GPD WINでデバイスの暗号化を使う話。

#この記事はGPD WIN Advent Calendar 2016 3日目の記事です。
#自分のBlogがないので知人のblogをお借りしています。
dsc09851
今話題のUMPC GPD WINは3DSLLサイズということもあり、持ち運んで利用することが想定されます。
もし持ち出し先で盗難や紛失にあった場合、例え個人のデータしか保存されていないとしても
デバイスストレージの暗号化がされていれば紛失時の情報漏洩リスクを低減することが出来ます。

ここで有用なのが、Windows10に備わっている「デバイスの暗号化」と呼ばれる機能です。

デバイスの暗号化とは、Windows10Homeにおいて、以下の要件を満たす場合に
利用出来るストレージ暗号化機能です。

1.デバイスがTPM2.0に対応すること。
2.デバイスがInstantGoに対応すること。
3.デバイスがSecure Bootで構成されていること。
4.使用するアカウントがMSアカウントもしくはAzure ADに参加していること

Proエディション以上で利用出来る暗号化機能のBitLockerの機能限定版といった位置づけとなり
BitLockerと比較して主な点では以下が異なります。

1.冒頭の3つに示した様に、特定のハードウェア要件を満たす必要があります。
(BitLockerは構成方法にもよりますが、殆どハードウェア要件はありません。)

2.回復キーの保存方法がMSアカウント/Azure AD+ローカルに限定されます。
(BitLockerはクラウドに回復キーを保存する要件は必須ではありません。)

3.外部ドライブ(USBメモリー)等に対しては設定出来ません。
(BitLockerはBitLocker to Goという機能でUSBメモリーに対しても暗号化が出来ます。)

詳しくは「Windows 10 でデータの暗号化」にて詳細な説明がされています。

さて、GPD WINにおいてデバイスの暗号化をするには、ちょっとした設定が必要です。
冒頭で述べた4要件のうち
3.デバイスがSecure Bootで構成されていること。
を満たしていないため、標準の状態では使用することが出来ないのです。

対応デバイスでは設定のバージョン情報に設定の為のスイッチが表示されますが、本機では表示されていません。
設定のバージョン情報 実施前

本エントリではGPD WINの設定を変更してデバイスの暗号化を有効にする手段を述べます。
なお、この記事で想定している環境はBIOSが20161025版リリースまでのデバイスです。
最近リリースされた20161118版のBIOSでは、設定に必要な該当項目が削除されており、実施出来ません。※後述

まず前提として、現在のユーザがMSアカウントかAzure ADのどちらかであることを確認しておきます。
次にSecure Bootを有効にするために、BIOSの設定を変更します。

アクションセンターのすべての設定を開き、「更新とセキュリティ」を開きます。
回復に「PCの起動をカスタマイズする」という項目がありますので、「今すぐ再起動する」を選択します。

デバイスが再起動後、青い画面に切り替わります。
「トラブルシューティング」、「詳細オプション」、「UEFIファームウェアの設定」に進み、「再起動」を選択します。

再起動後、BIOSの設定画面(Aptio Setup Utility)に入りますので、Securityタブの「Secure Boot menu」を選びます。
UEFI menu
Secure Boot Modeを「Custom」から「Standard」に変更します。
UEFI menu2
「Press ‘Yes’ to install factory default keys」というダイアログが出ますので、Yesを選択。
UEFI menu3
Secure Bootを「Enable」に変更します。
UEFI menu4
Escで戻ってSave & ExitタブのS「ave Changes and Exit」を選択。
「Save Configuration and exit?」というダイアログが出ますのでYesを選択。
UEFI menu5

デバイスが再起動され、Windowsが立ち上がってくれば設定変更完了です。
早速確認してみましょう。
アクションセンターの全ての設定を開き、「システム」を開きます。
バージョン情報の項目の下の方をスクロールすると、「デバイスの暗号化」という項目が出現しています。
設定のバージョン情報 実施後
これを「オンにする」にすれば、デバイスの暗号化が始まります。
これでもしデバイスを紛失しても、データ漏洩から情報を保護することが出来ます。

ストレージの暗号化で気になるのがI/Oの速度低下です。 CrystalDiskMarkを実行してみましょう。
暗号化前のベンチマーク結果
before_disk
暗号化後のベンチマーク結果
after_disk
速度低下がみられる項目もありますが、通常使用では気にならないレベルに押さえられています。
GPD WINに搭載されているAtomはAES-NIをサポートしていますので、CPU使用率も殆ど上がりません。

この「デバイスの暗号化」もしもの時に為に、設定しておくと安心ではないでしょうか。


※と、ここまで書いてから、この設定に関わる重大な変更がGPDから降ってきましたので記載します。
GPD WINのBIOSで今の所最新の20161118版では、Secure Bootの設定項目、というよりもSecurityタブそのものが削除されています。
このため、Secure Bootを有効に出来ず、「デバイスの暗号化」を有効にすることは出来ません。
既に暗号化されているデバイスについては、詳しい検証はしていませんがアップデートすることにより以下の挙動が予測されます。

アップデートされることで設定値がメーカー初期値に戻るので、Secure Bootの設定が無効になります。
よって、次回起動時に暗号化の回復キーの入力が必要になります。(MSアカウントに保存されていますのでオンラインで確認出来ます。)
一度回復キーを入力した後は通常通り利用出来るはずですが、一度でも「デバイスの暗号化」をオフにして再起動すると以降は要件を満たさなくなるため、「デバイスの暗号化」が利用出来なくなります。

○お願い
このBIOSからSecure Boot項目が削除された問題について、GPDさんのレスポンスが早いIndiegogoのコメント欄で復活の要望を出してくれる方を募集しております。
私はMakuake組なので緑屋さんが間に入っており、かつ緑屋さんは現在Windowsライセンスの問題でバタバタしているのでレスポンスが期待出来そうにありません。
持ち運ぶデバイスとして追加ライセンスなしに暗号化出来る本機能は有用かと思うので、どなたか助けてください。

  1. はじめまして!とんちきと申します。
    GPD社とは直接的に連絡を取り合っている関係にあります。
    今回の記事に記載されている「Secure Boot項目を復活してほしい」という要望について、Indiegogoコメント欄ではなく、メーカー(GPD)担当者へ直接ご連絡しておきます!
    他にも希望項目などがありましたら、メールまたはTwitterのDMなどでお知らせください。
    メーカー側からきちんとした対応を受けてもられるかは疑問ですが・・・今後のBIOSバージョンに生かされるかもしれません。

    ちなみに、最近出荷されたGPD WINマイナーバージョンモデルには新バージョンのBIOSとなっているようです。情報がまだまだ不足しているので復活されているかはわかりませんが・・・。

    • はじめまして とんちきさんのブログはいつも楽しく拝見させていただいています。
      Secure Bootについてメーカーに直接連絡いただけるとのこと、ありがとうございます!
      例え今回は対応されなかったとしても、声としてメーカーに届くだけで次の製品の参考にしてもらえるかもしれないので、とてもありがたいです。
      GPD WINはモバイルPCオタクとして久しぶりに熱中できるハードですし、次のGPD Pocketも長らく見ることのなかったフォームファクタの
      デバイスなので、これからも良い方向に発展することを願っています。

  1. トラックバックはまだありません。