目次
BitLockerの概要
BitLocker(ビットロッカー)とは、Microsoft Windowsに標準搭載されているディスク暗号化機能です。
PCの紛失や盗難に遭った際、ストレージ(HDDやSSD)を物理的に取り出されて他のPCに接続されたとしても、暗号化キーがなければ中身を読み取ることができない仕組みです。
| 通常の利用時 | OSが起動して認証が通る→読み書き時にリアルタイムで暗号化/復号を行う(ユーザは意識しない:透過的) |
| 異常時 | (例:ディスクを抜いて別PCへ接続) 暗号化されたままなので→中身は読めない |
利用できるWindowsのエディション
- Windows Pro
- Windows Enterprise
- Windows Education
Windows Homeは、ハードウェアが対応している場合に限り、BitLockerを一般ユーザー向けに簡略化した「デバイスの暗号化」を使用できます。
認証方法(主なパターン)
BitLockerは複数の方法でロック解除します。
- TPM(セキュリティチップ)による自動認証
- PINコード入力
- USBキー(起動キー)
- 回復キー(トラブル時)
最近のPCはTPMがあるので、ほぼ自動で動作します。
TPMとは
PCのマザーボードに搭載されているTPM(Trusted Platform Module)というセキュリティ専用のマイクロチップです。
Windows11のインストール条件として必須になりました。
回復キーとは
何か問題が起きたときに解除するための最終手段です。
回復キーが必要となる例
| ハードウェア構成の変更 | マザーボード交換(多い) TPMの初期化・交換 ストレージ構成の変更(SSD交換など) →TPMが別のPCかもと判断→回復キー要求 |
| BIOS/UEFI設定変更 | SecureBootのON/OFF変更 起動順序の変更 BIOSアップデート(多い) →起動環境が変わるためトリガーになりやすい |
| OSまわりの変更・トラブル | Windowsの大型アップデート失敗(多い) ブートローダ破損・修復 デュアルブート設定変更 →ブート環境が変わると検知される |
| TPMが使えない状態 | TPMが無効化された TPMエラー ファーム更新による一時的不整合 →自動認証できず→回復キー要求 |
| ディスクの取り外し・別PC接続 | SSDを抜いて別PCに接続(多い) 外付けケースで読み込み →正常な挙動(セキュリティ目的) |
| 攻撃・不正操作の疑い | オフライン攻撃(ディスク改ざん) ブートキット・マルウェア検知 →意図的にロック |
| PIN・認証の失敗(設定している場合) | BitLockerPINを何度も間違える |
| 管理操作・ポリシー変更 | 管理者がBitLocker設定を変更 グループポリシー更新 |
保存先の例
- Microsoftアカウント
- USBメモリに保存
- 紙に印刷して保管
- 職場や学校のアカウントでは、組織の管理ポータルに自動保存されるケースも多い
これをなくすとデータ復旧できない可能性があります。
Microsoftアカウントへの保存が最も推奨されます。
メリットと注意点と利用シーン
メリット
- 盗難・紛失時の情報漏えい防止
- OS標準機能で追加ソフト不要
- ユーザ操作なしで透過的に暗号化
注意点
- 回復キーの管理が最重要
- TPMなし環境では設定がやや複雑
- BIOS/UEFI変更で回復モードになることがある
- システム修復ディスクを作成する際、BitLockerが有効だと手順が複雑になる場合あり
- 古いPCや安価なCPUでは、BitLockerをオンにすることでパフォーマンスが数%低下する場合あり
よくある利用シーン
- ノートPC(持ち出しあり)
- 社用PC(情報漏えい対策)
- AWS WorkSpacesや仮想環境でも類似機能あり
BitLockerが設定されているかの確認方法
Windows11では、ProとHomeで確認方法が少し違います。
Windows11 Proの確認方法(BitLockerあり)
手順
- スタート→コントロールパネル
- システムとセキュリティ
- BitLockerドライブ暗号化を確認する
表示例
- BitLocker有効→暗号化済み
- BitLocker無効→未使用
Windows11 Homeの確認方法
手順
- 設定をクリック
- プライバシーとセキュリティ
- デバイスの暗号化を確認する
表示例
- オン→暗号化あり
- オフ→暗号化なし
関連の記事