個人用データ暗号化 (PDE) は、Windows 11 バージョン 22H2 以降で導入されたセキュリティ機能です。ファイルベースのデータ暗号化を行うことでデータを保護します。
BitLocker などのディスク暗号化とは異なり、ファイル単位でデータが暗号化されます。BitLocker などのディスクを暗号化する機能は、ハードディスクの抜き取りなどによる盗難には対策できますが、ファイル単位での搾取への対応は不十分です。
個人データ暗号化 (PDE) とは
PDE は Windows Hello for Business (以下 WHFB とする) を経由して暗号化キーの開放を行います。つまり、ユーザーは PDE 用に資格情報を記憶しておく必要はありません。また、ユーザーがサインアウトすると暗号化解除キーが破棄されるため、同じ端末に別のユーザーがサインインしたとしても、データへのアクセスを防ぐことが可能です。
WHFB の生体認証を設定している場合はさらにシームレスにデータにアクセスができるので、セキュアな状態を維持しつつ、ユーザーの利便性も考慮されたソリューションと言えます。
PDE は、ボリュームとディスク全体ではなく「ファイルを暗号化する」という点で BitLocker とは異なります。PDE は Bitlocker や他の暗号化方法の代替ではありませんが、PDE と Bitlocker を併用することで、単独で使用するよりも高いセキュリティを維持することができます。
お互いの違いがあるからこそ、両方の機能を組み合わせて使用するメリットがあります。
| 項目 | PDE | BitLocker |
| 暗号化解除キーのリリース | Windows Hello for Business を使用したユーザー サインイン時 | 起動時 |
| 暗号化解除キーの破棄 | ・ユーザーが Windows からサインアウトしたとき ・Windows ロック画面が表示されてから1分後 | シャットダウン時 |
| 保護対象コンテンツ | 保護されたフォルダー内のすべてのファイル | ボリューム/ドライブ全体 |
| 保護対象コンテンツにアクセスするための認証 | Windows Hello for Business | TPM + PIN を使用した BitLocker が有効になっている場合、BitLocker PIN と Windows サインイン |
PDE の保護レベル
PDE は、256ビットキーの AES-CBC を使用してコンテンツを保護し、2つの保護レベルを提供します。これらのレベルは PDE API を使用して設定できます。
| 項目 | レベル 1 | レベル 2 |
| ユーザーが Windows Hello for Business 経由でサインインした場合にアクセスできる PDE で保護されたデータ | はい | はい |
| PDE で保護されたデータへのWindows ロック画面でのアクセス可否 | 可能 | ロック後1分間データにはアクセスできなくなり、使用できなくなります |
| PDE で保護されたデータへのWindows サインアウト後のアクセス可否 | 不可 | 不可 |
| PDE で保護されたデータへのデバイスシャットダウン後のアクセス可否 | 不可 | 不可 |
| PDE で保護されたデータへのUNCパス経由でのアクセス可否 | 不可 | 不可 |
| PDE で保護されたデータへのWHFB ではなく、Windowsパスワードによる署名でのアクセス可否 | 不可 | 不可 |
| PDE で保護されたデータへのリモートデスクトップ接続でのアクセス可否 | 不可 | 不可 |
| PDE によって使用される暗号化解除キーの破棄 | ユーザーが Windows からサインアウトした後 | Windows ロック画面が表示された後、またはユーザーが Windows からサインアウトしてから1分後 |
サポートされる構成
- Windows 11 Enterprise のバージョン 22H2 以降
- Microsoft Entra 参加
- Windows Hello for Business 構成
- E3/E5 ライセンス
以下の構成はサポートされていません
- ドメイン参加か Entra ハイブリッド参加
- FIDO/セキュリティキー認証
- Winlogon 自動再起動サインオン
- Windows 情報保護 (WIP)
- リモートデスクトップ接続
参考情報
個人データ暗号化 (PDE) | Microsoft Learn
導入を検討するにあたってのご相談や導入支援をご希望の場合、お気軽にお問い合わせください。
