WindowsでBitLocker暗号化を設定する方法

BitLockerは、Windowsに組み込まれているツールであり、ハードドライブ全体を暗号化してセキュリティを強化できます。設定方法は次のとおりです。

TrueCryptが物議を醸して店を閉めたとき、彼らはユーザーにTrueCryptからBitLockerまたはVeracryptの使用に移行することを勧めました。BitLockerは、成熟したと見なされるのに十分長い間Windowsに存在しており、セキュリティの専門家から一般的に高く評価されている暗号化製品です。この記事では、PCにセットアップする方法について説明します。

関連:Windows10のProfessionalEditionにアップグレードする必要がありますか?

:BitLockerドライブ暗号化とBitLocker To Goには、Windows 8または10のProfessionalまたはEnterpriseエディション、またはWindows 7のUltimateバージョンが必要です。ただし、Windows 8.1以降、WindowsのHomeエディションとProエディションには「デバイス暗号化」機能が含まれています。 (Windows 10にも含まれている機能)同様に機能します。コンピューターでサポートされている場合はデバイス暗号化を、デバイス暗号化を使用できないProユーザーにはBitLockerを、デバイス暗号化が機能しないホームバージョンのWindowsを使用しているユーザーにはVeraCryptをお勧めします。

ドライブ全体を暗号化しますか、それとも暗号化されたコンテナを作成しますか?

多くのガイドが、TrueCryptやVeracryptなどの製品で作成できる暗号化されたコンテナーのようなものと同じように機能するBitLockerコンテナーの作成について説明しています。少し誤解されていますが、同様の効果を得ることができます。BitLockerは、ドライブ全体を暗号化することで機能します。これは、システムドライブ、別の物理ドライブ、またはファイルとして存在し、Windowsにマウントされている仮想ハードドライブ(VHD)である可能性があります。

関連:WindowsでBitLockerを使用して暗号化されたコンテナーファイルを作成する方法

違いは主に意味論的です。他の暗号化製品では、通常、暗号化されたコンテナーを作成し、それを使用する必要があるときにWindowsのドライブとしてマウントします。BitLockerを使用して、仮想ハードドライブを作成し、それを暗号化します。たとえば、既存のシステムやストレージドライブを暗号化するのではなく、コンテナーを使用する場合は、BitLockerを使用して暗号化されたコンテナーファイルを作成するためのガイドを確認してください。

この記事では、既存の物理ドライブでBitLockerを有効にすることに集中します。

BitLockerでドライブを暗号化する方法

関連:トラステッドプラットフォームモジュール(TPM)なしでBitLockerを使用する方法

ドライブにBitLockerを使用するには、ドライブを有効にし、ロック解除方法(パスワード、PINなど)を選択してから、他のいくつかのオプションを設定するだけです。ただし、その前に、システムドライブでBitLockerのフルディスク暗号化を使用するには、通常、PCのマザーボードにトラステッドプラットフォームモジュール(TPM)を備えたコンピューターが必要であることを知っておく必要があります。このチップは、BitLockerが使用する暗号化キーを生成して保存します。PCにTPMがない場合は、グループポリシーを使用して、TPMなしでBitLockerを使用できるようにすることができます。安全性は少し劣りますが、暗号化をまったく使用しないよりも安全です。

非システムドライブまたはリムーバブルドライブは、TPMを使用せずに、グループポリシー設定を有効にすることなく暗号化できます。

その点で、有効にできるBitLockerドライブ暗号化には2つのタイプがあることも知っておく必要があります。

  • BitLockerドライブ暗号化BitLockerと呼ばれることもある、これはドライブ全体を暗号化する「フルディスク暗号化」機能です。PCが起動すると、Windowsブートローダーがシステム予約済みパーティションからロードされ、ブートローダーがパスワードなどのロック解除方法の入力を求めます。次に、BitLockerはドライブを復号化し、Windowsを読み込みます。それ以外の場合、暗号化は透過的です。ファイルは暗号化されていないシステムで通常表示されるように見えますが、暗号化された形式でディスクに保存されます。システムドライブ以外のドライブを暗号化することもできます。
  • BitLocker To GoBitLocker To Goを使用して、USBフラッシュドライブや外付けハードドライブなどの外部ドライブを暗号化できます。ドライブをコンピュータに接続すると、ロック解除方法(パスワードなど)の入力を求められます。ロック解除方法がない場合、ドライブ上のファイルにアクセスできません。

Windows 7から10では、自分で選択することを心配する必要はありません。Windowsはバックグラウンドで処理を行い、BitLockerを有効にするために使用するインターフェイスは同じように見えます。Windows XPまたはVistaで暗号化されたドライブのロックを解除すると、BitLocker to Goのブランドが表示されるので、少なくともそれについて知っておく必要があると考えました。

それでは、これが実際にどのように機能するかを見ていきましょう。

ステップ1:ドライブのBitLockerを有効にする

ドライブに対してBitLockerを有効にする最も簡単な方法は、ファイルエクスプローラーウィンドウでドライブを右クリックし、[BitLockerをオンにする]コマンドを選択することです。コンテキストメニューにこのオプションが表示されない場合は、WindowsのProまたはEnterpriseエディションがない可能性があり、別の暗号化ソリューションを探す必要があります。

とても簡単です。ポップアップするウィザードは、いくつかのオプションを選択する手順を示します。これらのオプションは、次のセクションに分かれています。

ステップ2:ロック解除方法を選択する

「BitLockerドライブ暗号化」ウィザードに表示される最初の画面では、ドライブのロックを解除する方法を選択できます。ドライブのロックを解除するには、いくつかの異なる方法を選択できます。

TPMがインストールされていないコンピューターでシステムドライブを暗号化する場合 は、パスワードまたはキーとして機能するUSB​​ドライブを使用してドライブのロックを解除できます。ロック解除方法を選択し、その方法の指示に従います(パスワードを入力するか、USBドライブを接続します)。

関連:Windowsで起動前のBitLockerPINを有効にする方法

お使いのコンピュータが場合はないTPMを持って、あなたのシステムドライブのロックを解除するための追加オプションが表示されます。たとえば、起動時に自動ロック解除を構成できます(コンピューターがTPMから暗号化キーを取得し、ドライブを自動的に復号化します)。パスワードの代わりにPINを使用したり、指紋などの生体認証オプションを選択したりすることもできます。

非システムドライブまたはリムーバブルドライブを暗号化する場合、2つのオプションのみが表示されます(TPMがあるかどうかに関係なく)。パスワードまたはスマートカード(あるいはその両方)を使用してドライブのロックを解除できます。

ステップ3:リカバリキーをバックアップする

BitLockerは、パスワードを忘れた場合や、TPMを搭載したPCが故障して別のシステムからドライブにアクセスする必要がある場合など、メインキーを紛失した場合に暗号化ファイルにアクセスするために使用できる回復キーを提供します。

キーをMicrosoftアカウント、USBドライブ、ファイルに保存したり、印刷したりすることもできます。これらのオプションは、システムドライブと非システムドライブのどちらを暗号化する場合でも同じです。

回復キーをMicrosoftアカウントにバックアップする場合は、後で//onedrive.live.com/recoverykeyでキーにアクセスできます。別の回復方法を使用する場合は、このキーを安全に保管してください。誰かがアクセスできると、ドライブが復号化され、暗号化がバイパスされる可能性があります。

必要に応じて、リカバリキーを複数の方法でバックアップすることもできます。使用する各オプションを順番にクリックして、指示に従ってください。リカバリキーの保存が完了したら、[次へ]をクリックして次に進みます。

:USBまたはその他のリムーバブルドライブを暗号化する場合、リカバリキーをUSBドライブに保存するオプションはありません。他の3つのオプションのいずれかを使用できます。

ステップ4:ドライブを暗号化してロック解除する

BitLockerは、新しいファイルを追加すると自動的に暗号化しますが、現在ドライブ上にあるファイルで何が起こるかを選択する必要があります。空き領域を含むドライブ全体を暗号化することも、使用済みのディスクファイルを暗号化するだけでプロセスを高速化することもできます。これらのオプションは、システムドライブと非システムドライブのどちらを暗号化する場合でも同じです。

関連:削除されたファイルを回復する方法:究極のガイド

新しいPCでBitLockerをセットアップする場合は、使用済みのディスク領域のみを暗号化します。これははるかに高速です。しばらく使用しているPCでBitLockerを設定している場合は、ドライブ全体を暗号化して、削除されたファイルをだれも回復できないようにする必要があります。

選択したら、「次へ」ボタンをクリックします。

ステップ5:暗号化モードを選択する(Windows 10のみ)

Windows 10を使用している場合は、暗号化方法を選択できる追加の画面が表示されます。Windows 7または8を使用している場合は、次の手順に進んでください。

Windows 10では、XTS-AESという名前の新しい暗号化方式が導入されました。これにより、Windows 7および8で使用されるAESよりも整合性とパフォーマンスが向上します。暗号化するドライブがWindows10 PCでのみ使用されることがわかっている場合は、先に進んで[新しい暗号化モード]オプションを選択してください。ある時点で古いバージョンのWindowsでドライブを使用する必要があると思われる場合(リムーバブルドライブの場合は特に重要)、[互換モード]オプションを選択します。

どちらのオプションを選択しても(システムドライブと非システムドライブで同じです)、完了したら[次へ]ボタンをクリックし、次の画面で[暗号化の開始]ボタンをクリックします。

ステップ6:仕上げ

暗号化プロセスには、ドライブのサイズ、暗号化するデータの量、および空き領域の暗号化を選択したかどうかに応じて、数秒から数分、またはそれ以上かかる場合があります。

システムドライブを暗号化する場合は、BitLockerシステムチェックを実行してシステムを再起動するように求められます。オプションが選択されていることを確認し、[続行]ボタンをクリックして、要求されたらPCを再起動します。PCが初めて起動した後、Windowsはドライブを暗号化します。

システム以外のドライブまたはリムーバブルドライブを暗号化する場合、Windowsを再起動する必要はなく、暗号化がすぐに開始されます。

暗号化するドライブの種類に関係なく、システムトレイのBitLockerドライブ暗号化アイコンで進行状況を確認できます。ドライブが暗号化されている間もコンピューターの使用を継続できます。パフォーマンスが低下します。

ドライブのロックを解除する

システムドライブが暗号化されている場合、ロックを解除する方法は、選択した方法(および、PCにTPMがあるかどうか)によって異なります。TPMがあり、ドライブのロックを自動的に解除することを選択した場合、何も変わったことに気付くことはありません。いつものようにWindowsを直接起動するだけです。別のロック解除方法を選択した場合、Windowsはドライブのロックを解除するように要求します(パスワードの入力、USBドライブの接続など)。

関連:BitLockerで暗号化されたドライブからファイルを回復する方法

また、ロック解除方法を紛失した(または忘れた)場合は、プロンプト画面で[エスケープ]を押して回復キーを入力します。

システム以外のドライブまたはリムーバブルドライブを暗号化した場合、Windowsの起動後に最初にアクセスしたとき(またはリムーバブルドライブの場合はPCに接続したとき)に、ドライブのロックを解除するように求められます。パスワードを入力するか、スマートカードを挿入すると、ドライブを使用できるようにロックが解除されます。

エクスプローラーでは、暗号化されたドライブのアイコン(左側)に金色の鍵が表示されます。ドライブのロックを解除すると(右側)、そのロックが灰色に変わり、ロックが解除されたように見えます。

ロックされたドライブを管理する(パスワードを変更する、BitLockerをオフにする、回復キーをバックアップする、またはその他のアクションを実行する)ことが、BitLockerコントロールパネルウィンドウから実行できます。暗号化されたドライブを右クリックし、[BitLockerの管理]を選択してそのページに直接移動します。

すべての暗号化と同様に、BitLockerはオーバーヘッドを追加します。 Microsoftの公式BitLockerFAQには、「通常、1桁のパーセンテージのパフォーマンスオーバーヘッドが課せられます」と書かれています。ビジネスドキュメントでいっぱいのラップトップなど、機密データがあるために暗号化が重要な場合、強化されたセキュリティはパフォーマンスのトレードオフに見合う価値があります。