2025.1.10
BitLockerの設定方法・活用方法とメリット・デメリット
企業、自治体、学校など多くの個人情報や機密情報を扱う機関では、情報管理が特に重要です。PCやストレージの紛失、盗難の際に情報流出を防ぐ有効な方法の一つがデータの暗号化です。Windows 11/10のPro、Enterprise、Educationエディションでは「BitLocker」という暗号化機能を使って、比較的容易に情報管理を強化することができます。このページでは、BitLockerとはどういう機能なのか、その概要、メリットとリスク、設定方法、解除方法、使用時の注意点など、BitLocker運用に必要な情報をご紹介します。
1. BitLockerの概要
BitLockerは、Windows 11/10のPro・Enterprise・Educationエディションに搭載されているディスク暗号化機能です。PC、外付けHDD/SSD、USBメモリーなどに保存されたデータを暗号化することで、第三者による不正アクセスを防止し、PCやストレージの紛失、盗難などによる情報流出を防ぐことができます
2. BitLockerのメリットとリスク
BitLockerには多くの優れた特長がありますが、一方で注意すべき点もあります。以下のメリットとリスクを十分理解した上で運用されることをおすすめします。
2-1. BitLockerの特長(メリット)
①OS標準搭載
BitLockerはWindows 11/10のPro・Enterprise・Educationエディションに標準搭載されています。新たにソフトウェアをインストールする手間や追加の費用が発生しません。
②フルディスク暗号化
BitLockerを実行すると、ディスク全体または指定したボリューム全体が暗号化され、限られたユーザーしかアクセスできなくなります。
③外付けデバイスの暗号化
BitLockerは外付けHDDやSSD、USBメモリーなどの外付けデバイスの暗号化にも対応しています。
④複数のロック解除方法
BitLockerはPIN、パスワード、USBキー、生体認証、ネットワーク認証など、様々な認証方法に対応しています。使用環境や用途に合わせて、使いやすい方法でロック解除を行うように設定できます。
⑤TPMとの連携
BitLockerはPCの基板上に搭載されているセキュリティチップ「TPM(Trusted Platform Module)」に暗号化キー情報を格納しておくことができます。この機能を利用することで、BitLockerを実行したPCでしかロック解除ができなくなるため、万が一内蔵HDD/SSDが第三者に渡った場合にもデータを守ることができます。
⑥USBキー管理
TPM非搭載のPCでは、BitLockerの暗号化キーをUSBデバイスに保存して管理することもできます。USBデバイスがない状態ではロック解除ができないため、より強力にデータを保護できます。
⑦シームレス暗号化
BitLockerは暗号化をバックグラウンドでシームレスに実行します。ユーザーは暗号化が実行されていることを意識することなく、通常通りに作業を行えます。
⑧回復キーによる復元
パスワードの紛失やTPMの故障などによりBitLockerのロック解除ができなくなった場合には、回復キー(48桁の数字)によってロックを解除することができます。回復キーは、BitLockerを有効化する際に、MicrosoftアカウントやUSBメモリーなどの外部デバイスに保存されます。
⑨一括管理
複数のPCにBitLockerを適用する場合、Microsoft社が提供している「Active Directory」「Microsoft Intune」「configuration manager」などの管理ツールによる一括管理が可能です。BitLockerの管理ツールは他にも各社から提供されており、条件に合わせて選択できます。
2-2. BitLocker使用時の注意点(リスク)
①復元できなくなるリスク
BitLockerの暗号化キーや回復キーを紛失してしまうと、暗号化したデータを復元できなくなる可能性があります。回復キーはデータの保存だけでなく、印刷する、手書きでメモするなど、複数の方法で残しておくことをおすすめします。
また以下の作業を行った場合にもデータを復元できなくなる可能性があります。作業前に必ずBitLockerを無効化し、変更後に再度有効化するようにしましょう。
・システムの復元、初期化
・TPMを利用しているPCのハードウェア構成の変更(マザーボードの交換、BIOS/UEFIの更新等)
②PCの強制終了時のリスク
BitLockerによる暗号化の途中にPCを強制終了すると、データが破損し、PCを起動できなくなる可能性があります。BitLocker運用時はPCの強制終了を行わないよう注意するとともに、停電時に突然シャットダウンすることのないよう、UPSなどの対策を実施されることをおすすめします。
③システム更新時のリスク
BitLockerで暗号化されたPCは、Windows 10から11へのアップデートやWindowsアップデートなどの際に、更新に失敗する可能性があります。
④パフォーマンスの低下リスク
BitLockerはバックグラウンドで暗号化を実行するため、大量のデータを扱う場合などに動作に影響が出る可能性があります。BitLockerを適用する場合はできるだけ高性能なPC、高速なストレージを使用されることをおすすめします。
⑤無効化に時間がかかる場合がある
BitLockerを無効化すると、バックグラウンドで暗号化されたボリュームの復号化が行われます。復号化にかかる時間はストレージの容量等の条件によって異なりますが、場合によっては数時間から1日以上かかる可能性があります。
⑥外付けデバイスを暗号化すると他者と共有しづらくなる、PC間でのデータ移動が面倒になる
BitLockerで暗号化した外付けデバイスを他人と共有するためには、暗号化キーの共有や事前の無効化が必要になります。手軽に共有できなくなるため注意が必要です。
⑦データ復旧が難しくなる
BitLockerで暗号化したPCやストレージが故障した場合、暗号化していない場合と比べてデータ復旧が難しくなります。暗号化キーや回復キーがわからない場合はデータ復旧がさらに困難になりますので、暗号化キー、回復キーを失くさないようにご注意ください。
3. BitLockerを有効化する方法
BitLockerを有効化する方法、PINの設定方法、外付けデバイスを暗号化する方法は以下の通りです。
3-1. BitLockerを有効化する方法
①スタートボタン右側の検索ボックスに「BitLockerドライブ暗号化」と入力し、設定画面を開きます。
②「BitLockerを有効にする」をクリックします。
③回復キーのバックアップ方法を、表示されたリストから選んでクリックします。
バックアップが完了したら「次へ」をクリックします。
④ドライブを暗号化する範囲を選択して「次へ」をクリックします。
通常、未使用のPC、外付けデバイスでは「使用済みの領域のみ暗号化する」を、使用中のPC、外付けデバイスでは「ドライブ全体を暗号化する」を選択します。
⑤使用する暗号化モードを選択して「次へ」をクリックします。
通常、PCの内蔵HDD/SSDでは「新しい暗号化モード」を、外付けデバイスでは「互換モード」を選択します。
⑥「BitLockerシステムチェックを実行する」のチェックボックスをオンにして「続行」をクリックします。
⑦「今すぐ再起動する」をクリックします。
⑧再起動後、自動的に暗号化が始まります。「BitLockerドライブ暗号化」には「BitLockerが暗号中です」と表示されます。暗号化が完了すると「BitLockerが有効です」に表示が変わります。
(暗号化はバックグラウンドで実行されるため、実行中に別の作業を行うことができます。)
※暗号化の実行中には絶対にPCを強制終了しないでください。
暗号化を停止したい場合は、設定画面に表示されている「Bitclockerを無効にする」をクリックしてください。
3-2. BitLockerでPINを設定する方法
①スタートボタン右側の検索ボックスに「gpedit.msc」と入力し、「グループポリシーエディター」を開きます。
②コンピューターの構成>管理用テンプレート>Windowsコンポーネント>BitLockerドライブ暗号化>オペレーティングシステムのドライブを開き、以下の3項目を有効にします。
・スタートアップ時に追加の認証を要求する
・スレートでプリブート キーボードの入力が必要なBitLockerを使用する
・スタートアップの拡張PINを許可する
③「BitLockerドライブ暗号化」画面を開き、「スタートアップ時にドライブのロックを解除する方法の変更」をクリックします。
④「PINを入力する」をクリックします。
⑤4〜20桁の英字・数字・特殊文字を入力して、「PINの設定」をクリックします。
⑥次回以降、PCを起動する際にPINの入力が必要になります。
3-3. BitLockerで外付けデバイスを暗号化する方法
①暗号化したいUSBメモリーなどの外付けデバイスをPCに接続します。
②エクスプローラで暗号化したい外付けデバイスのドライブ名を右クリックして、「BitLockerを有効にする」を選びます。
③使用したいパスワードを入力して「次へ」をクリックします。
④回復キーの保存方法を、表示されたリストの中から選んでクリックします。
⑤暗号化する範囲を選択して「次へ」をクリックします。「使用済みの領域のみ暗号化する」または「ドライブ全体を暗号化する」を選択します。
⑥使用する暗号化モードを選択して「次へ」をクリックします。「新しい暗号化モード」または「互換モード」を選択します。
⑦暗号化が始まります。暗号化が完了したら外付けデバイスをPCから取り外します。
次回以降、PCに接続する際にパスワードの入力が必要になります。
BitLocker非対応のPCに接続する場合は、外付けデバイスに保存されている「BitLockerToGo.exe」を実行してパスワードを入力します。
※暗号化の実行中には絶対に外付けデバイスをPCから外さないでください。
暗号化を停止したい場合は、設定画面に表示されている「Bitclockerを無効にする」をクリックしてください。
4. BitLockerを無効化(解除)する方法
4-1. BitLockerを無効化(解除)する方法
①スタートボタン右側の検索ボックスに「BitLockerドライブ暗号化」と入力し、設定画面を開きます。
②「BitLockerを無効にする」をクリックします。
外付けデバイスの暗号化を解除したい場合は、該当するドライブの「BitLockerを無効にする」をクリックします。
③復号化(暗号化の解除)が始まります。復号化が完了すると「BitLockerが無効です」に表示が変わります。
※複合化の実行中には絶対にPCを強制終了しないでください。
5. BitLocker運用時の注意点
BitLockerを運用する際には以下の点に注意してください。
①暗号化キー、回復キーを正しく管理する
暗号化キー、回復キーは厳重に管理してください。紛失するとPCや外付けデバイスのアクセスが困難になります。また、暗号化キーや回復キーが第三者の手に渡ると、データが流出する可能性があります。
②暗号化、復号化中のシステムダウンを防止する
暗号化、復号化の途中でPCが強制終了すると、データが破損して回復できなくなる可能性があります。停電などによりPCが突然シャットダウンすることがないように、UPSなどの対策を実施することをおすすめします。
③スリープ状態で放置しない
起動時に暗号化キーで認証されたPCは、スリープから復帰する際に再認証する必要がありません。したがって、スリープ状態で放置することは大変危険です。PCから離れる時はスリープではなくシステムを終了するか、スリープ解除時にパスワードが必要な設定にしておきましょう。
6. 回復キーをなくした時の対処法
BitLockerの回復キーは、暗号化されたPCや外付けデバイスをロック解除するために必ず必要なアイテムです。回復キーをなくしたときには、以下の方法を試してみてください。
①Microsoftアカウントを確認する
BitLockerを有効化した際に、回復キーがMicrosoftアカウントに保存されている可能性があります。一度Microsoftのサイトに自分のアカウントでログインして、回復キーが保存されていないか確かめてみましょう。
②USBキーを探す
BitLockerを有効化した際に、USBキーを作成している可能性があります。所有しているUSBメモリーの中にBitLockerのUSBキーがないか一度確認してみましょう。
③印刷やメモを探す
BitLockerを有効化した際に、回復キーを印刷したり、ノートやスマホ・PCアプリなどにメモを残している可能性があります。一度確認してみましょう。
④管理担当者に確認する
企業や団体でBitLockerを利用している場合、システム管理担当者が回復キーを管理している可能性があります。見つからない場合は一度管理担当者に相談してみましょう。
⑤パスワード解析ソフトを試す
どうしても回復キーが見つからない場合は、市販のパスワード解析ソフトウェアを使ってみるのも一つの方法です。いくつかの強力なソフトウェアがありますので、情報収集してお試しください。
⑥コマンドプロンプトで強制回復またはリセットする
回復キーの代わりに「manage-bde -forcerecovery」「manage-bde -changepin」等のコマンドプロンプトを実行することで、強制回復やPINのリセットなどができる可能性があります。ある程度の知識が必要な作業のため、詳細についてはここでは割愛します。
⑦初期化する
保存されているデータのバックアップがあるなど、データを消去しても問題ない場合は、PCや外付けデバイスを初期化することでまた使用できるようになります。万が一の際に備えて、日頃からバックアップを実行されることをおすすめします。
▶ PC・外付けHDD/SSD・NAS等のデータをバックアップする方法
⑧データ復旧業者に依頼する
回復キーがわからない状態でのデータ復旧は非常に困難ですが、復旧できる可能性はゼロではありません。信頼できるデータ復旧業者に一度ご相談ください。
7. BitLockerで暗号化されたパソコンやUSBメモリー、外付けHDD等のデータ復旧はバッファローへ
BitLockerで暗号化されたPCやUSBメモリー、外付けHDD等のデータ復旧は容易ではありません。暗号化キーや回復キーがわからない状態ではデータ復旧はより困難になります。復旧の可能性を高めるためには、高い技術力とノウハウを持った業者に依頼されることをおすすめします。バッファローのデータ復旧サービスは診断・見積り無料、一律固定料金で安心してご利用いただけます。HDDのメーカーならではの高い技術力、万全のセキュリティ体制で対応させていただきます。