私たちのパソコンには、仕事の資料や写真、個人情報など、大切なデータがたくさん保存されています。これらの重要資産を守るために欠かせないのが「暗号化」です。前回の記事「重要資産を暗号化で守ろう(解説編)」では、暗号化の基本や種類についてお話ししました。今回は、Windowsに標準搭載されている強力な暗号化機能「BitLocker」を使って、実際にパソコンのデータを守る方法を解説します。
BitLockerとは?
BitLockerは、Microsoftが提供するWindowsのディスク暗号化機能です。Windows 10 ProやEnterprise、Windows 11 Proなどのエディションで利用できます。BitLockerはパソコンの内蔵ドライブだけでなく、外付けのUSBメモリや外付けハードディスクも暗号化可能です。
BitLockerの仕組み(簡単解説)
BitLockerは、データが保存されているディスク全体を暗号化し、正しいパスワードや復旧キーなしには読み取れない状態にします。パソコンの起動時に認証を行い、認証されると自動的にデータの読み書きができる仕組みです。
TPMとの連携
多くのPCには「TPM(Trusted Platform Module)」というセキュリティチップが搭載されています。TPMがあると、パスワード入力なしでパソコン起動時に自動的に暗号化解除できるため、使いやすさと安全性の両立が可能です。TPM非搭載の場合は、パスワード入力が必要になります。
BitLockerのメリットと注意点
対応エディションの最新状況
Windows 11 Home バージョン 24H2(2024年リリース予定)以降では、内蔵ドライブ(システムドライブや固定データドライブ)のBitLocker暗号化が利用可能になりました。ただし、外付けUSBドライブの暗号化は対応していません。
以下の表は、代表的なWindowsエディションでのBitLocker対応状況をまとめたものです。
| Windowsエディション | 内蔵ドライブのBitLocker | 外付けUSBドライブのBitLocker | 備考 |
|---|---|---|---|
| Windows 11 Home 24H2以降 | 〇(利用可能) | ×(利用不可) | Homeで初めて内蔵ドライBitlocker対応 |
| Windows 11 Pro | 〇(利用可能) | 〇(利用可能) | 一般的なビジネス向け |
| Windows 11 Enterprise/Pro | 〇(利用可能) | 〇(利用可能) | 企業向けで高度な管理機能あり |
| Windows 10 Home | ×(利用不可) | ×(利用不可) | BitLockerは利用できません |
| Windows 10 Pro/Enterprise | 〇(利用可能) | 〇(利用可能) |
メリット
- Windowsに標準搭載:追加のソフトを購入する必要がありません。
- 強力な暗号化:AES 128ビットや256ビットの暗号化方式を利用。
- 起動前暗号化:システムドライブ全体を守り、OS起動前から保護。
- 使いやすい:Windowsの設定画面から簡単に設定可能。
注意点
- 対応エディションの制限:前述の表をご参照ください。
- TPM非搭載PCの制約:パスワードの入力が必須となり、利便性が低下。
- 回復キー管理の重要性:万が一パスワードを忘れた場合に備え、回復キーの保存が必須です。
- 暗号化解除リスク:PCを紛失した場合でも、暗号化されていない状態になる恐れがあるため管理に注意。
BitLockerの準備
まずは、BitLockerが使える環境かどうかを確認しましょう。
Windowsエディションの確認方法
- スタートメニューの「設定」→「システム」→「バージョン情報」
- 「Windowsの仕様」内のエディション欄を確認
- 「Pro」や「Enterprise」、「Home 24H2以降」であれば利用可能です
TPM搭載の確認方法
- スタートメニューの検索バーに「tpm.msc」と入力し実行
- 「TPM管理」のウィンドウで状態を確認
- 「TPMは使用する準備ができています。」と表示されていれば利用可能
BitLockerの設定手順(システムドライブ編)
設定
Windows11 24H2以降のパソコンであればBitlockerは自動で有効化されているはずですが、以前のバージョンからバージョンアップした場合などで自動で有効化されていない場合もあるようです。
Bitlockerが有効化されていない場合以下の手順でシステムドライブの暗号化を実施します。
以下はWindows11 24H2での操作例です。
- 設定画面を開く
「設定」→「プライバシーとセキュリティ」→「デバイスの暗号化」 - BitLockerの有効化
「BitLockerを有効にする」ボタンを押す - 暗号化開始
パソコンの利用状況によりますが、完了まで数十分~数時間かかる場合があります。
回復キーの確認とバックアップ
BitLockerでドライブを暗号化すると、「回復キー(リカバリーキー)」が自動的に作成されます。
これは、パスワードを忘れたり、TPMエラーでドライブのロックが解除できなくなったときに必要になります。回復キーを失うと、データにアクセスできなくなる可能性があります。
パソコンを購入したとき、Windows11を24H2にバージョンアップして自動で暗号化されたとき、または自分で暗号化したときなど、事前に回復キーの確認とバックアップを行いましょう。
1. コントロールパネルから確認・バックアップする
BitLockerの状態や回復キーの保存を、コントロールパネルの画面から行う方法です。
手順:
- スタートボタンを右クリックし、「検索」または「設定」を開く
- 「コントロールパネル」 → 「システムとセキュリティ」 → 「デバイスの暗号化」
- 暗号化されているドライブの「回復キーのバックアップ」をクリック
4. 表示されるウインドウから、回復キーのバックアップができます。
以下の3つの方法がありますが、回復キーを紛失すると、データを取り出せなくなる恐れがあります。複数の場所に安全に保管してください。
- Microsoftアカウントに保存(推奨)
- ファイル(USBメモリや他の端末)に保存
- 印刷して紙で保管
2. Microsoftアカウントから確認する
BitLockerを設定した際に「Microsoftアカウントに保存」を選んだ場合およびセットアップで自動的に回復キーが保存されている場合、次の手順で回復キーを確認できます。
- 以下のリンクにアクセス:
👉 https://account.microsoft.com/devices/recoverykey - Microsoftアカウントにログイン
- 自分のPC名と、そのPCに対応する回復キーが表示されます
BitLockerの設定手順(外付けUSBドライブ編)
この機能は、Windows 10/11の Enterprise/Proバージョンのみで提供されています。
Windows 11 Home は24H2以降であっても外付けUSBドライブのBitLockerは利用できません。ご注意ください。
- 外付けUSBドライブをパソコンに接続
- エクスプローラーでドライブを右クリック
- 「BitLockerを有効にする」を選択
- パスワードを設定
- 回復キーを保存
- 暗号化が開始される
BitLocker利用時のポイントとトラブル対策
- PC盗難時に備えシステムドライブは必ず暗号化する
- 回復キーは必ず複数の場所で保管
- パスワードを忘れた場合は回復キーで解除
- 起動時に回復キーの入力が求められたら、最近の変更やハードウェアの変更を確認
まとめ
BitLockerは、Windows標準の強力なディスク暗号化機能です。特に重要資産を守るうえで、導入は非常に効果的です。ただし、回復キーの管理や設定ミスによるリスクを防ぐために、手順をよく理解して利用しましょう。安心・安全なPC環境の実現にぜひBitLockerを活用してください。
次回は、重要資産を堅固に守るためVeraCryptによる暗号化を紹介します。
コメント