WindowsでBitLocker暗号化を設定する方法
BitLockerはWindowsに組み込まれたツールで、セキュリティ強化のためにハードドライブ全体を暗号化できます。これを設定する方法は次のとおりです。.
TrueCryptが物議を醸して店を閉鎖したとき、彼らはユーザーがTrueCryptからBitLockerかVeracryptを使うことに移行することを勧めました。 BitLockerは、成熟したと見なされるのに十分長い間Windowsで使用されており、セキュリティの専門家によって一般的に高く評価されている暗号化製品です。この記事では、私たちはあなたがあなたのPCでそれをどのように設定できるかについて話します。.
注意:BitLockerドライブ暗号化およびBitLocker To Goには、Windows 8または10のProfessionalまたはEnterpriseエディション、またはWindows 7のUltimateバージョンが必要です。ただし、Windows 8.1以降、HomeおよびProエディションのWindowsには "デバイス暗号化"機能が含まれます。同様に機能するWindows 10)にも含まれている機能。お使いのコンピュータでサポートされている場合はDevice Encryption、Device Encryptionを使用できないProユーザー用のBitLocker、およびDevice Encryptionが機能しないHomeバージョンのWindowsを使用しているユーザー用のVeraCryptをお勧めします。.
ドライブ全体を暗号化するか、暗号化コンテナを作成する?
多くのガイドが、TrueCryptやVeracryptなどの製品を使って作成できる暗号化コンテナのようなものであるBitLockerコンテナの作成について説明しています。ちょっとした誤称ですが、同じような効果を得ることができます。 BitLockerはドライブ全体を暗号化することによって機能します。システムドライブ、別の物理ドライブ、またはファイルとして存在し、Windowsにマウントされている仮想ハードドライブ(VHD)が考えられます。.
違いは主にセマンティックです。他の暗号化製品では、通常、暗号化されたコンテナーを作成し、それを使用する必要があるときにWindowsのドライブとしてマウントします。 BitLockerでは、仮想ハードドライブを作成してから暗号化します。既存のシステムやストレージドライブを暗号化するのではなく、コンテナを使用したい場合は、BitLockerを使用して暗号化コンテナファイルを作成するためのガイドをご覧ください。.
この記事では、既存の物理ドライブに対してBitLockerを有効にすることに集中します。.
BitLockerでドライブを暗号化する方法
ドライブにBitLockerを使用するには、それを有効にし、ロック解除方法(パスワード、PINなど)を選択してから、他のいくつかのオプションを設定するだけです。その前に、BitLockerのフルディスク暗号化を使用することを知っておく必要があります。 システムドライブ 通常、PCのマザーボードにTPM(Trusted Platform Module)を搭載したコンピュータが必要です。このチップは、BitLockerが使用する暗号化キーを生成して保存します。 PCにTPMがない場合は、グループポリシーを使用してTPMなしでBitLockerを使用できるようにすることができます。それは少し安全ではありませんが、暗号化をまったく使用しないよりもなお安全です。.
TPMがなく、グループポリシー設定を有効にしなくても、非システムドライブまたはリムーバブルドライブを暗号化できます。.
そのメモでは、有効にできるBitLockerドライブ暗号化には2つのタイプがあることも知っておく必要があります。
- BitLockerドライブ暗号化注:単にBitLockerと呼ばれることもありますが、これはドライブ全体を暗号化する「フルディスク暗号化」機能です。 PCが起動すると、WindowsのブートローダがSystem Reservedパーティションからロードし、ブートローダはパスワードなどのロック解除方法の入力を求めます。 BitLockerはドライブを復号化し、Windowsを読み込みます。それ以外の点では暗号化は透過的です - あなたのファイルは通常は暗号化されていないシステム上にあるように見えますが、それらは暗号化された形式でディスクに保存されます。システムドライブ以外のドライブを暗号化することもできます。.
- BitLocker To Go注:BitLocker To Goを使用して、USBフラッシュドライブや外付けハードドライブなどの外付けドライブを暗号化できます。ドライブをコンピュータに接続すると、ロック解除方法(パスワードなど)の入力を求められます。誰かがロック解除メソッドを持っていない場合、彼らはドライブ上のファイルにアクセスできません.
Windows 7から10では、選択を自分で行うことを心配する必要はありません。 Windowsは舞台裏で物事を処理します、そして、あなたがBitLockerを可能にするためにあなたが使用するインターフェースは少しも変わりません。 Windows XPまたはVistaで暗号化されたドライブのロックを解除した場合は、BitLocker to Goのブランドが表示されるので、少なくともそれについて知っておく必要があると考えました。.
それで、邪魔にならないように、これが実際にどのように機能するのかを見てみましょう.
手順1:ドライブに対してBitLockerを有効にする
ドライブに対してBitLockerを有効にする最も簡単な方法は、ファイルエクスプローラーウィンドウでドライブを右クリックし、[BitLockerを有効にする]コマンドを選択することです。コンテキストメニューにこのオプションが表示されていない場合は、ProまたはEnterpriseエディションのWindowsがない可能性があり、別の暗号化ソリューションを探す必要があります。.
それはとても単純です。表示されるウィザードでいくつかのオプションを選択します。これらのオプションは次のセクションに分割されています。.
ステップ2:ロック解除方法を選択する
「BitLockerドライブ暗号化」ウィザードの最初の画面では、ドライブのロックを解除する方法を選択できます。ドライブのロックを解除する方法はいくつか選択できます。.
コンピュータのシステムドライブを暗号化しているのであれば、 しない TPMをお持ちの場合は、パスワードまたはキーとして機能するUSBドライブでドライブのロックを解除できます。ロック解除方法を選択して、その方法の指示に従います(パスワードを入力するか、USBドライブに接続します)。.
あなたのコンピュータ する TPMを使用すると、システムドライブのロックを解除するための追加オプションが表示されます。たとえば、起動時に自動ロック解除(コンピュータがTPMから暗号化キーを取得してドライブを自動的に復号化する)を設定できます。パスワードの代わりにPINを使用することも、指紋のようなバイオメトリックオプションを選択することもできます。.
非システムドライブまたはリムーバブルドライブを暗号化している場合は、2つの選択肢しか表示されません(TPMがあるかどうかにかかわらず)。パスワードまたはスマートカード(あるいはその両方)でドライブのロックを解除できます.
ステップ3:あなたの回復キーをバックアップする
BitLockerは、パスワードを忘れた場合、またはTPMを搭載したPCが故障して別のシステムからドライブにアクセスした場合などに、メインキーを紛失した場合に暗号化ファイルにアクセスするために使用できるリカバリキーを提供します。.
キーをMicrosoftアカウント、USBドライブ、ファイルに保存することも、印刷することもできます。システムドライブを暗号化しているかどうかにかかわらず、これらのオプションは同じです。.
リカバリキーをMicrosoftアカウントにバックアップした場合は、後でhttps://onedrive.live.com/recoverykeyでアクセスできます。別の回復方法を使用する場合は、このキーを安全に保管してください。他のユーザーがアクセスすると、ドライブを復号化して暗号化を回避する可能性があります。.
必要に応じて、リカバリキーを複数の方法でバックアップすることもできます。順番に使用したい各オプションをクリックして、指示に従ってください。リカバリキーの保存が完了したら、[次へ]をクリックして先に進みます。.
注意:USBなどのリムーバブルドライブを暗号化している場合は、回復キーをUSBドライブに保存することはできません。他の3つのオプションのどれでも使うことができます.
ステップ4:ドライブの暗号化とロック解除
BitLockerは、新しいファイルを追加すると自動的にそれらを暗号化しますが、現在ドライブにあるファイルの処理を選択する必要があります。空き容量も含めてドライブ全体を暗号化することも、使用済みのディスクファイルを暗号化するだけでプロセスを高速化することもできます。システムドライブを暗号化しているかどうかにかかわらず、これらのオプションは同じです。.
新しいPCにBitLockerを設定する場合は、使用済みのディスク容量のみを暗号化します - はるかに高速です。 BitLockerをしばらく使用していたPCに設定している場合は、ドライブ全体を暗号化して、削除されたファイルを回復できないようにする必要があります。.
選択したら、[次へ]ボタンをクリックします.
ステップ5:暗号化モードを選択する(Windows 10のみ)
Windows 10を使用している場合は、暗号化方式を選択するための追加の画面が表示されます。 Windows 7または8を使用している場合は、次の手順に進んでください。.
Windows 10はXTS-AESという名前の新しい暗号化方式を導入しました。暗号化しているドライブがWindows 10 PCでしか使用されないことがわかっている場合は、先に進んで「New encryption mode」オプションを選択してください。ある時点で古いバージョンのWindowsでドライブを使用する必要があると思われる場合(特にリムーバブルドライブの場合は重要)、[互換モード]オプションを選択します。.
どちらのオプションを選択しても(システムドライブとシステムドライブ以外のドライブでも同じです)、完了したら[次へ]ボタンをクリックし、次の画面で[暗号化の開始]ボタンをクリックします。.
ステップ6:仕上げ
暗号化プロセスは、ドライブのサイズ、暗号化しているデータの量、および空き容量を暗号化することを選択したかどうかによって、数秒から数分またはそれ以上の時間がかかります。.
システムドライブを暗号化している場合は、BitLockerシステムチェックを実行してシステムを再起動するように求められます。オプションが選択されていることを確認し、[続行]ボタンをクリックして、要求されたらPCを再起動します。 PCが初めて起動した後、Windowsはドライブを暗号化します。.
非システムドライブまたはリムーバブルドライブを暗号化している場合は、Windowsを再起動する必要はなく、暗号化がすぐに開始されます。.
暗号化しているドライブの種類にかかわらず、システムトレイのBitLocker Drive Encryptionアイコンをチェックして進行状況を確認できます。また、ドライブが暗号化されている間もコンピュータの使用を続けることができます。.
ドライブのロック解除
システムドライブが暗号化されている場合、ロックを解除する方法は選択した方法(およびPCにTPMがあるかどうか)によって異なります。 TPMを使用していて、ドライブのロックを自動的に解除することを選択した場合でも、それ以外のことに気付くことはありません。通常どおりWindowsを起動するだけです。別のロック解除方法を選択した場合、Windowsはドライブのロック解除を促すプロンプトを表示します(パスワードの入力、USBドライブの接続など)。.
そしてあなたがあなたのアンロック方法を失った(あるいは忘れた)場合、あなたの回復キーを入力するためにプロンプトスクリーンでエスケープを押してください.
非システムドライブまたはリムーバブルドライブを暗号化した場合は、Windowsの起動後に初めてアクセスしたとき(またはリムーバブルドライブの場合はPCに接続したとき)に、ドライブのロックを解除するように求められます。パスワードを入力するかスマートカードを挿入すると、ドライブのロックが解除されて使用できるようになります。.
ファイルエクスプローラでは、暗号化されたドライブのアイコン(左側)に金色の鍵が表示されます。そのロックは灰色に変わり、ドライブをロック解除するとロック解除されているように見えます(右側)。.
ロックされたドライブの管理、パスワードの変更、BitLockerの無効化、回復キーのバックアップ、またはその他の操作をBitLockerコントロールパネルウィンドウから実行できます。暗号化されたドライブを右クリックしてから[Manage BitLocker]を選択すると、そのページに直接移動します。.
すべての暗号化と同様に、BitLockerはいくらかのオーバーヘッドを追加します。 Microsoftの公式BitLocker FAQでは、「一般的に1桁のパーセンテージパフォーマンスオーバーヘッドが発生します」機密データがあるために暗号化が重要である場合、たとえばビジネス文書でいっぱいのノートパソコンなど、セキュリティの強化はパフォーマンスの価値があります-オフ.
