いまさら聞けない「BitLocker」の仕組みと機能 Windowsを守る暗号化とは？：BitLocker丸分かりガイド【前編】

「Windows」の一部エディションで利用できる「BitLocker」は、ストレージを暗号化してデータを保護する機能だ。利用可能なWindowsを含むBitLockerの概要とその仕組みを解説する。

[Mary E. Shacklett, Alexander S. Gillis，TechTarget]

　「BitLocker」は、OS「Windows」の特定のエディションが搭載するデータ暗号化機能だ。Windowsがインストールされたドライブ全体を暗号化し、盗難や不正アクセスからデータを保護する。どのような場合に使用でき、どう動作するのか。BitLockerの概要と仕組みを解説する。

Windowsを守る「BitLocker」とは？

併せて読みたいお薦め記事

デバイスのデータ保護機能

• Apple“賛否両論”セキュリティ機能「iCloudの高度なデータ保護」とは何なのか
• いまさら聞けない「暗号化」とは何か？　なぜ必要なのか

　BitLockerは暗号化アルゴリズムとして「AES」（Advanced Encryption Standard）を用い、128bitもしくは256bitの鍵でデータを暗号化する。ストレージの暗号化と、暗号鍵の厳重な管理を組み合わせることによって、セキュリティを強化する仕組みだ。

　2007年、BitLockerは「Windows Vista」の新機能として登場した。2025年3月時点では、Windowsの「Pro」「Enterprise」「Education」エディションで利用可能だ。「Windows 10」のバージョン「1511」では、暗号化アルゴリズムがAESから「XTS-AES」に更新された。エンドユーザーやデバイスごとの設定を一元管理する「グループポリシー」設定の拡張、OSドライブおよびリムーバブルメディア（取り外し可能な記録媒体）に対する機能も強化された。この更新は「Windows 11」と、「Windows Server 2016」以降の「Windows Server」のBitLockerにも適用されている。

仕組み

　BitLockerを使用するには、「RSA」（Rivest-Shamir-Adleman）方式の暗号鍵を格納できるチップが必要だ。このチップは、ハードウェアベースの暗号化を提供するセキュリティモジュールの規格「TPM」（Trusted Platform Module）に準拠しているものでなければならない。つまりPCのマザーボードが、TPM準拠のチップを搭載することになる。TPM準拠チップはBitLockerと連携し、ユーザーデータを保護する役割を担う。

　BitLockerが有効になると、PCの起動時にロック画面が表示され、PINコードまたは48桁の数字パスワード「回復キー」（「回復パスワード」とも）の入力が必要になる。回復キーを保存したUSBメモリなどのリムーバブルメディアを使ってロックを解除することも可能だ。エンドユーザーが回復キーを失念または紛失した場合のために、回復キーを外部メディアにバックアップしておくとよい。

　TPM準拠チップを搭載していないPCでも、BitLockerによるドライブの暗号化は可能だ。ただしこの場合、USBメモリに保存したスタートアップキー（BitLockerで暗号化されたPCを起動するための鍵）が必要になる。BicLockerとTPM準拠チップを組み合わせて使用すると、起動前のシステム整合性検証を強化できるため、MicrosoftはTPM準拠チップの利用を推奨している。

　BitLockerの管理ツールとして、「BitLocker回復パスワードビューアー」などのツール群がある。BitLocker回復パスワードビューアーは、バックアップとしてID・アクセス管理システム「Active Directory」（AD）に登録した回復キーを検索、表示するツールだ。暗号化済みのストレージからデータを回復する際に役立つ。他に利用可能なツールとして、コマンドラインで使う「manage-bde」「repair-bde」がある。

• manage-bde
  • BitLockerの有効化と無効化を切り替えるコマンド。
  • manage-bdeでBitLockerを無効化すると、暗号化されたストレージのデータが復号される。
• repair-bde
  • BitLockerで暗号化されたストレージが損傷した場合に、データを回復するためのコマンド。
  • 通常の手段でロックを解除できないような、重大な障害が発生した際のデータ復旧に役立つ。

主な機能

　デスクトップPCやノートPCの他、USBメモリなどのリムーバブルメディア（取り外し可能な記録媒体）もBitLockerを適用できる。

　BitLockerで暗号化されたPCを起動する際、PINコードを入力する必要がある。適切なPINコードか回復キーかスタートアップキーがなければ、PCを起動できない。

　BitLockerはADと連携可能であり、回復キーをADで一元的に管理できる。これによって、システム管理者はBitLockerを適用するPCの展開や管理、回復を効率的に実行できる。

　対象PCのドライブ全てを自動的に暗号化するため、手動で暗号化やそれに関する設定を適用する手間が省ける点がBitLockerのメリットだ。ただしBitLockerを利用できない古いWindowsや他のOSでも、ファイル単位やストレージ単位で暗号化する方法は存在する。

利用場面

　テレワークや社外での作業が普及する中で、ノートPCの紛失、盗難は後を絶たない。BitLockerを使用すれば、PC内のデータを暗号化できるため、第三者による不正なアクセスや悪用のリスクを低減可能だ。BitLockerの主な用途を以下に挙げる。

コンプライアンスの強化

　BitLockerは企業が規制要件を満たすのに役立つ。具体的には、以下の規格や標準がある。

• HIPAA（米国における医療保険の相互運用性と説明責任に関する法令）
• ISO（国際標準化機構）が定める規格
• NIST（米国立標準技術研究所）が定める標準
• AICPA（米国公認会計士協会）が発行するレポート「SOC 2」（System and Organization Controls 2）
  • サービス提供者が顧客データを安全に管理していることを示すための監査基準になる。

企業所有PCの保護

　従業員に貸与するPCをBitLockerで暗号化することによって、許可された従業員のみがデータを閲覧できるようなり、内部不正の防止につながる。

廃棄PCのデータ保護

　廃棄するPCのストレージをBitLockerで暗号化すれば、廃棄後に第三者からデータを不正に取得されることを防止できる。

---

　次回は、BitLockerの使用方法と使用時の注意を解説する。

TechTarget発　先取りITトレンド

米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。