TrueCryptでUSBメモリやHDDのファイルを丸ごと暗号化


投稿日:2013年1月11日
  • 19
  • 2
  • 64



気軽に情報を持ち出せる時代の盗難・紛失対策

小型・大容量のSSDやUSBメモリ。タブレットPCの登場と、外部にPCを持ち出す機会が増えています。
高速回線の普及もあって、仕事のデータをクラウドサービスで管理することも現実的になってきました。

そうなると増えるのが盗難・紛失のリスクです。


打ち合わせで個人情報の入ったノートパソコンを持ち歩く。
残った仕事を家でするためにクラウドサービスを利用する。
盗難や紛失の被害は怖いけど、暗号化のために手間を増やしたくない。」そんな方におすすめしたいのが、「TrueCrypt」です。
TrueCryptなら、システムの入ったドライブやUSBメモリを丸ごと暗号化できます。ログイン時やマウント時にパスワードを入力するだけで、自動で暗号化されます。

ディスクアクセスも導入前の95%程度と体感するほどの速度低下も見られません。
暗号の強度も高く、2010年にFBIがTrueCryptで暗号化されたPCの解読に失敗しています。それが無料とあれば、導入しない手はありません。(寄付は募っているようです)

個人情報をや社外秘の情報、何らかの理由で他人に秘密にしておきたいファイルがある方は導入しておきましょう。

2014年10月追記

一度は終了宣言をして「http://www.truecrypt.org/」から「http://truecrypt.sourceforge.net/」へリダイレクトされていたTrueCryptですが、有志によって運営が続けられることになったそうです。
現状はかつてのバージョンを配布しているだけのようですが、新しいメンバーでより強固なセキュリティを保つ新しいバージョンをリリースする予定のようです。

新しいURL:https://truecrypt.ch/

TrueCryptのインストールと日本語化

1.TrueCryptのダウンロードページ」へアクセスしてOSに合わせてソフトをダウンロード、インストールします。

 
2.日本語化ファイルのページ」にアクセスしてダウンロード、解凍します。解凍した「Language.ja.xml」をインストールしたフォルダ(通常C:\Program Files\TrueCrypt)にドラッグ。
TrueCrypt.exe」をダブルクリックして起動すれば日本語化されているはずです。


暗号化したコンテナ(仮想ドライブ)を作成する方法

まずはコンテナを作る方法を解説します。コンテナとは暗号化するファイルを入れる仮想ドライブ(入れ物)のことです。
特定のファイルやフォルダだけ暗号化して守りたい場合に利用します。またHDDやUSBメモリを丸ごと暗号化するよりも短時間で導入できるメリットがあります。

1.ボリュームの作成ボタン」をクリック

 
2.暗号化されたファイルコンテナを作成」にチェックを入れた状態で「次へ」ボタンをクリック

 
3.TrueCrypt標準ボリューム」を選択した状態で「次へ」ボタンをクリック。

TrueCrypt隠しボリュームについてTrueCrypt隠しボリューム」とは暗号化したボリュームの中に、さらに暗号化したボリュームを隠す方法です。

暗号化したファイルがあることはドライブやメモリのサイズから推察すればすぐに分かります。その対策として暗号化したコンテナの中に、さらに暗号化した隠しコンテナを作ります。外側のコンテナ用のパスワードと、内側の隠しコンテナ用のパスワード2つを用意します。

万一スパイ映画よろしくパスワードを強制的に喋らされたり、裁判でパスワードを話さないことによる不利益を回避する際には、外側のコンテナ用のパスワードを話せば隠しコンテナの内容を守れます。

この機能は後述するシステムを丸ごと暗号化する際にも利用できます。普段利用するOSとは別に、ダミーOSをインストールするという方法です。

産業スパイのような活動をしている方はご利用くださいw

 
4.ファイルの選択」ボタンをクリックして、暗号化ボリュームの名前と保存場所を指定して「次へ」ボタンをクリック。

 
5.暗号化アルゴリズムとハッシュアルゴリズムを選択します。
(特別な理由がない限りAESRIPEMD-160を利用してください。堅牢性・変換速度共に非常に優れた暗号化アルゴリズムです。)

 
6.暗号化したいファイルのサイズに合わせてボリュームのサイズを指定します。(画像の例では10MB。)入力できたら「次へ」ボタンをクリック。

 
7.ボリュームのパスワードを入力。TrueCryptは20桁以上のパスワードを推奨しています。普段使っている8桁のパスワードを2回繰り返して、16桁にするだけでも強度があがります。覚えていられる限り長いパスワードをお勧めします。
今回は利用しませんが、キーファイルという鍵となるファイルを指定する方法もあります。

20文字以下だとアラートが出ますが、「はい」ボタンをクリックして進みます。

 
8.ファイルシステムを選んで「次へ」ボタンをクリック。Windows用のドライブやUSBならNTFSを選択します。(MacでもNTFS形式を扱えるようにするソフトがあります)
フォーマット」ボタンをクリック。

ボリュームの作成に成功しました。と出れば成功です。終了ボタンをクリックします。
 
9.起動した時に表示された画面で、「ファイルの選択」ボタンをクリック。先ほど作成したボリュームを選択します。

 
10.ドライブがズラーッと並んでいると思いますが、好きなドライブを選択して「マウント」ボタンをクリック。

 
11.パスワードを要求されるので入力して「OK」ボタンをクリックします。

すると指定したドライブ名でマウントされます。
この仮想ドライブに保存したデータは自動で暗号化されます。そのため、マウント時にパスワードを入力すれば普通のドライブと同じように利用できます。


トラベラーディスクの作成

コンテナをUSBメモリなどに作成した場合、外部のPCにもTrueCryptがインストールされていないとマウントすることができません。そこで暗号化されたファイルをマウントするのに必要な最低限のファイルをUSBメモリに保存する、トラベラーディスクというツールが用意されています。

1.先ほど作成した仮想ドライブをUSBディスクにコピーします

2.ツール > トラベラーディスクのセットアップ」をクリック

 
3.参照」ボタンをクリックして、USBドライブを選択。「作成」ボタンをクリックします。

無事に作成されましたというウィンドウが出れば成功です。

試しに1度PCのTrueCryptを終了して、USBメモリ上にあるTrueCryptでマウントしてみてください。


HDDやUSBメモリを丸ごと暗号化する方法

1.システム>システムパーティション/ドライブの暗号化」をクリック

 
2.システム暗号化タイプ」で「通常」を選択して「次へ」をクリック

隠しを選択するとダミーOSと、実際に利用するOSを分けることができます。上の説明でも解説しましたが、強制的にパスワードを喋らされるようなスパイの方はご利用くださいw
 
3.暗号化する領域」で、「Windowsシステムパーティションを暗号化」を選択して「次へ」をクリック
(ドライブに複数のOSをインストールしている場合は、暗号化するパーティションを選んでください。)

 
4.OSの数」で「シングルブート」を選択して「次へ」をクリック

 
5.暗号化オプション」でAESRIPEMD-160を選択して「次へ」をクリック

 
6.パスワードを入力して「次へ」をクリック(上と同じく20文字以下だとアラートが出ますが「はい」をクリックして次に進みます)

 
7.ランダムデータの収集」で暗号化に使われるランダムデータを生成して「次へ」をクリック

 
8.キーの作成が成功しましたと表示されるので「次へ」をクリック

 
9.レスキューディスクを作成するためのisoファイルを保存する場所を指定して「次へ」をクリック。

レスキューディスクはパスワードを忘れたり、TureCryptのブートレコードの故障など、何らかの理由で暗号化を解除したい場合や、通常の起動に戻したい場合に利用します。作成したら厳重に保管してください。

不安な方は後に表示されるレスキューディスクの利用法を印刷しておきましょう。何かの時のために「レスキューディスクの利用法」と「Windowsが再起動できない時の対処法」をアップしておきます。

 
10.先ほど指定した場所に保存された「TrueCrypt Rescue Disk.iso」を利用してCDやDVDに書き込みます。書き込みにはImgBurn等を利用してください。(単純にCDに書き込むのではなく、「イメージファイルをディスクに書き込み」で書き込んでください)
 
11.書き込みが終了したらCDを出し入れして「次へ」をクリック。「検証に成功しました」と表示されれば成功です。
次へ」をクリック

 
12.ワイプモード」を選択して「次へ」をクリック。

説明にもありますが、ワイプモードとはデータを何の痕跡もなく削除するときに利用する方法です。1度痕跡を消してから暗号化するため時間がかかります。HDDやSSDを分解してデータの復元を行うような相手が思い浮かばなければ、「なし」でいいと思います。

 
13.システム暗号化の予備検査」と表示されるので「テスト」ボタンをクリック。再起動と英語表記になることのアラートが出るので、「はい」をクリック(再起動されるので保存が必要なソフトなどないか確認してください)

 
14.起動時にパスワードを求められるので入力。Enterを押すと起動します。

 
15.予備検査の終了」と出たら「暗号化」をクリック。

 
16.システムドライブ全体の暗号化が開始されます。
(64GBのSSDで40分程度でした。容量の大きなHDDの場合6時間程度かかったとのレビューもあるので、パソコンを利用しない時間に実行しましょう。)

 
17.暗号化が終わるとアラートが出るので「終了」ボタンをクリックします。

これでシステムドライブ全体が暗号化されました。
起動時にパスワードを求められる以外は、暗号化されていることを意識すること無く普通に利用できます。


暗号化したシステムドライブの復号化

何らかの理由で暗号化を解除したい場合は以下の手順で復号化(もとに戻すこと)できます。

暗号化したドライブをマウントした状態で、「システム > システムパーティション/ドライブの暗号化を解除」をクリックします。

以上です。


解説してきたように

  • 1.コンテナと呼ばれる暗号化された仮想ドライブの作成
  • 2.システムドライブ全体を暗号化
  • 3.HDDやUSBメモリ全体の暗号化

といった暗号化の方法が用意されています。

外付けHDDやUSBメモリ全体の暗号化については解説しませんでしたが、手順はレスキューディスクを作成しないだけで、システムドライブの暗号化と同じです。

コンテナをDropboxにアップして利用する場合は、リビジョンの機能は使えないので注意してください。



現在のページを共有する



現在のページに関連する記事


おすすめの記事


いただいたコメントなど

  1. gokou のコメント:

    非常に分かりやすい説明ありがとうございました

コメントを残す

プログラミングに関する質問は「日本語でプログラミングの悩みを解決するQ&Aサイト sukegra」をご利用ください。面倒な登録なしでご利用になりれます。