暗号化とデータ保護

暗号化とデータ保護は、デバイスの紛失や盗難があった場合にデータを保護し、認証されていないアプリケーションによる機密情報へのアクセスを防ぎます。

BitLocker によるデバイスの暗号化

BitLocker は、読み取り専用 (RO) メディアの整合性の保護と書き込み可能なメディアのプライバシー保護を目的としたフルボリューム暗号化機能です。 これまで、オフライン攻撃時のデータへの不正アクセスに対する効果的な防護壁となってきました。 HoloLens 2では、BitLocker Device Encryption (BDE) を既定で有効にして、デバイスへの不正な物理アクセスからデータを保護できます。 Microsoft は、常に将来のニーズを満たすために進化し続け、このテクノロジへの投資と強化を続けています。

BDE は、デバイスの状態によって区切られたレイアウトのすべてのボリュームにおいて、AES-XTS-256 暗号化を適用するデータ保護機能です。 BDE は、状態によって区切られたレイアウトにおいて、デバイス レベルの暗号化を提供します。 BitLocker デバイス暗号化は、オペレーティング システムと固定データ ボリュームで自動的に有効になり、IT 管理者であってもオフにして、デバイスが常に保護されるようにすることはできません。

BDE 暗号化キーは、デバイスの起動に必要なバイナリとデータを透過的に復号するために使用されます。 オペレーティング システムのボリュームのロックを解除してシステムを起動すると、ボリューム固有のバージョンの自動ロック解除プロテクターを使用して、他のボリュームにアクセスできるようになります。 ユーザーのプライバシーを維持するために使用できる他のプロテクターはありません。また、同じデバイス上でのみ、ドライブのロックを解除することができます。 最初の起動時より、読み取り専用の (RO) 強制が、必要なボリュームに対してすぐに適用されます。 bitlocker 回復キーは、HoloLens 2ライフサイクルでは必要ありません。

Azure の統合

HoloLens 2 では、お客様は Azure サービスを使用して自分のデバイスを統合できます。 自身とクラウド サービス間を移動するデータを保護し、強力な認証、メッセージのプライバシー、整合性を実現するために、HoloLens 2 デバイスと Azure 間の通信には TLS (トランスポート層セキュリティ) プロトコルが使用されています。 すべての Azure サービスは、TLS 1.2 を完全にサポートし、お客様が TLS 1.2 のみを使用している場合は、TLS 1.2 トラフィックのみを受け入れます。 送信中のデータに対する Azure の暗号化標準については、「Azure の暗号化の概要」を参照してください。 Azure のデータ セキュリティと暗号化のベスト プラクティスの詳細については、Azure のドキュメントを参照してください。

HoloLens 2 とのクラウド統合の例である OneDrive には、インターネットに接続したときにファイルとドキュメントをクラウドに自動的にアップロードできる、自動アップロード機能があります。 ファイルの自動同期の一時停止は、ポリシーを使用してオフにすることはできませんが、UX を介して直接構成できます。