Microsoftのクラウドに保存された回復キーは、企業データが暗号化されていても、令状によりアクセス可能であることをこの開示は浮き彫りにしている。
報道によると、MicrosoftはWindowsユーザーのBitLocker暗号化キーを米国の法執行機関に提供し、暗号化データへのアクセスを可能にした。
米連邦捜査局(FBI)は2025年初頭、グアムにおけるCOVID失業支援プログラムを巡る詐欺疑惑事件で、3台のノートPCに保存された暗号化データを解除するためのキーを求め、捜索令状をもってMicrosoftに接触した。キーはMicrosoftのサーバーに保存されていたため、Microsoftは法的命令に従い、暗号化キーを引き渡したと、Forbesが金曜日に報じた。
Microsoftはコメント要請に直ちには応じなかった。
過去には、大手テック企業がデバイスへのアクセスを求めて法執行機関から接触を受けたものの、当局への暗号化キーの提供に抵抗した例もある。
BitLockerは、個人であれ、数百〜数千台のWindowsデバイスを管理する企業であれ、保存データを保護するために広く使われているツールだ。既定では、多くのWindowsインストールがBitLocker回復キーをMicrosoftのクラウドサービスにバックアップしており、Microsoftは有効な法的命令により法的に強制されれば、それらを取得できる。
問題はBitLockerではなく、キーの管理主体
BitLockerは、紛失・盗難・不適切に廃棄されたデバイスからのデータ窃取や露出の脅威に対処するため、ボリューム全体の暗号化を提供するよう設計されている。BitLockerはWindows 10およびWindows 11に同梱されているため、Windowsエンドポイント全体における既定のフルディスク暗号化レイヤーとして事実上定着している、と専門家は言う。
「ここで失敗しているのはBitLockerそのものではありません。ソフトウェアは設計どおりに動作し、ディスクを暗号化し、Windowsに統合され、容易な回復を可能にします」と、Greyhound ResearchのチーフアナリストであるSanchit Vir Gogia氏は述べた。
BitLockerの暗号化は堅牢だが、この事例が示すように、企業はキーの管理主体が誰かに注意を払う必要がある。
「BitLockerの暗号化エンジンは、XTSモードのAES-128またはAES-256を用いており、現代の暗号解析に耐えるよう作られています。米国土安全保障省でさえ、これを直接破るためのフォレンジックツールがないことを認めています。しかし、Windowsを運用する多くの企業端末群は、IntuneやAutopilotのようなツールでデバイスを展開・管理しています。その流れでは、明示的に無効化しない限り、回復キーは自動的にMicrosoftのEntra IDにバックアップされます。これらのキーは管理センターから閲覧でき、スクリプトで取得することも可能です」とGogia氏は述べた。
多くの企業が誤るポイント
BitLockerを利用する企業は、回復キーを極めて機微な情報として扱い、明確な業務要件があり、関連リスクを十分に理解して軽減策を講じている場合を除き、既定のクラウドバックアップを避けるべきだ。
最も安全な構成は、これらのキーをオンプレミスのActive Directory、または管理された企業用キーボールトへリダイレクトすることだ。Microsoft Entra IDやIntuneのような企業管理下のディレクトリ/サービスに保存する場合でも、誰がキーを読み取れるかについて強固なガバナンスを設け、実効性のあるログ記録とジャストインタイムアクセスを実装すべきだと、Ankura ConsultingのグローバルパートナーであるAmit Jaju氏は述べた。これにより、回復プロセスからMicrosoftを外すことができるという。
キーをMicrosoftのクラウドに置かざるを得ない場合は、管理者ロールに強力な多要素認証を適用し、条件付きアクセスと特権アクセス用ワークステーションを用いることで、管理者資格情報の侵害が自動的に全キーの侵害につながらないようにすべきだと同氏は述べた。
企業は厳格なアクセス制御と職務分離を確保すべきだ。「回復キーを閲覧またはエクスポートできる権限は、セキュリティ運用やエンドポイントエンジニアリングなど、審査済みの少人数グループに限定すべきです。承認は場当たり的ではなくワークフローに基づくべきです。キーの取得はすべて、監査可能で改ざん不能な証跡を残し、理想的にはインシデントやチケットIDに紐づけるべきです」とJaju氏は述べた。
CISOはまた、デバイスの転用、廃止、または法域をまたぐ移動の際に、古いキーが使えないよう、ワークフローの一部としてキーを再生成することも徹底すべきだ。
Gogia氏は、安全でない設定が長期的に残り続けるリスクについて警鐘を鳴らした。プロビジョニング時に紐づけられた個人アカウントや、コンシューマー向けダッシュボードへ黙ってキーを同期するBYODデバイスは、漏えいの見えない経路となる。「それらのキーが自社の境界の外に置かれているなら、管理主体の連鎖(チェーン・オブ・カストディ)をクリーンに保てません。これは理論上のリスクではありません。監査人がいま積極的に確認していることです」と同氏は述べた。
多くの侵害は暗号そのものではなく手続き上の問題であるため、企業は回復キーを使用できる場合(PINの紛失、法務承認を伴う社内調査、適法な命令)と、使用できない場合(従業員データにアクセスするための非公式な管理職の依頼)を定めた正式なプレイブックを用意すべきだと、Jaju氏は指摘した。
地政学が企業データとキー管理を再形成
地政学的緊張は、世界の貿易や技術政策も再形成しており、企業はこれをセキュリティ戦略にますます織り込む必要がある。各国政府がデータに対する統制を強めるにつれ、営業秘密や専有情報が、より広範な国家の利害に巻き込まれるリスクが高まる。
Gogia氏は次のように警告した。「米国CLOUD法は、データが欧州やアジアでホストされていても、米国拠点のプロバイダーに対し、法執行機関がデータやキーの提出を強制できるようにします。同様に、中国のデータローカライゼーション規則は、キーとデータが国家規制当局からアクセス可能であることを求めます。インドでは、最近の立法により治安機関に広範なアクセス権が導入されました。そしてEUでは、主権に必要なのはデータの所在(データレジデンシー)だけでなく、設計段階からのキー管理主体(キー・カストディ)を含むべきかどうかが議論されています。」
回復キーがクラウドプロバイダーに保存されている場合、そのプロバイダーは少なくとも自国の法域において、適法な命令により、データ主体や企業が別の場所にいても、企業に通知することなくキーの引き渡しを強制される可能性がある。これは、製薬企業、半導体企業、防衛請負業者、重要インフラ事業者の観点ではさらに重大であり、越境捜査における営業秘密の露出などのリスクにさらされることになる。
Jaju氏はこう付け加えた。「企業は、キーが保管されている場所では、強制され得ることを前提にすべきです。したがって可能であれば、キーを管理する主体が、最も信頼できる法制度と適正手続き基準を持つ法域に法的に根差していることを確保してください。法的に許される範囲で、政府によるデータアクセス要請の登録簿を含め、越境データアクセスに対する取締役会レベルの監督を確立してください。多国籍企業では、法務チームとセキュリティチームが協働し、相互法的支援条約、CLOUD法の影響、各国の傍受法を理解する必要があります。」
この記事は最初にComputerworldに掲載された。
