windowsクリーンインストール時にBitLockerによるストレージ内データの暗号化を標準で実施するように設定を変更しました[10]。
MicrosoftのWebページの説明は市販のノートPCなどにメーカーがインストールするOEM向けのものですが、説明文には以下の通り「ハードウェア要件を満たしていれば自動的にBitLockerによるドライブ暗号化を実施する」と記載されています。
BitLocker automatic device encryption uses BitLocker drive encryption technology to automatically encrypt internal drives after the user completes the Out Of Box Experience (OOBE) on devices that meet hardware requirements.
MicrosoftのWebページ[10]より
実際、前回の記事でご説明したeDrive作成の試行時も、何も設定変更を行わないWindows 11 24H2クリーンインストールの結果システムドライブが暗号化されました。
おわりに
今回の記事では、eDriveの作成が煩雑化した要因について説明しました。
技術の進歩や社会情勢の変化などにより特定の技術や機能を取り巻く状況が変化して流行したり廃れること自体は良くあることで、このeDriveも後者の例のひとつなのかな……と思います。
最後となる次回では、前回の手順説明と今回の煩雑化要因説明のまとめとして、eDrive作成の注意点をまとめます。
References
[1] IPA、「自己暗号化ドライブ製品における複数の脆弱性」、JVNDB-2018-009133、2018年11月7日公表
[2] PCWatch、「SamsungやCrucial製SSDの暗号化機能に脆弱性」、2018年11月7日
[3] Microsoft, "September 24, 2019—KB4516071 (OS Build 16299.1420)," retrieved on March 6, 2025
[4] Trusted Computing Group, "TCG Storage Security Subsystem Class: Opal Specification," retrieved on February 28, 2025
[5] @honma-h、「HDDやSSDのデータを完全消去してみる」
[6] @nvsofts、「SSDをSecure Erase機能で安全に消去する」
[7] @t0d4_、「UbuntuでSSDを完全消去(Secure Erase)する」
[8] Trusted Computing Group, "TCG Storage Opal Integration Guidelines," Version 1.00, Revision 1.00, March, 2016
[9] AMI, "AMI Provides Block SID for NVMe Drives in Aptio® V UEFI BIOS Firmware," October 25, 2017 (retrieved on March 5, 2025)
[10] マイクロソフト、「OEM 向け Windows 11 での BitLocker ドライブ暗号化」、2025年3月21日閲覧(原文である英語版はこちら)
ライセンス表記
この記事はクリエイティブ・コモンズ 表示 - 継承 4.0 国際 ライセンスの下に提供されています。