PerfectWatch for BitLocker マニュアル

テレワークなどでPCを持ち歩く機会が増えている中、保存されているデータのセキュリティ対策が心配になるケースが多いかと思います。 ここでは、Windows 10で、BitLockerを有効にしてストレージ(ドライブ)を暗号化する手順をご紹介します。

BitLockerとは

BitLockerはWindows10に搭載されている機能で現在使用中のストレージのデータを初期化することなく暗号化可能となっており、導入が容易でセキュリティを強化できるのが特徴です。
内蔵ディスク向けの「BitLocker」とUSBメモリ等のリムーバブルディスク用の「BitLocker To Go」の2種類があります。

BitLockerを使用するためには以下の二つの条件が必要になります。

①対応OS
Windows 10 Pro、Windows10 Enterprise、Windows 10 Education

②TPM(Trusted Platform Module)を搭載
現行で販売されているものはCPU内蔵の機能でTPMに対応しており、インテルでいえば6000番台以降、AMDでいえばRyzen世代以降であればCPU内蔵のTPM機能を使用することができます。
これ以前のものは、追加でTPMモジュールが必要になる場合が多いため、あらかじめ搭載しているかをご確認ください。

なお、BitLockerは強固なセキュリティを実現する反面、ロック解除用のパスワードや回復キーをすべて紛失してしまったり、TPMを実装しているマザーボードやCPUの交換、BIOS更新、BIOS初期化などを行うとデータにアクセスできなくなるといった事態が起こりえます。
また、暗号化されたストレージは中身が確認できない状態でもフォーマットは可能なため、データ消去を防止する目的では利用できない、といった点にもご注意の上、ご利用頂けばと思います。

それでは手順を紹介していきたいとおもいます。
動作確認をおこなったWindows 10のバージョンは1903です。

BitLockerでシステムドライブを暗号化する手順

1.検索窓に「BitLocker の管理」と入力し、BitLockerの管理画面を開きます。

設定作業は管理者権限アカウントで行います。必ずWindows10のログインパスワードを設定した上でご利用ください。

検索窓にBitLockerの管理と入力し、BitLockerの管理メニューを表示します。(エクスプローラー上でローカルディスク(C)を直接右クリックでも構いません。)

2.BitLockerの管理画面で「BitLockerを有効にする」を選択します。

BitLockerの管理画面が開いたCドライブの「BitLockerを有効にする」をクリックします。

3.回復キーのバックアップ方法を指定します。

回復キーのバックアップ方法を指定します。回復キーはBitLockerで暗号化されたストレージのロック解除時に問題が発生した際に、ストレージにアクセスするための緊急用のパスワードの役目を持っています。

BitLockerは周辺機器の着脱などもハードウェアの変更として検出して、起動時にロックをかける場合があります。
ロック解除にはこの回復キーの入力が必要になりますのでいざという時のために確認できるようにしておきます。

Microsoftアカウントに紐づけされたアカウントであれば、「Microsoftアカウントに保存」でオンラインストレージにOneDriveに保存することができます。
「ファイルに保存する」はテキストファイルへの出力が可能ですが、暗号化するドライブ上には出力できませんので他のストレージ保存先に指定する必要があります。
印刷して手元で管理するのも確実な手段です。複数の方法を選択可能ですので運用方法に合わせて回復キーを保存してください。
回復キーを保存したら次に進みます。

回復キーの見本です。48桁の数字を入力することになります。

4.ドライブを暗号化する範囲を指定します。

ドライブを暗号化する範囲を指定します。
「使用済みの領域のみ暗号化する」は暗号化にかかる時間が短くて済みます。購入したばかりのパソコンの場合におすすめです。
暗号化完了以後は追加されるファイルは自動的に暗号化されます。
既に使用中のパソコンの場合は「ドライブ全体を暗号化する」を選択すると全てのデータが暗号化されますので安心です。
いずれの設定でもストレージが初期化されてデータが消失するようなことはありません。

暗号化の範囲を選択したら次に進みます。

5.使用する暗号化モードを指定します。

暗号化モードを選びます。Windows 10は新しい暗号化モードに対応してますのでこちらを選びます。

6.BitLockerシステムチェックを実行するにチェックをいれて設定を終えます。

「BitLockerシステムチェックを実行する」にチェックをいれ「続行」を選択します。
選択後は再起動の保留状態となります。

7.パソコンを再起動すると暗号化が開始されます

再起動すると正常に回復キーと暗号化キーが読み取れることを確認してからドライブの暗号化が始まります。
暗号化する範囲と容量により時間は変動します。作業をしながらでも暗号化は進行します。

暗号化が完了するとこのようにBitLockerが有効です、と表示されます。
アイコンに鍵のマークが表示されるようになります。仮に暗号化されたドライブを他のパソコンに接続しても中身を確認することは非常に困難になります。

8.BitLockerの解除は「BitLockerを無効にする」を選択する

暗号化を解除したい場合はBitLockerの管理画面にて「BitLockerを無効にする」を選択します。
暗号化時と同様に解除の処理が始まりますので完了まで待ちます。作業を止めなくても処理は平行して行われます。

マザーボードの交換やBIOS更新、初期化、CPUの交換など、TPM情報の更新・初期化が伴う作業を行う場合はTPMとドライブの整合性が失われデータの読み出しができなくなる恐れがあります。
そういった作業の前にはBitLockerの保護を「中断」し作業終了後に「再開」をすることで再度、暗号化が有効になります。

BIOS更新等が完了したら、改めてBitLockerを「再開」することで再度暗号化が行われます。

BitLocker to GoでUSBメモリを暗号化する手順

BitLocker To Goでは外付けのストレージも暗号化することが可能です。
USBメモリを暗号化していく手順をご紹介させて頂きます。

1.暗号化したいドライブを右クリックし「BitLockerを有効にする」を選択します。

USBメモリに対しては暗号化したいドライブを右クリックし「BitLockerを有効にする」を選択します。
システムドライブ同様に検索窓に「BitLocker の管理」と入力し、BitLockerの管理画面から暗号化したいドライブをクリックする方法でも実行することが可能です。

BitLockerの起動画面が表示されます。初期化中と表示されますが、USBメモリのデータが消去されるわけではありませんのでご安心ください。

2.ドライブのロック解除方法を選択する

ドライブのロック解除方法を選択します。
スマートカード(ICカード)とカードリーダーを指定することも可能ですが専用のハードウェアが必要になります。
今回はパスワード入力をロック解除方法に設定します。暗号化完了後はドライブにアクセスする際、こちらで設定したパスワードの入力が必要になります。

3.回復キーのバックアップ方法を指定します。

パスワードやスマートキーを紛失した時にドライブにアクセスするための回復キーの保存方法を選択します。
緊急時に備えすぐに確認できるようにしておくと安心です。回復キーを保存したら次に進みます。

4.ドライブを暗号化する範囲を指定します。

ドライブを暗号化する範囲の指定となります。
新品、フォーマット済みのものであれば使用済みの領域を、すでに使用中のものであればドライブ全体を暗号化する、を選択します。

5.使用する暗号化モードを指定します。

使用する暗号化モードを選択します。Windows 10のみで使用する予定がないのであれば新しい暗号化モードを、Windows 10以前のOSでも使用予定があるのであれば互換モードを選択します。

6.暗号化を開始します。

暗号化開始の確認画面が表示されますので「暗号化の開始」を選択します。

暗号化が完了すると鍵のマークがドライブに表示されるようになります。

暗号化されたUSBメモリを挿入するとパスワードを入力しないとアクセスできないようになります。
パスワードを入力してロックを解除することはWindows10 Homeでも可能です。

暗号化自体を無効にしたい場合はBitLockerの管理画面から「BitLockerを無効にする」を選択します。
暗号化しているストレージの容量により無効化にかかる時間は変動します。

BitLockerで情報漏洩のリスクを減らす

以上、BitLockerを有効にしてストレージを暗号化する方法をご紹介させて頂きました。情報漏洩のリスクを減らす手段としてお役立て頂ければ幸いです。

BitLockerのドライブロック解除方法は？

BitLockerのロック条件は？

ビットロッカーのリスクは？

BitLockerの権限は？