Microsoftは、システムオンチップ(SoC)やCPUの機能を活用することで、性能およびセキュリティに関する懸念の高まりに対処するため、Windows 11でハードウェアアクセラレーション対応BitLockerの展開を進めています。
BitLockerはWindowsに搭載されているネイティブのフルディスク暗号化機能で、適切な認証なしにデータが読み取られるのを防ぎます。通常のデバイス起動時には、Trusted Platform Module(TPM)に依存して暗号化キーを安全に管理し、ドライブを自動的にロック解除します。
Microsoftによると、Non-Volatile Memory Express(NVMe)ストレージの性能が向上するにつれ、BitLockerの暗号処理がゲームや動画編集といった用途で、より目立つ性能影響を与えるようになったとしています。
ハードウェアアクセラレーションにより、大量の暗号処理を、ハードウェアセキュリティモジュール(HSM)やトラステッド実行環境(TEE)を備えたSoCコンポーネントへオフロードでき、暗号性能が大幅に向上します。これによりCPU使用率が自然に低下し、システム全体の性能が向上します。
「BitLockerを有効にする際、NVMeドライブを搭載し、かつ新しい暗号オフロード対応SoCのいずれかを備えたサポート対象デバイスでは、既定でXTS-AES-256アルゴリズムを用いたハードウェアアクセラレーションBitLockerが使用されます」 とMicrosoftは説明しています。
「これには、自動デバイス暗号化、手動でのBitLocker有効化、ポリシーによる有効化、または一部例外を除くスクリプトベースの有効化が含まれます。」
実際のテストでは、ハードウェアアクセラレーションBitLockerは、ソフトウェアベースのBitLockerと比べてI/OあたりのCPUサイクルが約70%少なかったものの、結果はハードウェアによって異なります。
性能向上に加えて、BitLockerは現在、ハードウェアで保護されたキーを利用し、CPUおよびメモリに対するサイバー攻撃への露出を最小化するとともに、Trusted Platform Module(TPM)ベースのキー保護と併せて全体的なセキュリティを強化します。
Microsoftは、これによりBitLockerキーをCPUとメモリから排除する方向へ仕組みが進むと述べています。
新しいBitLockerは、9月の更新プログラムがインストールされている場合はWindows 11 24H2から利用可能で、Windows 11 25H2でも利用できます。
初期サポートは、Intel Core Ultra Series 3(「Panther Lake」)プロセッサを搭載したIntel vProシステムで提供されますが、他のSoCベンダーも段階的に追加されます。
ユーザーは、コマンド manage-bde -statusを実行し、Encryption Methodの下にある「Hardware accelerated」の情報を確認することで、BitLockerのモードを検証できます。
Microsoftは、サポートされていないアルゴリズムが使用されている場合、キーサイズが手動で指定されている場合、企業ポリシーがサポートされていないキーサイズまたはアルゴリズムを指定している場合、またはFIPSモードが有効でSoCがFIPS認証済みの暗号オフロードおよびキーラッピング機能を報告しない場合には、BitLockerは既定でソフトウェアベースのモードになると指摘しています。
