Windows11のBitLocker
この記事では、Windows11 Proのセキュリティ機能の1つである「BitLocker(ビットロッカー)」について解説します。情報漏洩はさまざまな場面で起こり、その中の1つにPCの紛失や盗難があります。
PC自体はログインパスワードなどで保護されていても、PC内蔵のハードディスクやSSDなど、ドライブが暗号化されていない状態では、簡単にデータを盗まれる可能性があります。BitLockerはドライブの暗号化によってPCなどの紛失による情報漏洩リスクを低減する役割を担います。
これからBitLockerを有効化・無効化する方法、利用に際しての注意点などを解説していきますので、Windows10 ProからWindows11 Proへのアップグレードを検討されている方もぜひ参考にしてみてください。
【参考】:BitLocker | Microsoft Learn
BitLockerとは
BitLockerは、Windows Proに標準で搭載されたデータ暗号化の機能です。Macやスマホ、タブレットでは利用できません。BitLockerはPCに接続した各ドライブを暗号化し、PCやドライブが紛失や盗難に遭った場合でも情報漏洩を防げます。
またPCの廃棄の際にも、BitLockerで暗号化されたドライブはデータ消去の必要がないことから、企業などの情報機器管理者には重宝されています。
BitLockerの対象となるドライブ
BitLockerの機能を有効化すると、PCに接続されているドライブのデータ暗号化ができます。
BitLockerによる暗号化の対象となるのは以下のドライブです。
▪HDD ▪SSD ▪USBメモリ ▪リムーバブルハードディスク
ドライブが暗号化されても、暗号化を行ったPCからは今まで通り読み書きは行えますが、PCから切り離した段階ではデータが暗号化されているため、他のPCからは読み書きができなくなります。
Windows11のBitLockerを有効にする
Windows11のBitlockeを有効にする方法を解説します。Windows11のHome EditionバージョンのPCには基本的にBitLockerは付属していません。ただし、Home EditionでもPCメーカーが独自にBitLockerを組み込んでいるケースがありますので、次の手順でBitLockerの有無について確認してみてください。
1.BitLocker機能にアクセスする
Windows11に関する設定の大半は[設定]画面から行えますが、BitLocker機能など一部の設定は「コントロールパネル」から行います。
初めに[スタート]キーを押し、[スタートメニュー]が表示されたら1番上の検索窓に「cp」と入力します。「コントロールバネル(アプリ)」が表示されたらクリックします。コントロールバネルの画面に表示された機能から[システムとセキュリティ]をクリックします。
[システムとセキュリティ]の画面に[BitLockerドライブ暗号化]があればドライブ暗号化の機能を利用できます。[BitLockerドライブ暗号化]が表示されないPCでは、元々BitLocker機能が備わっていないため、BitLocker以外のセキュリティ対策ソフトの導入を検討してください。
BitLockerドライブの暗号化を有効にする方法
ここでは、BitLockerを有効化してドライブの暗号化を行う方法について解説します。
[システムとセキュリティ]の画面から、「BitLockerドライブ暗号化」をダブルクリックして以下の画面を開きます。BitLockerが無効になっている場合は、【BitLockerを有効にする】のクリックで、ドライブの暗号化がスタートします。
BitLocker 回復キーの保存先の選択
「BitLocker ドライブ暗号化 」がスタートすると、「回復キーのバックアップ方法」を尋ねられます。バックアップ方法には以下の3通りがありますので、好みの方法を選択してください。PCに何か異常が起きても、回復キーを使用することでこれまで通りドライブにアクセスができます。
[→ Microsoft アカウントに保存する]を選択する場合は、Microsoftアカウントを持っていることが前提条件です。回復キーはクラウド上に保存されるため、消失のリスクが低く安心です。
[→ファイルに保存する]を選択した場合は、外付けのHDDやUSBメモリが必須です。
[→回復キーを印刷する]を選択した場合はプリントアウトして保存しておけますが、人目に触れないよう注意が必要です。PDF形式で保存して、別のPCや共有フォルダに保存してもよいでしょう。
回復キーの保存が完了したら、[次へ]をクリックしてください。
「ドライブを暗号化する範囲の選択」が表示されますので、下記のいずれかを選択して、[次へ]ボタンをクリックします。
※暗号化の時間は掛かりますが、安全性の観点から「ドライブ全体を暗号化する」をおすすめします。
▪使用済みの領域のみ暗号化する データが保存されている領域のみが暗号化され、空き領域や削除された過去のデータなどは暗号化の対象となりません。
▪ドライブ全体を暗号化する ドライブに存在するすべてのデータ、空き領域まで暗号化されます。
「使用する暗号化モードを選ぶ」画面に遷移しますので、ここでは「新しい暗号化モード(N)(このデバイスの固定ドライブに最適)」を選択し、[次へ]をクリックしてください。
[このドライブを暗号化する準備ができましたか?]の確認画面では、「BitLocker システム チェックを実行する(R)」にチェックを入れて、[続行]ボタンをクリックします。
次に「コンピューターを再起動する必要があります」のメッセージボックスが表示されたら、[今すぐ再起動する]ボタンをクリックします。
Windowsの再起動が行われるので、しばらく待ちます。再起動後に改めて[BitLocker ドライブ暗号化]画面を表示してみてください。
「Windows (C:)BitLocker が暗号化中です」の表示があれば、暗号化処理がされている状態ですので、処理が終わるまで待ってください。暗号化中も作業は行えますが、特に急ぐ用事がなければそのまま待ちましょう。
一般的に暗号化に要する時間は、PCのスペックやドライブの種類、容量などによって異なりますが、1GB当たり約1分間と考えてください。128GBのSSDであれば、2時間程度です。
暗号化が終わると、「Windows (C:) BitLocker が有効です」というメッセージに変わります。(対象ドライブによって変わります)
Microsoftアカウントで回復キーを確認する
Microsoftアカウントに保存された回復キーは、下記のサイトにMicrosoftアカウントでログインすると次のような画面が表示され、暗号化した自分のバソコン毎の回復キーを参照できます。
【参考】:Microsoftアカウント|BitLocker回復キー
BitLockerドライブの暗号化を無効にする方法
※ここではシステムドライブ(Cドライブ)の暗号化を解除する際の手順を示しています。
[スタート]キー → [スタートメニュー]→ 1番上にある検索窓に「cp」と入力し、表示された「コントロールバネル(アプリ)」をクリックします。
コントロールパネルに表示された機能から[システムとセキュリティ]をクリックします。
[システムとセキュリティ]の画面から[BitLockerトライブ暗号化]を選択します。
「BitLocker ドライブ暗号化」の画面が表示されたら、[オペレーティング システム ドライブ]の下にある3つの選択肢から【BitLockerを無効にする】を選択してクリックします。
以下のようなダイアログボックスが表示されたら、【BitLocker を無効にする】を選択してクリックします。
「Windows (C:)BitLocker が暗号化の解除中です」というメッセージが表示されたら、暗号化を解除する処理が始まります。
「Windows (C:) BitLocker が無効です」 と表示されたら、暗号化を解除する処理は終了しています。
※「暗号化の解除が完了しました」などのダイアログが別途表示されるわけではありません。
回復キーの入力方法
PCの修理などで部品交換した場合、ハードウェア上のトラブルやセキュリティーに関連の予期しない構成変更が行われた場合には、Windowsを起動した際に以下のような回復モードの画面が表示されます。
このような画面(基本的に日本語表記)が表示されたら、以下の手順に従って回復キーを入力してください。「暗号化を解除できない」というトラブルを招かないよう、回復キーの保存、保管には十分注意してください。
バックアップした回復キーの中に記載されている、「ID」(英数混合)の先頭部分の文字列が、回復モード画面に表示されている「キーID」の文字列と一致しているかどうかを確認し、「ID」が同じであれば、回復キーを入力して[続行]をクリックします。
ロックが解除され「正しい回復キーです」と表示されたら[再起動]をクリックしてください。以上で操作は完了です。
【参考】:BitLocker 回復ガイド | Microsoft Learn
BitLockerにまつわる疑問
BitLockerはPC管理の観点からは嬉しい機能ですが、利用者の立場からは疑問や不安があります。ここでは、BitLockerにまつわる疑問についてまとめてみました。
Windows更新でBitLockerが勝手に有効になる?
Windows更新の際、ユーザープロファイルが壊れたり、設定値が壊れたりした時に解除キーを求められるケースがありますが、勝手にそうなっているわけではありません。対応としては、ユーザーファイルをバックアップしておき、リストア(メーカー出荷時の状態に戻す)することをおすすめします。
【参考】:Windows更新の際に、ビットロッカーが勝手に有効になる理由は?その仕様にしたのはなぜ? - Microsoft コミュニティ
BitLockerを強制解除する方法とは
PCの障害などでBitLocker 回復キーの入力を何度も求められることがあります。回復キーを複数回入力してもループしてしまう場合は、以下の手順で強制解除できます。
▪1.回復キーを入力せず「このドライブをスキップする」を選択します。 ▪2.[詳細オプションのトラブルシューティング>]に移動したら、[コマンド プロンプト]を選択して、次のコマンドを入力します。
manage-bde.exe -unlock C: -rp <48桁のrecovery password>
▪3.次のコマンドで、OSの保護を中断します。
manage-bde.exe -protectors -disable C:以上、コマンドの実行が終了し、PCが正常に再起動できれば完了です。
【参考】:BitLocker 回復ループの解除 | Microsoft Learn
BitLockerを活用してPCの情報を保護しよう
ここまでBitLockerを有効化・無効化する方法、利用に際しての注意点などを解説しました。BitLockerは新たにツールを購入する必要がなく、設定を行うだけで利用できるため、企業にとっては情報漏洩を防止できる大きなメリットがあります。
個人利用のPCでも、漏洩しては困る個人情報や重要なデータがありますので、BitLockerの利用できるPCを使っている方は、ぜひこの記事を参考に設定されることをおすすめします。
編集部オススメコンテンツ
アンドエンジニアへの取材依頼、情報提供などはこちらから
