Full Disk Encryption

デバイス暗号化（Full Disk Encryption：FDE）とは、PC、スマートフォン、タブレットなどのデバイスに搭載されたストレージ（HDD/SSD）のデータ全体を暗号化し、デバイスの紛失・盗難時における情報漏洩を防止するセキュリティ技術です。暗号化されたデバイスでは、正しい認証情報（パスワード、PIN、生体認証など）を入力しない限り、ディスク上のデータにアクセスすることができません。

代表的なFDEソリューションとして、Windows環境ではBitLocker、macOS環境ではFileVault、Linux環境ではLUKS（Linux Unified Key Setup）が広く利用されています。これらのツールは、OSレベルでディスク全体を透過的に暗号化し、ユーザーは通常の操作と変わらない使い勝手でセキュアなデータ保護を享受できます。

モバイルデバイスにおいても、iOSはデフォルトでハードウェアベースの暗号化が有効化されており、AndroidもAndroid 10以降でファイルベース暗号化（FBE）が標準となっています。組織においては、MDM（モバイルデバイス管理）と連携して暗号化ポリシーを一括適用し、リカバリーキーを集中管理することが推奨されます。リモートワークやBYODの普及により、デバイス暗号化はエンドポイントセキュリティの必須要件となっています。

フルディスク暗号化（FDE）の仕組み

フルディスク暗号化は、ディスク上のすべてのデータ（OS、アプリケーション、ユーザーデータ、スワップ領域を含む）をセクタ単位で暗号化します。AES-256やAES-128などの暗号化アルゴリズムが使用され、暗号化と復号はストレージへの読み書き時にリアルタイムで行われます。

起動時には、ブートローダーがプリブート認証画面を表示し、ユーザーが正しい認証情報を入力するとデータ暗号化キー（DEK）がメモリ上に展開され、以降のディスクアクセスが透過的に復号されます。電源オフやスリープ状態ではキーがメモリから消去されるため、物理的にディスクを取り外してもデータを読み取ることはできません。

BitLocker（Windows）

BitLockerは、MicrosoftがWindows Vista以降で提供するディスク暗号化機能です。Windows Pro/Enterprise/Educationエディションで利用可能で、TPM（Trusted Platform Module）と連携することで、ハードウェアレベルでの鍵保護を実現します。TPMはマザーボード上のセキュリティチップで、暗号鍵を安全に保管し、ブートプロセスの改ざん検知も行います。

BitLockerは、TPMのみ、TPM＋PIN、TPM＋USBキー、パスワードのみなど、複数の認証方式をサポートしています。Active DirectoryやAzure ADと統合することで、リカバリーキーの一元管理やグループポリシーによる暗号化設定の強制適用が可能です。また、BitLocker To Goを使用すると、USBメモリなどのリムーバブルメディアも暗号化できます。

FileVault（macOS）

FileVault 2は、AppleがmacOS（OS X Lion以降）で提供するディスク暗号化機能です。XTS-AES-128アルゴリズムを使用して起動ディスク全体を暗号化し、AppleのT2セキュリティチップまたはApple Siliconに搭載されたSecure Enclaveと連携してハードウェアベースの鍵保護を提供します。

FileVaultは、ユーザーのログインパスワードで暗号化を解除する仕組みで、MDMソリューション（Jamf Pro、Microsoft Intuneなど）と連携してリカバリーキーのエスクロー（預託）管理を行うことができます。組織では、MDMプロファイルを使用してFileVaultの有効化を強制し、リカバリーキーを自動的にサーバーに保存する運用が一般的です。

ファイルベース暗号化（FBE）とボリュームベース暗号化

ファイルベース暗号化（FBE）は、個々のファイルやディレクトリ単位で暗号化を行う方式です。Android 10以降やiOSで採用されており、ファイルごとに異なる暗号鍵を使用することで、デバイスがロックされていても一部の機能（アラーム、着信通知など）を利用できるDirect Boot機能を実現しています。

一方、ボリュームベース暗号化（FDE）は、ディスクボリューム全体を単一の鍵で暗号化する方式です。管理が簡単ですが、OSが起動した後はすべてのデータが復号された状態となるため、マルウェアや不正アクセスに対する保護は別途必要です。最新のプラットフォームでは、FBEとFDEを組み合わせた多層的な暗号化が推奨されています。

コールドブート攻撃とその対策

コールドブート攻撃は、デバイスのメモリ（RAM）に残存する暗号鍵を物理的に抽出する攻撃手法です。コンピュータの電源を切った直後でも、RAMのデータは数秒から数分間保持されるため、攻撃者はメモリを急速冷却してデータの消失を遅延させ、別のOSで起動してメモリダンプを取得することで暗号鍵を取り出すことが可能です。

この攻撃への対策として、最新のTPMやSecure Enclaveでは暗号鍵のメモリ上での暗号化やハードウェアバインディングが実装されています。また、スリープモード（S3）の代わりにハイバネーション（S4）を使用することで、メモリ上の鍵を消去するポリシーを適用することも有効です。

• 01
  全社的な暗号化ポリシーの強制適用：すべての業務用デバイスに対してディスク暗号化を必須とするポリシーを策定し、MDMやグループポリシーを使用して自動的に有効化してください。未暗号化のデバイスによる社内ネットワークへの接続を拒否するNAC（ネットワークアクセス制御）も併用しましょう。
• 02
  リカバリーキーの安全な集中管理：BitLockerのリカバリーキーやFileVaultのリカバリーキーをActive Directory、Azure AD、MDMサーバーなどに自動的にエスクローし、管理者が安全にアクセスできる体制を構築してください。リカバリーキーの紙面での保管は盗難リスクがあるため避けましょう。
• 03
  TPM/Secure Enclaveの活用：ハードウェアベースの鍵保護機能を最大限活用し、暗号鍵をTPMやSecure Enclave内に格納してください。TPMを搭載していない古いデバイスは、計画的にTPM対応デバイスへのリプレースを進めましょう。
• 04
  強力なプリブート認証の設定：TPMのみの認証ではなく、TPM＋PINやTPM＋パスワードなど多要素認証を設定し、デバイス起動時のセキュリティを強化してください。PINには数字だけでなく英数字を使用する拡張PINの設定も検討しましょう。
• 05
  リムーバブルメディアの暗号化：USBメモリ、外付けHDD、SDカードなどの外部記憶媒体も暗号化対象に含めてください。BitLocker To GoやサードパーティのUSB暗号化ツールを使用し、暗号化されていないリムーバブルメディアへのデータ書き出しをDLPポリシーで制限しましょう。
• 06
  暗号化状態の継続的な監視と監査：MDMやSIEMを活用して、全デバイスの暗号化状態を定期的に監視し、暗号化が無効化されたデバイスを即座に検出する体制を構築してください。コンプライアンス監査に備えて、暗号化適用率のレポートを定期的に生成しましょう。