bitlockerアイキャッチ

BitLockerの設定・暗号化・回復キーの保存場所

BitLockerとは

セキュリティ

BitLocker(ビットロッカー)とは、Windowsに搭載されているドライブ全体を暗号化できる機能です。「ログインパスワードをかけてるから安心」と思われがちですが、USBからツールを起動したり、SSDやHDDを取り出し別のPCに接続する、といった方法でデータは簡単に見れたりコピーすることができますので、ログインパスワードを設定しているだけでは安全とは言えません。

そこでディスクをBitLockerで暗号化するとBitLockerの解除キー(回復キー)を入力しなければデータを見ることもコピーすることもできなくなるため安全性が高まり、紛失・盗難時などの情報流出の防止になります。

しかし、BitLockerは全てのWindowsに搭載されているわけではなくHomeエディションでは使えません。Proより上位のエディションで使うことができます。

BitLockerを有効化にするには

万が一に備えて、BitLockerを有効にする前にデータのバックアップを行ってください。

Microsoftアカウントでサインインに切り替える

ローカルアカウントのままだと回復キーをMicrosoftアカウントに保存できないため、まずはMicrosoftアカウントでサインインできるよう設定を変更します。

アカウント設定

左下Windowsメニューから「設定」→「アカウント」を選択

ユーザーの情報

「Microsoftアカウントでのサインインに切り替える」をクリックします。

ローカルのパスワード

サインインすると、現在のローカルアカウントで使用しているパスワードを求められるので入力します。パスワードを設定していないときは何も入力せずに「次へ」をクリックし、PINを設定すれば完了です。下記画像のようにPINには条件がありますので0000といった単純な数字は使用できないようです。また「英字と記号を含める」にチェックを入れると数字以外も使用することができます。

PINのセットアップ

PINとは

PINとはそのパソコンのみに設定するコードです。Microsoftアカウントのパスワードでパソコンのサインインをしていると、入力している手元を誰かに覗かれてパスワードを知られてしまう恐れがあります。

MicrosoftアカウントはOneDriveやOutlook、Microsoft365(旧Office365)などでも使用しますし、クレジット情報も保存されている場合があります。他にも色々なサービスと紐付いているアカウントのパスワードを、入力する機会が多いWindowsのサインインで使用するのはリスクがありますよね。

その点、PINは設定したパソコンとセットでしか機能しないコードなので、万が一PINを覗き見されても第三者の端末からMicrosoftアカウントへサインインできないので、アカウント情報が悪用されてしまうことはありません。

以上の理由から、WindowsのサインインはMicrosoftアカウントのパスワードではなくPINでのサインインが推奨されています。

BitLockerを有効にする

ローカルディスク

エクスプローラーの左サイドバーにある「PC」を選択すると「ローカルディスク」が表示されます。BitLockerが無効になっているのでディスクアイコンに鍵マークが付いていません。

ローカルディスクを右クリックし「BitLockerを有効にする」を選択。

トラステッドプラットフォームモジュールを使用できません

「トラステッドプラットフォームモジュールを使用できません」と表示が出た場合は下記手順で設定を変更してください。

ファイル名を指定して実行

「Windowキー」+「R」を押すと、ファイル名を指定して実行画面が表示されるので「gpedit.msc」と入力しOKをクリックするとローカルグループポリシーエディターが起動します。

ローカルグループポリシーエディター

コンピューターの構成>管理者用テンプレート>Windowsコンポーネント>BitLockerドライブ暗号化>オペレーティングシステムのドライブ、と進ます。右側のウインドウに表示される「スタートアップ時の認証を要求する」をダブルクリックすると別ウインドウが立ち上がります。

スタートアップ時に追加の認証を要求する

未構成にチェックが入っているので「有効」にチェックを入れOKを押すと設定は完了です。もう一度、ローカルディスクを右クリックしBitLockerを有効化してください。

スタートアップ時にドライブのロックを解除する方法を選択する

「スタートアップ時にドライブのロックを解除する方法を選択する」画面ではUSBメモリかパスワードのどちらかを選択します。私は面倒なのでパスワードを選びました。

回復キーのバックアップ

回復キーのバックアップ方法は「印刷」や「ファイルに保存」すると紛失することが多いので、あとで確認しやすい「Microsoftアカウントに保存する」がおすすめです。

ドライブを暗号化する範囲の選択

新たにパソコンを設定する場合は「使用済みの領域のみ暗号化する」でいいですが、既に使用しているパソコンの場合は「ドライブ全体を暗号化する」を選択します。

使用する暗号化モードを選ぶ

このデバイスの固定ドライブを暗号化するので「新しい暗号化モード」を選択します。

準備ができましたか?

「続行」をクリックするとBitLocker暗号化が始まります。使用環境によって変わると思いますが、私がやったときは1分ほどで終わりました。完了したら再起動します。

再起動するとパスワードを求められるので「スタートアップ時にドライブのロックを解除する方法を選択する」で設定したパスワードを入力してください。

ローカルディスクに鍵アイコン

再起動が終わりました。ローカルディスクに鍵アイコンが付いていますのでBitLockerが有効になっていることが確認できます。

無効化にするには

bitlockerの管理
BitLockerを無効にする

BitLockerを無効にするにはドライブを右クリックし「BitLockerの管理」を選択し「BitLockerを無効にする」をクリックします。この項目で回復キーのバックアップ、パスワードの変更・解除を行えます。解除は10〜20分ほどで完了するかと思います。この項目で回復キーのバックアップパスワードの変更・解除も行えます。

回復キーはどこにある?

BitLockerの有効化のときに「Microsoftアカウント」に保存する設定にした場合はWebブラウザから確認できますが「印刷」や「ファイルに保存」を指定していた場合はその書類がないと確認できません。BitLockerがかかっているパソコンを操作できる状態であれば再度回復キーのバックアップができますが、パソコンが起動できないとなるとどうすることもできません。

Microsoftアカウントに保存している場合の回復キーの確認は、下記ページに記載されている「Microsoft アカウントに保存した場合」からサインインします。

https://support.microsoft.com/ja-jp/help/4530477/windows-10-finding-your-bitlocker-recovery-key

本人確認

本人確認を求められるので、メール・SMS・電話、好きな方法でコードを送ってもらいます。

BitLocker回復キー

確認コードを入力すると48桁のBitLocker回復キーが表示されます。

おわり

以上、BitLockerの設定と暗号化・無効化、回復キーの保存場所についてご案内しました。今の時代、データの流出は本当に怖いのでこういった暗号化を使い安心してパソコンを使いたいですよね。BitLockerを有効化する場合は、くれぐれもパスワードや回復キーの保存場所を忘れないようにしてください!