eDriveおぼえていますか？(3/3)：作成注意点まとめ

はじめに

　これまで2回の記事で、eDrive作成手順と手順が煩雑化した理由を説明しました。

• eDriveおぼえていますか？(1/3)：2025年版eDrive作成手順
• eDriveおぼえていますか？(2/3)：作成煩雑化の要因

　一連の記事の最後となる今回は、前回説明した要因と前々回説明した作成手順とを関連付けながらeDrive作成時の注意点をまとめます。

まとめ

• ドライブのセキュリティ状態の確認が困難であることに注意
• システムのセキュリティは多様な要素から成るため要素技術や設定変更とその影響に注意

Block SID Authenticationコマンド発行抑制機能有無

　TCG Opalの機能のひとつであるBlock SID Authenticationは、SATAのsecurity feature setにおけるfreeze lockに似た機能で、システム起動直後にコマンドを発行することで重要なセキュリティ設定の変更を防止しセキュリティを高める機能です。

　根本的な課題は、この機能がeDrive作成の邪魔をしてしまうことです。このためeDrive作成時はBlock SID Authenticationコマンドの発行を抑制する必要があります。

　手順説明の記事で使用したマザーボードとBIOSには設定項目が存在しました。設定項目が存在するメーカー製PCもあります^[1][2]。また、暗号化支援を行うソフトウェアのメーカーがこの件についてサポート文書を公開していることもあります^[3]。

　この件については、当該コマンドを発行したかどうかやドライブのセキュリティ状態がユーザにはわからないことが対応を困難にしている最も大きな要因です。実際、私も開発機のデバッグ機能を使用して初めてこのことを特定しました。

　このため、使用するマシンの機能調査がなにより重要です。

ソフトウェア暗号化の解除

　最新のWindows 11ではクリーンインストール時にBitLockerがストレージに対してソフトウェア暗号化を適用します。このためSEDによるハードウェア暗号化を適用するには一旦ソフトウェア暗号化を解除する必要があります。

　手順を説明した記事に記載したとおりこの操作はコマンドラインだけでなくGUIでも実行可能ですので、そこまで難しい操作ではないと思います。インストール直後であればストレージ使用量も比較的少ないので、ソフトウェア暗号化の解除にかかる時間もまだ許容範囲内だと思います。

　安全を期すため、コマンドラインでソフトウェア暗号化が適用されていることを確認して、その後ソフトウェア暗号化を解除することがお勧めです。

　以下の図1のように、コマンドラインツール^[4]の実行結果内の「暗号化の方法」に"XTS-AES 128"などと表示されていればソフトウェア暗号化が適用されています。

図1：ソフトウェア暗号化が適用されていることの確認方法

ハードウェア暗号化機能の使用許可

　手順の記事で説明したように、グループポリシーエディタを使用して設定を変更する必要があります。

　SEDが備えるハードウェア暗号化機能を使用可能にするときは、「ハードウェアベースの暗号化の使用を構成する」項目を「有効」にするだけでOKです。このポリシーには「使用できる暗号アルゴリズムと暗号を制限する」という設定項目もありますが、この項目はチェックを入れないままにします（図2）。

図2：グループポリシーエディタのハードウェア暗号化機能使用設定項目

　ちなみに、「暗号アルゴリズムまたは暗号を次のものに制限する」という欄に標準で設定されている項目は以下の2つです。

• 2.16.840.1.101.3.4.1.2：aes128-CBC
• 2.16.840.1.101.3.4.1.42：aes256-CBC

　このピリオドで区切られた表記はObject Identifier表記で、この2つは米国国立標準技術研究所(National Institute of Standards and Technology: NIST)が登録したものです^[5]。

　ちなみに、BitLockerがソフトウェア暗号化で使用する128ビットAESのXTSモードのOIDは1.3.111.2.1619.0.1.1、最近の多くのSSDが備える256ビットAESのXTSモードのOIDは1.3.111.2.1619.0.1.2です。この2つを登録しているのはIEEE（担当はIEEEのCybersecurity & Privacy Standards Committee）です。

　eDriveを作成する際はドライブのSED機能がサポートする暗号のアルゴリズムとモードを使用します。将来何らかの理由で特定の暗号アルゴリズムやモードが非推奨にならない限り、この設定項目を有効にする必要はないと考えられます。

おわりに

　この記事では、Microsoft Windowsのシステムセキュリティ向上機能eDriveの作成における注意点について、周辺情報も含めてまとめました。

　今回の一連の記事ではeDriveについて説明しましたが、eDriveに限らずシステムのセキュリティはさまざまな要素技術から構成されているため、ある要素で発見された脆弱性やある要素の変更がシステム全体に影響を与えることが少なくありません。

　今後もストレージセキュリティ特にドライブ側を中心にしたセキュリティについてその動向を注視していきます。

References

[1] DELL Technologies、「SEDブロックSID認証が有効になっているため、起動前認証がアクティベーションされない」、2025年3月31日閲覧
[2] NEC、「BIOSセットアップユーティリティ：LAVIE Direct PM(X)」、2025年3月31日閲覧
[3] WinMagic、「Block SIDが有効なデバイスにSecureDocを構成する」、2021年3月25日（2025年3月31日閲覧）
[4] Microsoft、「BitLocker操作ガイド」、2025年4月3日閲覧
[5] NIST、"Computer Security Objects Register (CSOR)"、2025年4月7日閲覧

ライセンス表記

この記事はクリエイティブ・コモンズ 表示 - 継承 4.0 国際 ライセンスの下に提供されています。