Windowsノートパソコンを修理　「マザーボード」を交換する前に必ずやっておきたいこと

　2023年8月、筆者が愛用しているノートPC「ThinkPad X13 Gen 3」を訪問修理サービスを使って修理した。

【その他の画像】

　修理の原因はThunderbolt 4（USB4）端子の不調で、マザーボード（メインボード）をまるごと交換することで問題は解消。順調に運用を続けてきた。

　ところが2024年10月、この愛機に再びのトラブルが襲う。突然電源が切れるようになってしまったのだ。症状は異なるものの、おそらく今回も原因はマザーボード。今回も訪問修理を依頼した……のだが、修理前に前回とは異なる“課題”を抱えることになった。最悪、あらゆるデータの消失も避けられなかったのだが、事前に“対策”をしていたことを思い出し、事なきを得た。

　そこで今回、マザーボード交換を伴う故障に備えて、Windows PC（特にメーカー製）において備えておくべきことを記しておこうと思う。

●メーカー製Windows PCは「暗号化」されている

　今回抱えた課題は、ずばりPCの「暗号化」だ。

　Windows 11のPro／Enterprise／Educationエディションでは、OS標準で「BitLocker」によるストレージ暗号化を利用できる。特に持ち運ぶ機会の多いノートPCやポータブルストレージの場合、BitLockerを利用することでストレージが盗難された際にデータを盗み取られるリスクを軽減できる。

　一方で、同じWindows 11でもHomeエディションではBitLockerを利用できない……のだが、代わりに一定の要件を満たしたデバイスにおいて「デバイスの暗号化」を利用できる。これはOSの起動に使うストレージや固定ストレージに対してBitLocker暗号化を行う機能で、以下の要件を“全て”満たすと利用可能だ。

・PCにTPM（またはMicrosoft Plutonプロセッサ）が搭載されており、有効化されている

・UEFI（BIOS）で「セキュアブート」が有効である

・内蔵ストレージに「Windows RE（Recovery Environment）」用領域がある

・「Microsoftアカウント」または「Azure Active Directory（Azure AD）アカウントでログイン」でサインイン（ログイン）している（※1）

（※1）プリインストールPCを除く（詳細は後述）

　こう聞くと「Homeエディション以外のBitLockerと何が違うのか？」という話となるのだが、デバイスの暗号化ではPC本体外にあるストレージの暗号化（BitLocker To Go）を行えない。また、内蔵ストレージは原則として一律で暗号化されるので、個別のストレージの暗号化が行えない。

　自分のPCでデバイスの暗号化が利用できるかどうかは、以下のいずれかの手順で確認できる。

・「設定」で確認する方法

・「設定」を開く

・「プライバシーとセキュリティ」を開く

・「デバイスの暗号化」を開く

・「デバイスの暗号化」のオン／オフスイッチを操作できる状態か確認する

・「システム情報」アプリ（msinfo32.exe）で確認する方法

・システム情報を管理者として実行する

・「自動デバイスの暗号化サポート」が「前提条件を満たしています」となっているか確認する

　話が少しそれてしまったが、Windows 10／11をプリインストールするPCは、デバイスの暗号化が標準で有効化される。暗号化は初期セットアップが完了したタイミングで開始され、MicrosoftアカウントまたはAzure ADアカウントでログインすると保護が自動で有効になる。一方、初期セットアップをローカルアカウントで行った場合は「保護の一時中断」状態となり、当該ローカルアカウントをMicrosoftアカウント／Azure ADアカウントとひも付けた段階で「保護の再開」（≒暗号化）が行われる。

　メーカー製Windows PCを使っている場合、この仕組みに注意が必要だ。

●マザーボード交換時は暗号化を解除すべき　ところが……

　BitLockerまたはデバイスの暗号化で暗号化されたストレージは、基本的にPCのTPM／Plutonプロセッサに保存された「暗号キー」を使って自動的に復号される。一方、何らかの理由で暗号キーを見つけられない（消失した）場合は「回復キー」を入力することで読み書きできるようになる。

　繰り返しとなるが、暗号キーはTPM／Plutonプロセッサに保存される。TPM／Plutonプロセッサの交換を伴う修理を行うと、暗号キーは当然“からっぽ”なので、回復キーの入力を求められる。

　ノートPCの場合、TPMはCPUに統合されているか独立チップとしてマザーボード上に実装されており、PlutonプロセッサはCPUに統合されている。CPUにしても独立TPMにしても、マザーボードに直付けされているため、マザーボードの交換はすべからくTPM／Plutonプロセッサの交換を意味する。

　マザーボードの交換修理をする際に、以前使っていた暗号化ストレージ（SSD／HDD）をそのまま付けると起動時に「回復キー」を入力するように求められる。こうなることを回避すべく、メーカーは修理依頼を受け付ける際に「ストレージの暗号化を解除（停止）してから送付してください」と案内している。暗号化の解除手順は以下の通りだ。

・デバイスの暗号化をしている場合

・「設定」を開く

・「プライバシーとセキュリティ」を開く

・「デバイスの暗号化」を開く

・「デバイスの暗号化」のスイッチをオフにする

・警告が出たら「オフにする」をタップ

・しばらく待つ

・BitLockerで暗号化している場合（Home以外ではこちらも可）

・「エクスプローラー」を開く

・暗号化されたストレージを選んで右クリック（またはアプリケーションキーを押す）

・「BitLockerの管理」をクリック

・「BitLockerを無効にする」をクリック

・警告が出たら「BitLockerを無効にする」をクリック

・しばらく待つ

　暗号化の解除にかかる時間は、ストレージの種類や使用済み容量によって異なるが、SSDの場合は30分あれば終わる。

　筆者が前回ThinkPad X13 Gen 3を修理に出した際は、Thunderbolt 4端子が不調なだけだったので、修理を行う前に問題なくSSDの暗号化を解除できた。

　しかし今回はPCの電源が入らないため、“自力”ではSSDの暗号化を解除できない。そのため、取れる選択肢は以下のいずれかとなる。

・マザーボード交換後にBitLockerの「回復キー」を入力して起動する

・マザーボード交換前にSSDを取り出して、別のPCを使って暗号化を解除する

・SSDのデータを諦めて、マザーボード交換後にWindowsを再インストールする（最後の手段）

　この3択から対策を検討した際に、ふと思い出してしまった。「あれ、このThinkPadのSSDの回復キーってバックアップ取ってあったっけ、と……。

●「回復キー」は気付かぬうちに保存　心当たりがなければ手動ですぐに!

　BitLocker／デバイスの暗号化の暗号キーが消失した場合に使う「回復キー」だが、通常は暗号化を実施する際にバックアップを促される。バックアップの方法は以下のいずれかだ。

・Microsoftアカウント／Azure ADアカウントに保存

・テキストファイルとして保存

・印刷して保存

　デバイスの暗号化を利用できるPCで本機能を利用する場合、通常はMicrosoftアカウント／Azure ADアカウントに暗号化キーが自動バックアップされている。そのため、以下のWebサイトにアクセスしてMicrosoftアカウント／Azure ADアカウントでログインすれば確認可能だ。

　BitLockerで個別にストレージの暗号化を行った場合、あるいはデバイスの暗号化に対応するPCでローカルアカウントを利用している場合（後からMicrosoftアカウント／Azure ADアカウントとひも付けた場合を含む）で、回復キーをバックアップしたかどうか覚えていない場合は以下の手順で今すぐに回復キーを保管しよう。筆者としてはMicrosoftアカウント／Azure ADアカウントへの保存をお勧めしたい。

・「デバイスの暗号化」に対応するPCの場合

・「設定」を開く

・「プライバシーとセキュリティ」を開く

・「デバイスの暗号化」を開く

・「BitLockerドライブ暗号化」をクリック

・新しいウィンドウの「回復キーのバックアップ」をクリック

・保存先を選ぶ（※2）

・BitLockerで個別に暗号化したストレージの場合（Home以外ではこちらも可）

・「エクスプローラー」を開く

・暗号化されたストレージを選んで右クリック（またはアプリケーションキーを押す）

・「BitLockerの管理」をクリック

・「回復キーのバックアップ」をクリック

・保存先を選ぶ（※2）

（※2）Microsoftアカウント／Azure ADアカウントに保存する場合は、状況によってログインを求められることがある。ファイルに保存する場合は、保存先は対象のドライブ“以外”のストレージを指定する

●他のPCから暗号化を解除する方法

　電源が入らなくなってしまった、筆者のThinkPad X13 Gen 3。当然、この状態でSSDの暗号化を解除することはできない。どうするかを検討した結果、今回は他のPCを使ってSSDの暗号化を解除した上で修理に臨むことにした。

　ThinkPad X13 Gen 3で使っているSSDは、よくあるType2280（幅22mm×長さ80mm）のPCI Express 4.0（NVMe）接続のM.2 SSDだ。手持ちのデスクトップPCの空きM.2スロットに差し込むことも考えたが、ケースを開けたり閉めたりが面倒だったので、今回は手持ちのUSB 3.2 Gen 2（USB 10Gbps）接続のNVMe対応M.2 SSDケースを使うことにした。

　SSDをケースに収め、手持ちのWindows PCにつなぐと「暗号化されていてアクセスできない」旨の通知が表示される。それをクリックすると、回復キーを入力するダイアログボックスが出る。そこに事前にバックアップした48桁のキーを入力すれば、ひとまずアクセスできるようになる。この通知を見逃してしまった場合は、エクスプローラーでマウントされたストレージをダブルクリックすればダイアログボックスを表示可能だ。

　なお、Microsoftアカウント／Azure ADアカウントに回復キーをバックアップしている場合、複数の回復キーが存在するケースもある。ダイアログボックスに表示されている「キーID」を使えば、どの回復キーを使えばいいのかすぐに探せる。

　ストレージの中身が認識されたら、暗号化の解除に入る。手順は以下の通りだ。

1. 「エクスプローラー」を開く

2. 暗号化された外付けストレージを選んで右クリック（またはアプリケーションキーを押す）

3. 「BitLockerの管理」をクリック

4. 「リムーバブルデータドライブ」の項目にある外付けストレージの「BitLockerを無効にする」をクリック

5. 警告が出たら「BitLockerを無効にする」をクリック

6. しばらく待つ

　これで、修理を行う準備ができた。マザーボードの交換後、このSSDを戻してWindowsを起動し、再度暗号化すれば“元通り”だ。

　なお、再度暗号化する際は、新しい回復キーが発行される。そのため、改めてバックアップを取る必要があるので注意しよう。

　PCの電源が突然入らなくなった場合に備えて、BitLocker／デバイスの暗号化の回復キーはしっかり記録しておくことに超したことはない――改めてそう思った次第である。