Windows7: Bitlocker 導入PCのマザーボードが故障したら

Bitlocker は Windows 上で HDD を丸ごと暗号化して、HDD を盗まれたととしてもデータにアクセスできないようにするための仕組みで、私には関係ない技術だと思っていました。企業向けWindowsなんて使わないし。

そもそも HDD やPCのマザーボードは長く使っていると結構な確率で故障するので、HDD が丸ごと暗号化していたら、故障したときに復旧出来ないじゃない!?
運が悪いことに、最近モバイルPCをメンテナンスしなくちゃいけない状況になってしまいました。

ユーザーの立場としては暗号化反対なんですが、経営者側から見ると社員が100人いれば、確かに、全員が全員PCをしっかり管理してくれるかどうかは未知だと感じるでしょう。一人や二人、PCをなくす社員も出てくるでしょう。1台ロストが発生すると、そのたびにVPNのパスワードを変更したり、アクセスポイント用の暗号を変更したりしなくちゃいけません。ロストが判明すればまだマシで、気づくのに遅れると重要情報が持ち出されたり、社内ネットにVirusを仕込まれたりするかもしれません。15年くらい前に働いていたオフィスでは、モバイルPC紛失が日常的に発生していました。
こういう事態に備えてHDDを丸ごと暗号化する仕組みは企業ユーズにおいてはやむを得ないことでしょうね。

HDD 丸ごと暗号化技術を使わなくてはいけないことは理解したとして、HDD(SSD)の中に、そこにしかない重要データをファイルサーバーに移す前に、PCを落としてしまうなどしてOSが起動できない状態になってしまったらどうなるの?

HDD を取り外して別のPCに取り付ければOSが起動するなら簡単なのですが、Bitlocker はノートPCハードウェアに内蔵されたTPMチップというものと協調してデータ暗号化しているようで、暗号化したHDDを単純に別のPCに接続するだけではOS起動できないようです。データはそこにあるのにアクセスできないという状況は忌ま忌ましい!

回復方法は、

  1. 新しいPCに接続して、48桁の回復パスワードを入力してOSを起動。
  2. ドライブ全体からBitlocker の暗号化を解除。(しばらく掛かる。)
  3. この時点でデータは取り出せるはず。
  4. その後もBitlocker を使うなら、新しいPINコードでHDDを暗号化。

ということのようです。回復パスワードにアクセスするには、ドメインに登録されているPCの管理権限が必要なので企業の場合、ヘルプデスクとかサポートデスクへの問い合わせが必要になるでしょう。厳密にはどのユーザーの権限でどんな操作をするのかいろいろありますが、流れとしては上のような感じ。

こういう状況になりたくないものです。

コメントを残す