コマンドプロンプトの画面に、暗号化方式としてハードウェアアクセラレーションBitLockerが表示されている
Microsoftは、Windows 11に搭載されているBitLocker暗号化の新しいハードウェアアクセラレーション版を導入しました。この機能は、重い暗号処理を最新のSoC(システム・オン・チップ)内の専用セキュリティモジュールへオフロードすることで、性能を向上させ、CPU負荷を低減するよう設計されています。NVMeストレージの性能が上がり続け、計算負荷の高いワークロードにおけるソフトウェアベース暗号の限界が露呈している今、特にタイムリーな機能です。
BitLockerは長年、ディスク上のデータ保護の要として機能してきました。起動時には、システムがTrusted Platform Module(TPM)に依存して鍵を安全に管理し、ストレージのロックを解除します。新しい方式では、対応ハードウェアが自動的にXTS-AES-256アルゴリズムを適用し、プロセッサの負担を軽減しつつ入出力処理を高速化します。
テストでは、この変更により処理ごとのCPU使用率が大幅に低下しましたが、結果はシステム構成によって異なります。更新されたアーキテクチャでは暗号鍵を保護されたハードウェアエンクレーブへ移し、理論上はメモリベースの攻撃に対する露出を減らします。
この更新は、秋の更新プログラムを適用したバージョン24H2以降のWindows 11で既に利用可能で、25H2では完全に統合される予定です。ハードウェアアクセラレーションBitLockerに最初に対応するデバイスは、第3世代Intel Core Ultra「Panther Lake」プロセッサを搭載したIntel vProプラットフォームのシステムで、今後は他のSoCベンダーも追随すると見込まれています。ユーザーはmanage-bde -statusコマンドで暗号化モードを確認でき、使用中の方式として「Hardware accelerated」と表示されます。
暗号化の高速化に期待が集まる一方で、現実のインシデントは、組み込みのセキュリティ機構が攻撃者の関心をますます引きつけていることを示しています。最近、ルーマニアの水道インフラに対する攻撃では、数千台のワークステーションがWindows標準のBitLockerでロックされ、重要サービスが麻痺し、国家のサイバーインシデント対応チームによる介入を招きました。
こうした事例は、気まずい疑問を投げかけます。ハードウェアアクセラレーションは問題を悪化させ得るのでしょうか。一方では、より高い性能とより強固な鍵保護を約束しますが、他方では、正規のシステムツールだけで構築された悪意あるワークフローの自動化を可能にし、防御側が対応する時間をほとんど与えない、ほぼ瞬時で目に見えない暗号化を実現してしまうかもしれません。
