Microsoftは、ハードウェアアクセラレーション対応BitLockerの導入により、自社の暗号化技術 の大幅なアップグレードを正式に発表しました。
Igniteカンファレンス後にMicrosoftのRafal Sosnowskiによって明らかにされたこの新機能は、高速ストレージドライブで問題となってきた性能ボトルネックを解消することを目的としており、ユーザーが堅牢なセキュリティとシステム速度のどちらかを選ばなければならない状況をなくします。
NVMeの性能ギャップへの対応
長年にわたり、BitLockerはWindowsのデータ保護の標準でしたが、不揮発性メモリエクスプレス(NVMe)技術の急速な進歩により、新たな課題が生まれました。
最新のNVMeドライブは非常に高速になったため、メインプロセッサ(CPU)がシステムを遅くすることなくリアルタイムでデータを暗号化・復号するのが難しくなっています。
この「オーバーヘッド」は、ハイエンドゲーム、動画編集、大規模なコードベースのコンパイルといった負荷の高い作業を行うユーザーにとって顕著になっています。
これに対処するため、Microsoftの新しいソリューションでは、暗号化の重い処理をメインCPUからシステムオンチップ(SoC)内の専用暗号エンジンへ移します。
この「暗号処理のオフロード」により、メインプロセッサは他のタスクに専念でき、より滑らかなユーザー体験とバッテリー駆動時間の改善につながります。
主な機能と利点
新しいハードウェアアクセラレーション対応BitLocker には、主に2つの機能が導入されます。
- 暗号処理のオフロード: 大量の暗号化処理を専用エンジンへ移すことで、Microsoftによれば従来のソフトウェアBitLockerと比べてCPU使用率が70%削減されます。これにより、ストレージ性能は暗号化されていないドライブの速度に近づきます。
- ハードウェア保護キー: 暗号化キーはSoCによってハードウェア上で「ラップ」され、メモリベースの攻撃に対する保護層が追加されます。これにより、暗号化キーをシステムのメインメモリから完全に排除するというMicrosoftの目標に近づきます。
| 機能 | 仕組み |
|---|---|
| 暗号処理のオフロード | 暗号化タスクをメインCPUから、システムオンチップ(SoC)上の専用暗号エンジンへ移します。 |
| ハードウェア保護キー | 暗号化キーはシステムメモリ上で露出した状態で保持されるのではなく、ハードウェア(SoC)によって直接「ラップ」され保護されます。 |
| 既定のXTS-AES-256 | 対応ハードウェア(NVMeドライブ+対応SoC)では、堅牢なXTS-AES-256アルゴリズムが自動的に選択されます。 |
| 管理者による確認 | コマンドラインツール manage-bde -status が更新され、この特定モードを検出して報告できるようになりました。 |
これらの機能のサポートは、Windows 11(バージョン24H2)向けの2025年9月の更新、および今後リリースされるWindows 11 25H2から開始されます。
初期の展開では、Intel Core Ultra Series 3プロセッサを搭載した今後のIntel vProデバイスがサポートされ、将来的には他のハードウェアベンダーへの対応も計画されています。
対応ハードウェアを持つユーザーは、管理者として manage-bde -status コマンドを実行することで、この機能が有効かどうかを確認できます。有効な場合、「Encryption Method」は Hardware-accelerated と表示されます。
翻訳元: https://gbhackers.com/microsoft-enhances-bitlocker-hardware-acceleration-support/
