WIndows10のドライブをBitLockerで暗号化！有効/無効(解除)設定について解説！

Windows10のノートPCを社員に支給している会社は多いものです。社員が会社の外にノートPCを持ち出している場合、会社の大切なファイルが入っているノートPCを万が一紛失した時の対策はできていますか。

社員数が多い会社の場合には、万が一のデータやFileの流出を防ぐためのソフトを導入するのには莫大なコストがかかってしまうので、二の足を踏んでしまうこともあるでしょう。

そんなことにおすすめなのが、Windows10で標準搭載されているBitLockerを利用することです。この記事では重要なファイル流出を防ぐことができるWindows10のBitLockerの使い方についてみていきましょう。まずはBitLockerとはどんなものなのか解説します。

BitLockerとはどんなものかというと、BitLockerとはPCのドライブを暗号化するためのツールです。PCではHDDやSSDといった内部ストレージの他に、USBメモリやSDカードなどの外部ストレージなど、いくつもドライブを利用しています。

BitLockerとはPCのデータを保存しているドライブを暗号化することで、データの流出を防ぐことができるツールです。BitLockerとはWindows Vistaから導入されたWindowsの固有機能です。

BitLockerのようにデータを暗号化するソフトやツールはいろいろとあります。中にはファイルごとに暗号化できるものもあります。重要なファイルだけを暗号化すれば、ドライブ全体を暗号化するよりも手間と時間はかかりません。

しかしBitLockerの特徴というのは、ファイルやフォルダごとに暗号化するのではなく、ドライブ全体を暗号化するためのツールだということです。

ファイル一つ一つをその都度暗号化する必要はなく、最初にBitLockerでドライブ全体を暗号化するように設定しておけば、そのドライブにデータを保存するたびに、新しいファイルも暗号化することができます。

Windows10でBitLockerを使ってドライブの暗号化を有効にする方法についてみていきましょう。BitLockerで暗号化を有効にする方法には、小規模向けの方法と、大規模向けの方法があります。まずは小規模向けのBitLockerの使い方とはどんな使い方なのか、ということについてみていきましょう。

まずはPCが数十台レベルの小規模事業所向けのBitLockerの設定方法を見ていきましょう。こちらは暗号化方式がAES128bitで回復キーをファイルで管理する方法です。今回はUSBメモリをBitLockerで暗号化してみましょう。

まずはWindows10に管理者権限でログインします。ExplorerからBitLockerで暗号化するドライブを表示します。今回暗号化するUSBを右クリックして「BitLockerを有効にする」をクリックします。

するとBitLockerを起動する画面が出てきます。暗号化した後でロックを解除する方法を選択できるので、海上方法をパスワードを利用するかスマートカードを利用するか選択します。今回はパスワードを入力します。パスワードを入力したら「次へ」をクリックします。

パスワードとは別にBitLockerでは回復キーが必要になります。回復キーはパスワードとは違い48桁もの英数字になるので覚えておくことはできません。バックアップする必要があります。BitLockerの回復キーのバックアップ方法を選択します。小規模向けのBitLockerの使い方では「ファイルに保存する」を選択します。

すると回復キーを保存する場所を選択する画面が出てきます。PCの内部のドライブを暗号化するためのBitLockerの使い方では、バックアップ場所はPCの外部しか指定できません。USBメモリや光学ディスク外付けHDDなどに保存しましょう。

回復キーのバックアップを保存する場所を決めたら「保存」をクリックするとこのように、回復キーを保存したという旨が表示されます。確認したら「次へ」をクリックします。

「ドライブを暗号化する範囲」を指定する画面になります。「使用済み領域のみ暗号化する」を選択してしまうと、ドライブに暗号化されない領域が生まれてしまい、セキュリティ効果が低くなります。より高いセキュリティ効果を実現したい場合には、「ドライブ全体を暗号化する」を選択して、「次へ」をクリックします。

暗号化モードを選びます。今回はUSBメモリなので「互換モード」ですが、PCの内部のドライブの暗号化を有効にしたい場合には「新しい暗号化モード」を選択して「次へ」をクリックします。

するとこのように暗号化する準備が整ったという表示が出ます。「暗号化の開始」をクリックしてドライブの暗号化を進めます。

次は数十台以上のPCを保有する中規模な事業所でBitLockerの使い方についてみていきましょう。暗号化方式がAES256bitで、回復キーの保存場所はActive Directoryになります。まずはActive DirectoryサーバーにBitLockerドライブ暗号化をインストールして、回復キーを保存できるようにします。

まずはActive Directoryに管理者権限でログインします。サーバーマネージャーを立ち上げて「役割と機能の追加」をクリックします。

「BitLockerドライブ暗号化」を選択して「次へ」クリックしたら「インストール」をクリックします。

インストールが完了したらOSを再起動させて「Active Directory ユーザーとコンピューター」をクリックします。どれでもいいので任意のPCをダブルクリックして「プロパティ」で「BitLocker回復」のタブが表示されていることを確認します。

次にグループポリシーを変更していきます。Active Directoryサーバーに管理者権限でログインしたら、スタートボタンから「グループポリシーの管理」に入ります。BitLockerを利用するための新しいグループポリシーオブジェクトを作成したら、そちらを右クリックして「編集」をクリックします。

「コンピューターの構成」＞「ポリシー」＞「管理テンプレート」＞「Windowsコンポーネント」と進み「BitLockerドライブ暗号化」を開きます。「ドライブの暗号化方法と暗号強度を選択する」をダブルクリックします。

「有効」にチェックを入れて、暗号化方式で「AES256ビット」を選択します。

「コンピューターの構成」＞「ポリシー」＞「管理テンプレート」＞「Windowsコンポーネント」＞「BitLockerドライブ暗号化」＞「オペレーティングシステムのドライブ」と開き、「BitLockerで保護されているオペレーティングシステムドライブの回復方法を選択する」の項目をダブルクリックして開きます。

「有効」にチェックを入れて、「BitLockerセットアップウィザードの回復オプションを省略する」および「AD DSにオペレーティングシステムドライブの回復情報が格納されるまでBitLockerを有効にしない」にチェックをいれます。

編集したBitLockerをマネージメントするためのグループポリシーオブジェクトをドメインにリンクさせます。

次にそれぞれのPCでドライブを暗号化していきます。まずはそれぞれのPCにグループポリシーを適用させるためにコマンドプロンプトを管理者権限で立ち上げます。「gpupdate /force」と入力して実行するとグループポリシーが更新されます。

「小規模向け」でBitLockerを有効にしたときと同じように、エクスプローラーから暗号化したいドライブを表示して、右クリックから「BitLockerを有効にする」をクリックします。「ドライブ全体を暗号化する」を選択して、「次へ」をクリックするとドライブの暗号化が開始されます。

BitLockerで暗号化を有効に設定した後で、暗号化を解除したいときの解除方法についてみていきましょう。BitLockerの暗号化の設定を解除したいときには、管理者権限でWindows10にログインしたら、エクスプローラーで暗号化を解除したいドライブを表示して右クリックします。

すると表示されたメニューの中に「BitLockerの管理」とあるので、そちらをクリックします。

BitLockerを設定したドライブには、BitLockerの設定メニューが表示されているので、そちらの中から「BitLockerを無効にする」をクリックします。

すると本当にBitLockerの設定を解除するかどうか確認のメッセージが表示されるので「無効にする」をクリックします。

すると暗号化の設定の解除が実行されて、暗号化が解除されます。

Windows10でBitLockerの使い方では注意しなくてはいけない点があります。Windows10でBitLockerの使い方での注意点とはどんなものがあるのでしょうか。

Windows10のPCが盗難に遭ったときに、万が一管理者権限のアカウントのパスワードが破られて、ログインされてしまうと、管理者権限のアカウントから簡単にロックを解除することができます。解除する方法でも見たように、管理者権限のアカウントからのBitLockerの解除にはパスワードや回復キーの入力は必要ありません。

管理権限のアカウントに入るパスワードは厳重に管理するとともに、エンドユーザーに管理権限を与えないようにすることが大切です。

Windows10のBitLockerで回復キーやパスワードを入力するのに、回数制限がありません。そのために、ある意味で無限の回数、入力を試してみることができてしまいます。時間を掛ければBitLockerのロックを解除することもできてしまう、というのは完璧なセキュリティとは言えない可能性もあります。

BitLockerを管理するのは、サーバーベースではなく個々のPCベースになります。そのために、PCが紛失や盗難に遭ってしまったときに、本当に暗号化しているのかどうか確認する方法がありません。完璧に暗号化されているかどうか、定期的に確認して他の場所へ記録を残しておかなくてはいけません。

回復キーとはBitLockerのパスワードを忘れた時に入力するものですが、回復キーはまとめてサーバーで管理することができません。PC1台ずつ発行されるので、それぞれのPCごとに管理しなくてはいけません。48桁という回復キーは入力するのも大変ですし、口頭で伝えるわけにもいきません。

何らかの理由でエンドユーザーに伝えた場合には、必要なくなった時に速やかに変更しなくてはいけない、という煩雑さもあります。

回復キーやパスワードをそのPCを使っている人すべてに伝える必要がある場合には、1つのパスワードをすべての人が共有しなくてはいけない、という煩雑さもあります。

Windows10のBitLockerの回復キーやパスワードは、ユーザーごとに発行するものではなく、PCごとに発行されます。そのために、使っている人すべての人が共有する必要がある、というのも非常に煩雑な点になります。

Windows10のCドライブをBitLockerで暗号化した場合、ハードウエア構成が変更されるたびにBitLockerが回復キーの入力を求める、というのも煩雑な点です。BitLockerが回復キーの入力を求めるハードウエア構成の変更とは、HDDを入れ替えたとかSSDを増設した、という大規模なものだけではありません。

USBで着脱式のキーボードやマウスやUSBメモリの取り外しをしたとか、その程度のことでも48桁の回復キーを入力しなくてはいけないのはかなり大きな手間になります。

Windows10でBitLockerを使う上での注意点として、Microsoftのサポート体制が不十分だというのも頭に入れておきましょう。BitLockerの使い方で問題が起きた時でも、サポートフォーラム程度しか頼れるものがないので、基本的に自分ですべて解決しなくてはいけません。

Windows10でドライブを暗号化してセキュリティを守るためのソフトはBitLocker以外にも使えるものがあります。

BitLockerより人気なものは「Check Point Full Disk Encryption」というソフトがあります。

BitLockerはWindows10にログインしてから起動させるので、ログインを防ぐ機能はありません。しかし「Check Point Full Disk Encryption」は起動前に認証が必要な機能を持っているので、PCへログインされることを防ぐことができます。また、暗号化のセキュリティレベルもBitLockerよりも高いという特徴があります。

BitLockerはネットワーク全体の管理者が一元管理できるコンソールがありません。しかし「Check Point Full Disk Encryption」には管理コンソールがあるので、一元的に管理ができるというのも大きなメリットになります。

またBitLockerはWindowsの機能なのでMacでは使うことができません。しかし、「Check Point Full Disk Encryption」はMacでもWindowsでも関係なく使うことができます。大きな会社ではWindowsとMacの両方を使っていることが多いので、PCの種類を問わず一元管理できるメリットは非常に大きいといえます。

今や仕事に欠かすことができないツールとなったPCのファイルやデータは、会社として守らなくてはいけないものです。競争相手に秘密のファイルを奪われてしまったら、会社が得るべき利益を奪われる可能性もあります。ぜひBitLockerなどのドライブを暗号化するツールを導入して、大切なファイルが流出しないように対策を取るようにしましょう。