BitLockerとは?ストレージの暗号化・回復キーの確認方法|サイバーセキュリティ.com

  1. ホーム /
  2. コラム /
  3. BitLockerとは?ストレージの暗号化・回復キーの確認方法
             

BitLockerとは?ストレージの暗号化・回復キーの確認方法



コロナウイルス禍の影響によるテレワークの普及により、機密データの入った業務用のパソコンを持ち歩く機会が増えた昨今。そうなると気になるのが、パソコンの内部に保存されたデータのセキュリティ対策です。

ここでは、Windows 10で、BitLockerを有効にしてストレージ(ドライブ)を暗号化する手順をご紹介します。

BitLockerとは

そもそもBitLockerとは、Windowsに搭載されている機能の一つで、ストレージ内に保存されたデータを初期化することなく暗号化できる機能のことです。

無料で利用でき、導入が簡単であるにも関わらず、ハードディスクそのものを暗号化できてしまうため、パソコンが紛失や盗難にあった場合に、第三はがハードディスク内の情報を容易に抜き取ることを不可能にします。

BitLockerが使えるための条件は?

上記で見てきたように、パソコンを持ち歩くことの多いビジネスマンや、そんな社員を多く抱える企業にとって強い味方のBitLockerですが、当然ながら、使用するには、環境的な条件があります。

といっても、大きく2つであり、さほど複雑なものではありません。

対応OSは?

BitLockerが使える条件の1つ目、それは、あなたのパソコンのOSが、BitLocker対応のものかどうかです。BitLockerが対応しているOSを一覧化すると、下記のようになります。

  • Windows Pro版
  • Windows Enterprise版
  • Windows Education版

これらのOS以外では、BitLockerは使用できませんので、注意が必要です。

TPMを搭載しているか?

BitLockerが使える条件の2つ目、それはあなたのパソコンがTPMを搭載していることです。
ここで、TPMとは、Trusted Platform Module(トラステッド・プラットフォーム・モジュール)の略で、コンピュータのマザーボードに装着される半導体チップの一つです。

TPMは、ソフトウェアの改竄を検知したり、なりすましが困難な個体識別や端末認証を可能にしたり、ハードディスクなどのストレージの安全な暗号化など、様々なセキュリティ関連機能を実装することが出来ます。

もしお使いのパソコンがこのTPMを搭載していない場合、追加でTPMモジュールが必要になる場合が多いため、使用しているパソコンがTPMを搭載しているかどうか、予め確認することが必要です。

BitLocker搭載パソコンの管理方法

上記で見てきたように、特定の条件を満たしたパソコンを使用している場合、BitLockerを導入することで、無料で、比較的容易にセキュリティ対策の強化が可能です。

しかし、企業全体でパソコンの紛失や盗難に備えるには、組織全体でBitLockerを導入することが推奨されます。なぜなら、ハードディスク暗号化に一定のポリシーを設け、それを全社的に適用することで、会社全体での情報漏洩リスクを軽減できるからです。

個人がバラバラにハードディスクを暗号化するよりも、セキュリティ対策の水準に個人差が生まれることがなく、全体で見た場合に一定のレベルでの情報漏洩リスク軽減ができます。

ただしその場合に、1つ注意点があります。
BitLockerを導入するには、パソコン1台ごとに設定が必要となるため、各企業の情報システム部門の管理工数が一気に膨れ上がってしまうことになります。

小規模な組織であれば、各パソコンに管理者権限でログインし、ドライブを暗号化していけばいいので、まだ何とかなりますが、問題はもう少し規模が大きな組織の場合です。

数十台を超える中規模以上の組織の場合、Active Directoryを介した一括管理が推奨されます。BitLockerでは、パスワードを忘れた場合に備えて回復キーが発行されますが、その回復キーもActive Directory内に保存することで、管理を容易にするのです。
Active Directory上での設定を行った後、パソコンごとにグループポリシーの更新とBitLockerの暗号化を行えば、組織全体で同じ設定が適用可能です。

Active Directory アクティブディレクトリとは?機能やメリットデメリットを徹底解説
2019.5.7
企業や組織の規模が大きくなるにつれて、管理するべきパソコンの数は増えていく一方です。WindowsではパソコンごとにIDとパスワードによるユーザー管理ができますが、ネットワーク内に複数のWindowsパソコンが存在していると、ユーザーの管理

BitLockerを利用する上での注意点

BitLockerは、追加コストなしでドライブを暗号化できるという点で、多くの企業にとって大変便利なツールではありますが、運用面・管理面に注目すると、機能不足は否めません。

そのため、まずは下記に記載の注意点を認識したうえで、社内でのBitLocker採用可否を判断する必要があるので、注意が必要です。

1.管理者権限アカウントによる暗号化の無効化

Windowsの管理者権限アカウントでログインしさえすれば、ドライブ暗号化の有効化/無効化がいとも簡単にできてしまいます。そのため、エンドユーザーには管理者権限アカウントを付与しない運用が必要となります。

2.ロックされないまま、ログイン試行ができてしまう

BitLockerは、TPM(Trusted Platform Module)を使用してはいるものの、回復パスワードの入力時に、ログイン試行回数によるロック機能がありません。そのため、TPMの保護はかかるが、時間があれば、不正なログイン試行ができるというリスクを孕んでいます。

3.盗難・紛失時に本当に暗号化されていたか確認できない

BitLockerでは、盗難・紛失が発覚した後に対象PCが暗号化されていたかどうかを確認する術がないです。したがって、BitLockerで暗号化している場合、「全てのPCが暗号化されていたので情報漏洩の心配はない」と言い切ることができず、各企業のセキュリティ対策が万全だったと証明できないため、定期的な暗号化ステータスの確認等、何らかの工夫が不可欠です。

4.48桁の回復キーの運用が煩雑である

BitLockerでは、暗号化する際に、パスワードを忘れた場合に使用する、「回復キー」という48桁の数字が自動的に作成されます。
この回復キーはパソコン1台1台別々に設定されるため、個別の管理が必要です。

そのため、従業員数が多くなり、PCの管理台数が多くなってくると、回復キーの管理が困難になります。また、仮に48桁の回復キーをきちんとユーザに伝えることが出来たとしても、一度伝えた回復キーはもはや安全ではなくなってしまうため、再作成が必要な点が、ますます運用を煩雑化させます。

5.1デバイスにつき、1パスワードしか管理できない

BitLockerは、1デバイスにつき1パスワードしか管理できないため、共有PCを暗号化する場合、共有PCを使用するメンバー全員でパスワードを共有することが必要です。

誰かが誤ってパスワードを変更してしまうと、全員がPCにログインできなくなってしまうため、取り扱いには注意が必要です。

6.ハードウェア構成が変わると回復キーの入力が求められる

USBメモリーやキーボードを挿したり切り離したりした場合、BitLockerがハードウェア構成の変更を検知し、エンドユーザーに回復キーの入力を要求することがあります。

回復キーは桁数も多く、いちいち覚えていられないため、回復キーを確認して入力しなおすのはかなりの手間です。無駄な時間や労力を割くことになってしまうため、導入時はノーコストでも、この時間や労力はコストになり得るということは、理解しておいた方がいいでしょう。

7.パスワードポリシーが設定できない

BitLockerでできるのは、簡易なOS起動前認証画面程度であり、パスワードポリシーの設定はできません。

8.技術的な問い合わせがフォーラム上でしかできない

BitLockerを扱うマイクロソフト社は、全世界でとんでもない数の企業を相手にしていますから、そのサポート体制にはどうしても限界があります。

そのため、会社内でOSが起動しない等のトラブルが発生してしまった場合、自社で解決する必要があります。それだけでなく、BitLockerを用いた場合、回復キーを紛失してしまうと、データの復旧だけでも、OSリカバリー以外の手がなくなってしまいます。

BitLockerでシステムドライブを暗号化する設定方法

さて、ここまでBitLockerの機能や管理方法、注意点について説明してきました。

ここからは、BitLockerを用いて、システムドライブを暗号化する際の設定方法を、説明していきます。

①BitLockerの管理画面を開く

まず初めに、検索窓に「BitLockerの管理」と入力して、BitLockerの管理メニューを表示します。

②「BitLockerを有効にする」を選択

BitLockerの管理画面が開いたCドライブの「BitLockerを有効にする」をクリックします。

③回復キーのバックアップ方法を指定

続いては、回復キーのバックアップ方法を指定します。

回復キーは、BitLockerで暗号化されたストレージのロック解除に失敗した場合、ストレージにアクセスするための緊急用のパスワードの役目を持っています。つまり、ロック解除にはこの回復キーの入力が必須なので、いざという時、きちんと確認できるようにしておく必要があります。

Microsoftアカウントに紐づけされたアカウントであれば、「Microsoftアカウントに保存」でOneDriveに保存できます。

「ファイルに保存する」はテキストファイルへの出力が可能ですが、暗号化するドライブ上には出力できないため、他のストレージ保存先を指定する必要があります。また、印刷して手元で管理するのも確実な手段です。

複数の方法を選択可能ですので運用方法に合わせて回復キーを保存し、次に進みます。

④ドライブを暗号化する範囲の指定

さて、続いては、ドライブ暗号化の範囲指定です。

上側の選択肢、「使用済みの領域のみ暗号化する」は、読んで字の如く、使用済みの領域のみを暗号化するので、暗号化する範囲が限定的です。

その分、暗号化にかかる時間が短くて済むので、購入したばかりのパソコンなど、まだほとんど使用していないパソコンを暗号化する場合にお薦めです。

なお、こちらを選択した場合でも、暗号化が完了した後で追加されるファイルは、自動的に暗号化されることになります。

一方、下側の選択肢の「ドライブ全体を暗号化する」を選択すると、パソコン内部にある全てのデータが暗号化されるため、どれほど使い込んだパソコンでも安心です。

パソコンを既に使用中の場合は、こちらを選択するのがおススメです。

なお、いずれの設定を選んだ場合でも、ストレージが初期化されてデータが消失するというような心配はありません。暗号化の範囲を選択したら次に進みます。

⑤使用する暗号化モードの指定

そして続いては、暗号化モードの選択です。

Windows 10は新しい暗号化モードに対応していますので、上側の選択肢、「新しい暗号化モード(このデバイスの固定ドライブに最適)」を選びます。

⑥「BitLockerシステムチェックを実行する」にチェックをいれる

続いての画面に表示される「BitLockerシステムチェックを実行する」にチェックをいれ、「続行」を選択します。

「続行」の選択後は、再起動の保留状態となります。

⑦パソコンを再起動すると暗号化が開始される

ここまでの設定が完了した後、パソコンを再起動すると、回復キーと暗号化キーを正常に読み取れることを確認した後、ドライブの暗号化が始まります。

暗号化する範囲と容量により所要時間は異なりますが、暗号化は作業をしながらでも進行するので、暗号化の間パソコンを操作できない、ということにはならないので、その点は安心です。

なお、暗号化が完了すると以下のように「BitLockerが有効です」と表示されます。

暗号化完了後は、アイコンに鍵のマークが表示されるので、鍵マークを確認することでも、暗号化されていることの確認ができます。

⑧BitLockerを無効にする解除方法

もしBitLockerによる暗号化を解除したい場合は、BitLockerの管理画面にて「BitLockerを無効にする」を選択します。

暗号化の解除は、暗号化時と同様に、作業と同時に進行しますので、完了まで待たずして作業を開始することが出来ます。

ただし、TPM情報の更新・初期化を伴う作業(マザーボードの交換やBIOS更新、初期化、CPUの交換など)をする場合は、TPMとドライブの整合性が失われデータの読み出しができなくなる恐れがあるため、そういった作業の前にはBitLockerの保護を「中断」し、作業終了後に「再開」をすることで再度、暗号化が有効になります。

BitLocker to GoでUSBメモリを暗号化する方法・手順

 BitLocker to Goは、BitLockerの新しい機能の一つで、USBメモリやフラッシュメモリカードなど、持ち運びが可能なリムーバル・メディアでもBitLockerの機能を使えるようにしたものです。

ここでは、BitLocker to GoでUSBメモリを暗号化する方法とその手順について解説していきましょう。

①「BitLockerを有効にする」を選択

USBメモリにBitLockerの保護を適用する場合、暗号化したいドライブを右クリックし「BitLockerを有効にする」を選択します。

また、システムドライブの場合と同様、検索窓に「BitLockerの管理」と入力し、BitLockerの管理画面から暗号化したいドライブをクリックする方法も可能です。

クリックすると、BitLockerの起動画面が表示されます。「初期化中」と表示されますが、USBメモリのデータは消去されなので、その点はご安心ください。

②ドライブのロック解除方法を選択

続いては、ドライブのロック解除方法の選択に移ります。

スマートカード(ICカード)やカードリーダーの指定も可能ですが、専用のハードウェアが必要になります。ここでは、パスワード入力をロック解除方法に設定してみます。

暗号化完了後はドライブにアクセスする際、こちらで設定したパスワードの入力が必要になります。

③回復キーのバックアップ方法を指定

続いては、パスワードやスマートキーの紛失時に、ドライブにアクセスするための回復キーの保存方法の選択です。

回復キーはすぐに目につくように保存してはまずいですが、回復キーのバックアップ方法は、緊急時に備え、すぐに確認できるようにしておくと安心です。回復キーを保存したら次に進みます。

④ドライブを暗号化する範囲を指定

次に、ドライブを暗号化する範囲を指定します。

パソコンが新品で、ほとんど使用していなかったり、保存データが少なかったりする場合には、「使用済みの領域のみ暗号化する」を、すでにパソコンをかなり使用しており、保存されているデータ量が比較的多くなっている場合は、「ドライブ全体を暗号化する」、を選択します。

⑤使用する暗号化モードを指定

続いて、使用する暗号化モードを選択します。

Windows 10以前のOSでUSBを使用する可能性がないのであれば、「新しい暗号化モード」を、Windows 10以前のOSでも使用する予定があるのならば、「互換モード」を選択します。

⑥暗号化を開始

そして最後に、いよいよ暗号化を開始します。

上記の「使用する暗号化モードの指定」まで完了したら、暗号化開始の確認画面が表示されるので、「暗号化の開始」を選択します。

暗号化が完了すると、ドライブに鍵マークが表示されるようになるので、暗号化の完了はここをチェックすることで確認できます。

ここまでの手順できちんと暗号化されたUSBメモリは、メモリの挿入後パスワードを入力しないとアクセスできないようになります。

パスワードを入力してロックを解除することはWindows10 Homeでも可能です。

また、暗号化自体を無効にしたい場合はBitLockerの管理画面から「BitLockerを無効にする」を選択します。

暗号化しているストレージの容量により無効化にかかる時間は変動します。

BitLocker回復キー確認・解除方法

以上見てきたように、BitLockerによる暗号化は、比較的簡単に設定できます。しかし、パソコンによっては、自動的にBitLockerが設定されることがあります。

このような場合に、回復キーが分からずパソコンを操作できない、という事態に陥らないようにするためにも、回復キーの確認方法や、BitLockerの解除方法は知っておく必要があるでしょう。

BitLockerがオンになるタイミングと、BitLockerの解除方法

Windows10 Homeは、BitLockerの管理画面を持ちませんが、モダンスタンバイを搭載したパソコンにMicroSoftアカウントでサインインすると、自動的にBitLockerがオンになります。

BitLockerがオンになっているかどうかを確認するには、

「Windowsマーク」→「設定」→「更新とセキュリティ」と順にクリックしていくと、 Windows10 Home でも「暗号化」の項目がありますので、そちらで確認することが出来ます。

もしBitLockerをオフにしたい場合は、ここで表示された画面で、敢えてオフにする必要があります。

BitLockerの回復キーの確認方法

さて、それでは、BitLokcerが自動的に設定されていて、かつ、そのまま継続してBitLockerをオンにして使い続けたい場合、回復キーはどうやって確認できるのか。

今度はその方法について、ご説明します。

まず、Microsoftアカウントにログインします。

ログインに必要なのは、IDとパスワードですが、IDはMicrosoftアカウントに登録されているメールアドレスです。

Microsoftアカウントにログインできたら、次は、「デバイス」という項目にパソコンのアイコンと「DESKTOP-英数字 」のドライブラベルが表示されているので、該当する場合はアイコンをクリックして、BitLocker 回復キーを入手してください。

もし「デバイス」という項目が無い場合や「DESKTOP-英数字 」のドライブラベルが違う場合は、他のメールアドレスで試してみる必要があります。

ただし、BitLockerの回復キーを自分で設定した場合は、BitLocker 回復キーを USB メモリに保存したり、印刷して保管したりすることもできるので、Microsoftアカウント以外に登録している可能性もありますので、この限りではありません。

よくある質問

最後に、よくある質問に2つ、お答えすることにします。

Q1.パスワードや回復キーの入力ミスで、ドライブを開けなくなったりしますか?

まず、BitLockerにおいては、パスワードを忘れた時のために回復キーを設定していますし、その回復キーはバックアップまで取ってありますので、基本的に入力ミスや、パスワード/回復キーを忘れたことでドライブを使えなくなるということは基本的に心配いりません。

Q2.BitLockerを導入していれば「セキュリティ対策をしている」と言えるのでしょうか。

BitLockerは今や、Windows製のパソコンを使っている企業、ユーザーには当たり前のセキュリティ対策になっているので、BitLocerを使っているだけで、万全なセキュリティ対策をしているとは言い切れません。

BitLockerのパスワードや回復キーをどのように管理するか、BitLocker以外のセキュリティは何をどのように運用しているか、そこで企業ごとのセキュリティ対策の差をつける部分になりますので、こちらも合わせて十分に対策するようにしましょう。

まとめ

以上、BitLockerの機能やその設定の仕方について解説してきました。

BitLockerは、一定のバージョンのWindows製PCを使用しているユーザーなら、誰でも簡単に、情報漏洩リスクを回避できるので、ぜひ使われてみてはいかがでしょうか。

BitLockerを設定する少しの手間をかけるだけで、情報漏洩事故の大きな責任問題を回避できますので、少々煩雑だと感じるかもしれませんが、ぜひ設定しておきましょう。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。