仮想マシンで BitLocker ドライブ暗号化は試せるか?

BitLocker ドライブ暗号化は、Windows Vista Enterprise/Ultimate に初めて搭載されたセキュリティ機能ですが、Windows Vista RTM のときには仮想マシンでの使用が EULA (ソフトウェア ライセンス条項) で許可されていませんでした。しかし、Windows Vista SP1 以降、EULA が変更され、「仮想化されない環境のコンテンツほどセキュリティで保護されません」というものの、使用が禁止されてはいません。というわけで、今回は仮想マシンで BitLocker ドライブ暗号化を試す Tips です。おすすめはしませんが、コンピューター起動時の BitLocker 関連のきれいなスクリーンショットと撮りたいというときに便利です。

最初に、仮想環境での BitLocker ドライブ暗号化に関する条項を書いておきます。Windows Vista SP1 以降なら、仮想マシン環境での使用も可と受け取りました。

Windows Vista Ultimate RTM の EULA 「仮想化テクノロジの使用 ･･･ お客様は、マイクロソフトの DRM (デジタル著作権管理)、IRM (情報権利管理)、ERM (企業権利管理) などの権利管理テクノロジや他のマイクロソフトの権利管理サービスによって保護されたコンテンツを再生またはアクセスすること、また、これらのテクノロジまたはサービスによって保護されたアプリケーションを使用すること、および、BitLocker を使用することはできません。」
 
Windows Vista Ultimate SP1 の EULA 「仮想化テクノロジの使用 ･･･ 仮想化された環境で使用する場合、デジタル著作権管理テクノロジ、BitLocker またはフル ボリューム ディスクドライブの暗号化テクノロジで保護されるコンテンツは、仮想化されない環境のコンテンツほどセキュリティで保護されません。」
 
Windows 7 Ultimate RTM の EULA「仮想化テクノロジの使用 ･･･ 仮想化された環境で使用する場合、デジタル著作権管理技術、BitLocker、または任意のフル ボリューム ディスク ドライブの暗号化テクノロジで保護されたコンテンツは、仮想化された環境以外で保護されたコンテンツほどセキュリティ保護されていない場合があります。」
 
各 EULA の全文はこちらから検索できます。
http://www.microsoft.com/About/Legal/EN/US/IntellectualProperty/UseTerms/Default.aspx

仮想マシンの USB は BitLocker ドライブ暗号化 (システム ボリューム) に使えない

BitLocker ドライブ暗号化は、TPM を搭載したマシンで有効化できます。仮想マシンには、もちろん TPM はありませんので、他の方法が必要です。BitLocker ドライブ暗号化が TPM 以外でサポートするのは、USB キーにスタートアップ キーを格納し、コンピューター起動時に読み取らせる方法です。

Windows Virtual PC は USB デバイスをサポートしますが、仮想マシンでシステム ボリュームの BitLocker ドライブ暗号化をするのには使用できません。なぜなら、USB サポートは、ゲスト コンポーネントである統合サービスの機能であり、統合サービスが動いていない仮想マシンの起動直後に USB デバイスを読み取ることができないからです。Windows Virtual PC 以外の USB をサポートする仮想化テクノロジの場合も同様です。

BitLocker ドライブ暗号化を有効にする際に、「Bitlocker システムチェックを実行する」をオフにすれば仮想環境の USB キーで有効化できなくもないですが、できあがった仮想マシンは起動時に毎回手動で 48 桁の回復キーをキーボードから入力しなければならなくなります。

仮想フロッピーディスクにスタートアップキーを入れる

BitLocker ドライブ暗号化は、USB メモリ以外の任意のドライブをスタートアップキーの格納場所として利用することもできます。そのためには、標準の UI ではなく、manage-bde というコマンドラインツールを使います。

仮想マシンのフロッピー ディスク ドライブ（A:）に物理フロッピーディスクまたは仮想フロッピーディスクをマウントして、スタートアップキーとして利用することができます。その手順は以下のとおり。

(1) 仮想マシンにフロッピーディスクまたは仮想フロッピーディスクをマウントし、フォーマットしておきます。なお、Windows Virtual PC にはフロッピーディスクのための UI がありませんが、スクリプトから制御することができます。詳しくは、http://yamanxworld.blogspot.com/2010/03/computerworld-blog-update-20100308.html から。

(2) グループポリシーエディター（Gpedit.msc）を使用して、「互換性のある TPM が装備されていない BitLocker を許可する」を有効にします。

(3) コマンドプロンプトを管理者として開き、次のコマンドラインを実行します。BitLocker ドライブ暗号化のコントロールパネルは使用しません。

Windows Vista Enterprise/Ultimate SP1 の場合:
cscript manage-bde.wsf -on C: -rp -sk A:

Windows 7 Enterprise/Ultimate の場合:
manage-bde.exe -on C: -rp -sk A:

(4) 仮想マシンのゲスト OS を再起動します (フロッピーディスクはそのまま)。フロッピーディスクからスタートアップキーが読み取られます。「キー記憶域メディア (この場合はフロッピー ディスク) を取り外してください」と一瞬表示されますが、フロッピー ディスクはそのままで OK です。

(5) ゲスト OS 起動後、ドライブの暗号化がスタートします。完了までには結構な時間がかかります。


※仮想マシンがフロッピー ディスクから起動しようとしてしまう場合は、仮想マシンの BIOS Setup Utility を表示して、Boot Order を変更してください。
 
仮想マシンで BitLocker ドライブ暗号化をお勧めしない理由

BitLocker ドライブ暗号化の処理では、ボリューム全体に何かしらが書き込まれます。そのため、容量可変タイプの仮想ハードディスク (VHD) を割り当てている場合、暗号化後に最大サイズに膨れ上がってしまいます。たとえば、Windows Virtual PC や Hyper-V の既定の VHD は、127 GB の容量可変タイプ。Windows 7 をインストールしただけなら 8 GB 程度したハードディスクの領域を消費しません。BitLocker ドライブ暗号化を有効化すると、127 GB 近くまで領域が増大します (ブート用の100 MB のパーティションは暗号化されないため、サイズは増えませんが、C: ドライブはパーティションいっぱいまで膨れます）。十分な空き領域がないと、大変なことになります。

これが、仮想マシンで BitLocker ドライブ暗号化をお勧めしない理由です。