Windows と Ubuntu のデバイス暗号化のアップデート: 比較概要
2024年初頭、MicrosoftはWindows 11バージョン24H2において、Windows Automatic Device Encryption(Auto DE)の要件を緩和し、暗号化環境に大きな変更を加えました。このアップデートにより、Homeエディションでも自動暗号化が有効化できるようになりました。この機能はこれまでProエディションとEnterpriseエディションに限定されていました。この変更の目的は、より幅広いデバイスにおけるユーザーデータのセキュリティを強化することです。
しかし、この移行は潜在的な課題をもたらします。多くのユーザーは、システムが暗号化されていることに気づいておらず、BitLocker回復キーを安全に保管することの重要性をうっかり忘れてしまう可能性があります。報告によると、この見落としにより、一部のユーザーが重大なデータ損失に見舞われており、暗号化プロセスに関する意識向上と教育の必要性が浮き彫りになっています。
このリスクを軽減するため、MicrosoftはユーザーにMicrosoftアカウントでのサインインを推奨しています。この方法はAuto DE回復キーのバックアップに役立ち、経験の浅いユーザーにとって安全策となります。しかし、重要な考慮事項が1つあります。ユーザーが回復情報を忘れた場合、データへのアクセスが困難になる可能性があります。
CanonicalのTPMベースのフルデバイス暗号化の導入
関連情報として、Canonicalは次期Ubuntu 25.10リリースで暗号化機能を強化し、Trusted Platform Module(TPM)ベースのFull Device Encryption(FDE)を搭載する予定です。この機能は以前から開発が進められており、バージョン24.10のロールアウト時に初期の進捗が報告されました。現時点では試験段階にあり、主に互換性があると判断されたシステムで利用可能です。
「ハードウェアベースの暗号化」を選択したユーザー向けに、Ubuntuは暗号化プロセス中に検出された問題を通知する対話型ダイアログボックスを提供することで、より分かりやすく説明しています。Canonicalが提供するデモ例では、PCR7やPC4といった特定のエラーが発生する可能性があり、効果的なトラブルシューティングに役立ちます。
Canonicalのアプローチにおけるユーザー中心の機能
この取り組みの特徴は、ユーザーフレンドリーな設計です。Windows 11とは異なり、UbuntuユーザーにはハードウェアTPM暗号化に関する明確なオプションが提供されています。さらに、管理者はキーを再生成できます。これは、多くのプラットフォームで一般的な「パスワードを忘れた場合」機能に似ています。Canonicalは、管理者が新しいキーを簡単に取得できることを強調しており、これがユーザー全体のセキュリティ向上に貢献しています。
さらに、新しいUbuntu実装には、ファームウェアのアップデートを試みるたびに、リカバリキーのバックアップに関する警告システムが含まれています。Canonicalはユーザー保護への取り組みを明確に示し、次のように述べています。
… ユーザーが回復キーを知らずにファームウェアをアップデートしてしまう事態を未然に防ぎたいと考えています。回復キーを知らないままアップデートしてしまうと、回復キーの入力を求められ、マシンを再起動できなくなります。そのため、ファームウェアアップデーターでアップデートを適用する前に、必ず回復キーの入力を求め、二重チェックを行っています。
Windows でも同様の警告が実装されており、ファームウェアの更新中に BitLocker が一時停止される可能性があることに注意してください。ただし、これは OEM の決定と構成によって異なります。
さらに、Canonicalは、Ubuntu自体が暗号化されているかどうかに関わらず、デバイス上の暗号化されたインストールについてユーザーに積極的に警告を発します。この包括性は、特にBitLockerを搭載したWindowsなど、他のオペレーティングシステムとデュアルブートするシステムにとって極めて重要です。同社は次のように述べています。
もう1つのユースケースは、UbuntuがTPM/FDEに対応していない場合でも、ファームウェアのアップグレードが他のTPM関連のインストールに影響を与えることです。例えば、Windowsなどの他のオペレーティングシステム(BitLockerがインストールされたマシン)でUbuntuシステムからファームウェアまたはDBXを更新すると、次回起動時にWindowsからBitLocker回復キーの入力を求められます。このような状況が検出された場合、ユーザーがファームウェアをアップグレードする前に警告が表示されます。
要約すると、Canonicalは、鍵の紛失や暗号化の不具合によるデータ損失を防ぐための予防措置を講じており、ソフトウェアにおけるユーザー中心のアプローチを示しています。これらの開発に関する詳細については、公式発表ブログ投稿をご覧ください。
さらに詳しい情報については、ソースを確認してください。
コメントを残す