BitLockerとは
BitLocker(ビットロッカー)とは、Windowsに搭載されているドライブ全体を暗号化できる機能です。「ログインパスワードをかけてるから安心」と思われがちですが、USBからツールを起動したり、SSDやHDDを取り出し別のPCに接続する、といった方法でデータは簡単に見れたりコピーすることができますので、ログインパスワードを設定しているだけでは安全とは言えません。
そこでディスクをBitLockerで暗号化するとBitLockerの解除キー(回復キー)を入力しなければデータを見ることもコピーすることもできなくなるため安全性が高まり、紛失・盗難時などの情報流出の防止になります。
しかし、BitLockerは全てのWindowsに搭載されているわけではなくHomeエディションでは使えません。Proより上位のエディションで使うことができます。
BitLockerを有効化にするには
万が一に備えて、BitLockerを有効にする前にデータのバックアップを行ってください。
Microsoftアカウントでサインインに切り替える
ローカルアカウントのままだと回復キーをMicrosoftアカウントに保存できないため、まずはMicrosoftアカウントでサインインできるよう設定を変更します。
左下Windowsメニューから「設定」→「アカウント」を選択
「Microsoftアカウントでのサインインに切り替える」をクリックします。
サインインすると、現在のローカルアカウントで使用しているパスワードを求められるので入力します。パスワードを設定していないときは何も入力せずに「次へ」をクリックし、PINを設定すれば完了です。下記画像のようにPINには条件がありますので0000といった単純な数字は使用できないようです。また「英字と記号を含める」にチェックを入れると数字以外も使用することができます。
PINとは
PINとはそのパソコンのみに設定するコードです。Microsoftアカウントのパスワードでパソコンのサインインをしていると、入力している手元を誰かに覗かれてパスワードを知られてしまう恐れがあります。
MicrosoftアカウントはOneDriveやOutlook、Microsoft365(旧Office365)などでも使用しますし、クレジット情報も保存されている場合があります。他にも色々なサービスと紐付いているアカウントのパスワードを、入力する機会が多いWindowsのサインインで使用するのはリスクがありますよね。
その点、PINは設定したパソコンとセットでしか機能しないコードなので、万が一PINを覗き見されても第三者の端末からMicrosoftアカウントへサインインできないので、アカウント情報が悪用されてしまうことはありません。
以上の理由から、WindowsのサインインはMicrosoftアカウントのパスワードではなくPINでのサインインが推奨されています。
BitLockerを有効にする
エクスプローラーの左サイドバーにある「PC」を選択すると「ローカルディスク」が表示されます。BitLockerが無効になっているのでディスクアイコンに鍵マークが付いていません。
ローカルディスクを右クリックし「BitLockerを有効にする」を選択。
「トラステッドプラットフォームモジュールを使用できません」と表示が出た場合は下記手順で設定を変更してください。
「Windowキー」+「R」を押すと、ファイル名を指定して実行画面が表示されるので「gpedit.msc」と入力しOKをクリックするとローカルグループポリシーエディターが起動します。
コンピューターの構成>管理者用テンプレート>Windowsコンポーネント>BitLockerドライブ暗号化>オペレーティングシステムのドライブ、と進ます。右側のウインドウに表示される「スタートアップ時の認証を要求する」をダブルクリックすると別ウインドウが立ち上がります。
未構成にチェックが入っているので「有効」にチェックを入れOKを押すと設定は完了です。もう一度、ローカルディスクを右クリックしBitLockerを有効化してください。
「スタートアップ時にドライブのロックを解除する方法を選択する」画面ではUSBメモリかパスワードのどちらかを選択します。私は面倒なのでパスワードを選びました。
回復キーのバックアップ方法は「印刷」や「ファイルに保存」すると紛失することが多いので、あとで確認しやすい「Microsoftアカウントに保存する」がおすすめです。
新たにパソコンを設定する場合は「使用済みの領域のみ暗号化する」でいいですが、既に使用しているパソコンの場合は「ドライブ全体を暗号化する」を選択します。
このデバイスの固定ドライブを暗号化するので「新しい暗号化モード」を選択します。
「続行」をクリックするとBitLocker暗号化が始まります。使用環境によって変わると思いますが、私がやったときは1分ほどで終わりました。完了したら再起動します。
再起動するとパスワードを求められるので「スタートアップ時にドライブのロックを解除する方法を選択する」で設定したパスワードを入力してください。
再起動が終わりました。ローカルディスクに鍵アイコンが付いていますのでBitLockerが有効になっていることが確認できます。
無効化にするには
BitLockerを無効にするにはドライブを右クリックし「BitLockerの管理」を選択し「BitLockerを無効にする」をクリックします。この項目で回復キーのバックアップ、パスワードの変更・解除を行えます。解除は10〜20分ほどで完了するかと思います。この項目で回復キーのバックアップ、パスワードの変更・解除も行えます。
回復キーはどこにある?
BitLockerの有効化のときに「Microsoftアカウント」に保存する設定にした場合はWebブラウザから確認できますが「印刷」や「ファイルに保存」を指定していた場合はその書類がないと確認できません。BitLockerがかかっているパソコンを操作できる状態であれば再度回復キーのバックアップができますが、パソコンが起動できないとなるとどうすることもできません。
Microsoftアカウントに保存している場合の回復キーの確認は、下記ページに記載されている「Microsoft アカウントに保存した場合」からサインインします。
https://support.microsoft.com/ja-jp/help/4530477/windows-10-finding-your-bitlocker-recovery-key
本人確認を求められるので、メール・SMS・電話、好きな方法でコードを送ってもらいます。
確認コードを入力すると48桁のBitLocker回復キーが表示されます。
おわり
以上、BitLockerの設定と暗号化・無効化、回復キーの保存場所についてご案内しました。今の時代、データの流出は本当に怖いのでこういった暗号化を使い安心してパソコンを使いたいですよね。BitLockerを有効化する場合は、くれぐれもパスワードや回復キーの保存場所を忘れないようにしてください!