Windows暗号化「BitLocker」入門 ロック解除に欠かせない回復キーはどう扱う？：BitLocker丸分かりガイド【後編】

「Windows」標準の暗号化機能「BitLocker」は、PCの盗難や紛失時に備えてデータを保護する。その解除に必要な「回復キー」の重要性や管理方法、BitLockerの基本的な使い方を解説する。

[Mary E. Shacklett, Alexander S. Gillis，TechTarget]

　ストレージ全体を暗号化してデータを守る機能「BitLocker」は、一部の「Windows」エディションで利用可能な標準保護機能だ。PC紛失や盗難などのリスクに備えたデータ保護を実現する一方、その暗号化を解除するための鍵を適切に管理しておかないと、PCにサインインできなくなってしまう恐れがある。基本的なBitLockerの使い方や管理方法を取り上げる。

「BitLocker」の使用方法

併せて読みたいお薦め記事

連載：BitLocker丸分かりガイド

• 前編：いまさら聞けない「BitLocker」の仕組みと機能　Windowsを守る暗号化とは？

デバイスのデータ保護機能

• Apple“賛否両論”セキュリティ機能「iCloudの高度なデータ保護」とは何なのか
• いまさら聞けない「暗号化」とは何か？　なぜ必要なのか

　一部のWindowsでは、BitLockerが初期設定で有効になっている。有効にするには、まずタスクバーにある検索ボックスで「BitLocker」と検索し、「BitLockerの管理」を選択する。すると「コントロールパネル」のBitLocker管理画面が開く。BitLockerが利用可能ならば、「BitLockerを有効にする」のオプションが表示される。有効化すると、「保護の中断」「回復キーのバックアップ」「BitLockerを無効にする」といった選択肢が利用できるようになる。これらのオプションを通じて、ドライブの暗号化や解除、設定変更、BitLockerの無効化が可能だ。

暗号化の開始

　BitLockerを有効にするオプションを選択すると、Windowsはシステム設定の確認を開始する。エンドユーザーは回復キーの保存方法を選択した後、暗号化する範囲を指定する。「使用済みの領域のみを暗号化する」と「ドライブ全体を暗号化する」の2つの選択肢がある。

• 使用済みの領域のみ暗号化する
  • データが存在する領域のみを暗号化する。
• ドライブ全体を暗号化する
  • 空き領域を含むストレージ全体を暗号化する。

　暗号化を開始する前に、「BitLockerシステムチェックを実行する」を選択して、回復キーが利用可能かどうかを確認しておくとよい。

　BitLockerによる暗号化の設定が完了すると、PCが再起動してドライブの暗号化が始まる。MicrosoftのID・アクセス管理システム「Active Directory」（AD）で特定のポリシーを設定している場合、エンドユーザーがPCにサインインし、そのPCがADのドメイン（管理範囲）に登録されてから、保護機能が完全に有効になる。

暗号化の解除

　BitLockerが有効なPCでは、PCを起動するときや暗号化されたストレージを使うときに回復キーの入力が必要になる場合がある。回復キーは通常、エンドユーザーのMicrosoftアカウントに保存されている。

　回復キーを紛失した場合、Windowsを再インストールしなければならないことがあるため、事前に回復キーをバックアップしておくことが重要だ。回復キーは以下の場所に保存できる。

• エンドユーザーのMicrosoftアカウント
  • 他のデバイスからMicrosoftアカウントにサインインして、回復キーを確認できる。
• USBメモリ
  • スタートアップキー（BitLockerで暗号化されたPCを起動するための鍵）を保存したUSBメモリをPCに接続することで、ロックを解除できる。
  • 回復キーをテキストファイルとして保存し、別のPCで確認することも可能だ。
• エンドユーザーの「Microsoft Entra ID」アカウント
  • Microsoft Entra IDはクラウドサービス版のAD。
  • PCが関連付けられているMicrosoft Entra IDアカウントに、回復キーが登録されている場合がある。
• システム管理者のPC
  • PCがADのドメインに参加している場合、システム管理者が回復キーを保持している可能性がある。
• 紙のメモや印刷物
  • 回復キーを印刷または手書きで保存しておく。

手動設定

　BitLockerを手動で設定することも可能だ。手動設定は、特定のデバイスやエンドユーザーに対するセキュリティ要件に応じてBitLockerの動作をカスタマイズするために実施する。基本的な手順は以下の通りだ。

1. 「設定」「システム」「ストレージ」と進む。
2. 「ストレージの詳細設定」「ディスクとボリューム」と進む。
3. 暗号化したい領域があるストレージの「プロパティ」をクリックする。
4. 「BitLockerを有効にする」をクリックする。
5. 回復キーをMicrosoftアカウントに保存する。
6. 暗号化の範囲などの設定を指定し、BitLockerシステムチェックを実行するをクリックする。

無効化

　BitLockerを無効にするには、タスクバーの検索ボックスからBitLocker管理画面を開き、「BitLockerを無効にする」をクリックする。確認画面で承認すると、ストレージの復号を開始する。

システム要件

　BitLockerを利用するためのシステム要件は以下の通りだ。

• BIOSもしくはUEFIが、USBメモリのための通信プロトコル「USB Mass Storage Class」（USB MSC）を扱えること
  • ストレージには2つ以上のパーティションが必要。
  • BIOSを使用する場合、ストレージがファイルシステム「NTFS」（New Technology File System）でフォーマットされていること
  • UEFIを使用する場合、ストレージがファイルシステム「FAT 32」（File Allocation Table 32）でフォーマットされていること

制限事項

　BitLockerには以下の制限が存在する。

• 最適な使用には、ハードウェアベースの暗号化を提供するセキュリティモジュールの規格「TPM」（Trusted Platform Module）のバージョン「1.2」以降に準拠したチップを搭載している必要がある
  • TPM準拠チップを搭載する場合、OSの安全な起動のために、BitLockerは以下のどちらかに準拠したファームウェアを必要とする。
    • 標準化団体TCG（Trusted Computing Group） の仕様に準拠したBIOS（Basic Input/Output System）
    • ハードウェアを制御するプログラムの規格「UEFI」（Unified Extensible Firmware Interface）
  • TPM準拠チップを搭載しないPCでもBitLockerは使用可能だが、スタートアップキーを格納するためのリムーバブルメディアが必要であり、PC起動時の整合性検証の質が下がる。
• 回復キーの管理が重要
  • エンドユーザーが回復キーの重要性を理解していない場合、誤って回復キーを削除してしまう可能性がある。
  • PCが物理的に故障した際には、回復キーが失われるリスクがある。
• 保護範囲の限界
  • BitLockerが保護できるのは、基本的にインストールされたPCのストレージのみだ。PC内のデータやアプリケーションの暗号化は可能だが、インターネットや社内LAN経由で侵入するマルウェアなど、外部からの攻撃には効果が薄い。
• 暗号化による演算能力への影響
  • BitLockerの暗号化処理はコンピューティングリソースを消費するため、PCの動作が遅くなる可能性がある。

TechTarget発　先取りITトレンド

米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。