ストレージ全体を暗号化してデータを守る機能「BitLocker」は、一部の「Windows」エディションで利用可能な標準保護機能だ。PC紛失や盗難などのリスクに備えたデータ保護を実現する一方、その暗号化を解除するための鍵を適切に管理しておかないと、PCにサインインできなくなってしまう恐れがある。基本的なBitLockerの使い方や管理方法を取り上げる。
●「BitLocker」の使用方法
一部のWindowsでは、BitLockerが初期設定で有効になっている。有効にするには、まずタスクバーにある検索ボックスで「BitLocker」と検索し、「BitLockerの管理」を選択する。すると「コントロールパネル」のBitLocker管理画面が開く。BitLockerが利用可能ならば、「BitLockerを有効にする」のオプションが表示される。有効化すると、「保護の中断」「回復キーのバックアップ」「BitLockerを無効にする」といった選択肢が利用できるようになる。これらのオプションを通じて、ドライブの暗号化や解除、設定変更、BitLockerの無効化が可能だ。
・暗号化の開始
|
|
|
|
BitLockerを有効にするオプションを選択すると、Windowsはシステム設定の確認を開始する。エンドユーザーは回復キーの保存方法を選択した後、暗号化する範囲を指定する。「使用済みの領域のみを暗号化する」と「ドライブ全体を暗号化する」の2つの選択肢がある。
・使用済みの領域のみ暗号化する
・データが存在する領域のみを暗号化する。
・ドライブ全体を暗号化する
・空き領域を含むストレージ全体を暗号化する。
|
|
|
|
暗号化を開始する前に、「BitLockerシステムチェックを実行する」を選択して、回復キーが利用可能かどうかを確認しておくとよい。
BitLockerによる暗号化の設定が完了すると、PCが再起動してドライブの暗号化が始まる。MicrosoftのID・アクセス管理システム「Active Directory」(AD)で特定のポリシーを設定している場合、エンドユーザーがPCにサインインし、そのPCがADのドメイン(管理範囲)に登録されてから、保護機能が完全に有効になる。
・暗号化の解除
BitLockerが有効なPCでは、PCを起動するときや暗号化されたストレージを使うときに回復キーの入力が必要になる場合がある。回復キーは通常、エンドユーザーのMicrosoftアカウントに保存されている。
回復キーを紛失した場合、Windowsを再インストールしなければならないことがあるため、事前に回復キーをバックアップしておくことが重要だ。回復キーは以下の場所に保存できる。
|
|
|
|
・エンドユーザーのMicrosoftアカウント
・他のデバイスからMicrosoftアカウントにサインインして、回復キーを確認できる。
・USBメモリ
・スタートアップキー(BitLockerで暗号化されたPCを起動するための鍵)を保存したUSBメモリをPCに接続することで、ロックを解除できる。
・回復キーをテキストファイルとして保存し、別のPCで確認することも可能だ。
・エンドユーザーの「Microsoft Entra ID」アカウント
・Microsoft Entra IDはクラウドサービス版のAD。
・PCが関連付けられているMicrosoft Entra IDアカウントに、回復キーが登録されている場合がある。
・システム管理者のPC
・PCがADのドメインに参加している場合、システム管理者が回復キーを保持している可能性がある。
・紙のメモや印刷物
・回復キーを印刷または手書きで保存しておく。
・手動設定
BitLockerを手動で設定することも可能だ。手動設定は、特定のデバイスやエンドユーザーに対するセキュリティ要件に応じてBitLockerの動作をカスタマイズするために実施する。基本的な手順は以下の通りだ。
1. 「設定」「システム」「ストレージ」と進む。
2. 「ストレージの詳細設定」「ディスクとボリューム」と進む。
3. 暗号化したい領域があるストレージの「プロパティ」をクリックする。
4. 「BitLockerを有効にする」をクリックする。
5. 回復キーをMicrosoftアカウントに保存する。
6. 暗号化の範囲などの設定を指定し、BitLockerシステムチェックを実行するをクリックする。
・無効化
BitLockerを無効にするには、タスクバーの検索ボックスからBitLocker管理画面を開き、「BitLockerを無効にする」をクリックする。確認画面で承認すると、ストレージの復号を開始する。
●システム要件
BitLockerを利用するためのシステム要件は以下の通りだ。
・BIOSもしくはUEFIが、USBメモリのための通信プロトコル「USB Mass Storage Class」(USB MSC)を扱えること
・ストレージには2つ以上のパーティションが必要。
・BIOSを使用する場合、ストレージがファイルシステム「NTFS」(New Technology File System)でフォーマットされていること
・UEFIを使用する場合、ストレージがファイルシステム「FAT 32」(File Allocation Table 32)でフォーマットされていること
●制限事項
BitLockerには以下の制限が存在する。
・最適な使用には、ハードウェアベースの暗号化を提供するセキュリティモジュールの規格「TPM」(Trusted Platform Module)のバージョン「1.2」以降に準拠したチップを搭載している必要がある
・TPM準拠チップを搭載する場合、OSの安全な起動のために、BitLockerは以下のどちらかに準拠したファームウェアを必要とする。
・標準化団体TCG(Trusted Computing Group) の仕様に準拠したBIOS(Basic Input/Output System)
・ハードウェアを制御するプログラムの規格「UEFI」(Unified Extensible Firmware Interface)
・TPM準拠チップを搭載しないPCでもBitLockerは使用可能だが、スタートアップキーを格納するためのリムーバブルメディアが必要であり、PC起動時の整合性検証の質が下がる。
・回復キーの管理が重要
・エンドユーザーが回復キーの重要性を理解していない場合、誤って回復キーを削除してしまう可能性がある。
・PCが物理的に故障した際には、回復キーが失われるリスクがある。
・保護範囲の限界
・BitLockerが保護できるのは、基本的にインストールされたPCのストレージのみだ。PC内のデータやアプリケーションの暗号化は可能だが、インターネットや社内LAN経由で侵入するマルウェアなど、外部からの攻撃には効果が薄い。
・暗号化による演算能力への影響
・BitLockerの暗号化処理はコンピューティングリソースを消費するため、PCの動作が遅くなる可能性がある。
本記事は米国Informa TechTargetの記事「What is BitLocker?」を翻訳・編集したものです。一部、翻訳作業に生成AIを活用しています。
IT・インターネット
