第2回 BitLocker To GoでUSBメモリやリムーバブルハードディスクを暗号化して保護する:超入門BitLocker(2/2 ページ)
BitLockerドライブの管理
BitLockerのドライブを管理するには、コントロールパネルの[システムとセキュリティ]の下にある[BitLockerドライブ暗号化]を使うか、エクスプローラで対象ドライブを右クリックして表示されるメニューから[BitLockerの管理]を選択する。すると次のような管理ツールが起動する。
BitLockerのドライブに対して可能な操作は次の通りである。
| 操作 | 意味 |
|---|---|
| 回復キーのバックアップ | 回復パスワード(数字パスワード)情報のバックアップ。テキストファイルとして保存したり、USBメモリやMicrosoftアカウントにコピーしたり、印刷したりできる |
| パスワードの変更 | ロック解除用の文字列パスワードを変更する |
| パスワードの追加/削除 | TPMやスマートカード、自動起動設定などによって、パスワード以外の認証手段が利用できる場合は、最初に付けたパスワードを削除できる |
| 自動ロック解除の有効化/無効化 | リムーバブルディスクをシステムに装着すると同時に自動的にロック解除させることができる。内蔵固定ディスクの場合は、OSボリュームがBitLockerで保護されている場合にのみ自動ロック解除が可能 |
| BitLockerの有効化/無効化 | BitLockerによる暗号化の開始や終了(元の非暗号化状態に戻す) |
| 保護の中断/再開 | バージョンアップなどのためにBitLockerによる保護を一時的に中断したり、再開したりする。中断させると、内部的にはクリアキーを設定している |
| スタートアップキーのコピー | OSボリュームをBitLockerで暗号化する場合に利用するスタートアップキー(USBメモリ)のコピー(予備)を作成する |
| BitLocker管理ツールで利用できる主な操作 | |
いずれの操作も、対象となるBitLockerドライブのロックが解除されている状態でしか利用できない。もしパスワードを忘れたり、回復キー情報を紛失したりしてロックを解除できなくなった場合は、できることは残念ながらほとんど何もない。そのため、回復キー情報の管理にはくれぐれも気を付けていただきたい。
自動ロック解除機能
「自動ロック解除」機能とは、PCにBitLockerドライブを接続したときに自動的にロックを解除して利用できるようにする機能である。最初の1回だけはパスワード入力などの作業が必要になるものの、以後は同じPCを使う限り、パスワードを入力する必要はない。
自動ロック解除を有効にするには、最初のパスワード入力の画面で[その他のオプション]リンクをクリックして、[このPCで自動的にロックを解除する]というチェックボックスをオンにする。もしくはBitLockerの管理画面で[自動ロック解除の有効化]というリンクをクリックする。
自動ロック解除は、各PCの各ユーザー単位で設定される機能である。異なるPCで使う場合や、別のユーザーがサインインしている場合は、またパスワード入力などの操作が必要になる。例えば自動ロック解除を有効にしたUSBメモリを入手したとしても、認証なしで中を見ることはできない。
BitLocker非サポートOSではどうなる?――Windows Vista編
BitLockerは全てのWindows OSエディションでサポートされているわけではなく、下位エディションではBitLockerドライブを利用できないことになっている。だが相互運用性を確保するために、BitLockerドライブの読み出し機能だけはどのエディションでも利用できる。
例えば以下は、Windows 7 Ultimateで作成したBitLockerのUSBメモリを、Windows Vista Home Premiumに読み込ませたところである。USBメモリには幾つかのファイルを保存してあったが、それらのファイルは見つからず、代わりにまったく別のファイルが多数入っている。
BitLocker非対応のOSでBitLockerディスクをアクセスするBitLockerで暗号化したUSBメモリには、実際にはこのように保存されている。「BitLocker To Go リーダー」は、ファイルの読み出しのみが可能なBitLockerアプリケーション。データの受け渡しにはこれでも十分だろう。
(1)BitLocker To Go リーダーの本体プログラム。ちなみにこのプログラム、Windows 10のBitLockerで作成されたものはバージョンが新し過ぎるのか、Windows Vista上ではエラーで起動できない。
(2)「COV 0000.BL」や「COV 0000.ER」というファイルは、元のボリューム内のデータを暗号化したもの。約4GBごとに1つずつファイルが作られる(FATのファイルサイズ制限のため)。
(3)BitLockerのロック解除用パスワードを入力すると、暗号化されたファイルを読み出せる。
このUSBメモリをシステムにセットすると、「BitLocker To Go リーダー」というプログラム((3))が自動起動する。BitLockerドライブのパスワードを入力すると、次のように、BitLocker内のファイルを読み出すことができる。
BitLocker To GoリーダーBitLocker非サポートOSではどうなる?――Windows 7以降
Windows 7以降のOSでも、HomeやBasic、(Windows 8/8.1の)無印などの下位エディションにはBitLocker機能はない。だがWindows Vistaの場合と違って、ロックされているBitLockerドライブアイコンをダブルクリックするとパスワードの入力画面が表示される。
正しいパスワードを入力するとロックが解除され、上位エディションと同じように、そのまま内部のファイルにアクセスできる。ファイルを読み出すだけでなく、書き込むこともできるので、データの受け渡しや保存ならこれでも十分だろう。
だがBitLockerドライブを作成したり、管理したりすることはできない。エクスプローラのBitLocker関連メニューや、コントロールパネルの「BitLockerドライブ暗号化」アプレットといった、GUIの管理ツールもない。コマンドラインのツールそのものはあるが、キー作成機能がないなど、機能にはかなり制限がある。なので、BitLockerドライブの作成やパスワードなどの管理/変更などは、最初に暗号化したPCで行うとよいだろう。
Windows 10 Home上でBitLockerドライブを使う上位エディションのWindows OSで作成したBitLockerドライブをWindows 10 Homeでアクセスしているところ。
(1)実行しているのはWindows 10 Home。
(2)BitLockerドライブ(USBメモリ)を接続後、ダブルクリックするとパスワードの入力画面が表示されるので入力する。回復キー(後述)でロックを解除することも上位エディションと同様にできる。
(3)USBメモリの内容。ファイルの読み書きも可能。
回復キーを使ったロックの解除
回復キーとは、BitLockerドライブ作成ウィザードの最初の段階で作成される、BitLockerドライブのロックを解除するための暗号鍵の1つだ。以下に回復キーの例を示す。
※回復キーファイルの中はこのようなテキストファイルになっている
BitLocker ドライブ暗号化の回復キー
これが適切な回復キーであることを確認するには、次の ID の先頭と、PC に表示されている ID 値とを比較してください。
ID:
04D6062D-24E8-4161-815E-0FBC423A6659
上記の ID が PC に表示されている ID と一致する場合は、次のキーを使用してドライブのロックを解除します。
回復キー:
477180-356312-387816-597905-572616-305459-073315-108251
上記の ID が PC に表示されている ID と一致しない場合、ドライブのロックを解除するための適切なキーではありません。
別の回復キーを試してみるか、http://go.microsoft.com/fwlink/?LinkID=260589 で詳細を確認してください。
最下行の「477180-……」が「回復キー」である。10進数で6桁の数字が8組ある。10進数になっているのは、人間が入力するときに間違えないようにするためだ(つまりこれは人が使うものということ)。ただのテキスト情報なので、テキストをどこかにコピーしておいてもよい。
「回復キーID」とは、この回復キーを識別するためのID番号である。回復キーが必要な場合、システム側からはこのID(の一部)が提示されるので、ユーザーは、それに相当する「BitLocker回復キー」欄の情報を入力する。
ユーザーがロック解除のためのパスワードを忘れてしまった場合、入力画面の下にある[その他のオプション]をクリックして次の画面を表示させる。
回復キーの入力[回復キーを入力する]をクリックして、キーデータを入力する。
回復キーの入力画面回復キーさえあれば、パスワードを忘れてもロックを解除できるが、あくまでも非常用の手段だ。
(1)このID番号を元に、目的の回復キーを探すこと。
(2)回復キーを入力する(ハイフンは入力不要)。
成功するとロックが解除されるので(パスワードでも回復キーでも、どちらでロック解除しても違いはない)、BitLocker管理画面で新しいパスワードにリセットしておこう。
●Microsoftアカウント上に回復キーを保存する
回復キー情報は手元に置いておくだけでなく、Microsoftアカウント上にも保存しておくことができる。Microsoftアカウントを常用しているなら、手元でファイルや書類にして保存しておくよりも便利で管理しやすいだろう。
Microsoftアカウントに保存されたBitLocker回復キー保存先として[Microsoftアカウントに保存]とすると、クラウド上に保存される。これはOneDriveのサイトだが、OneDriveのデータとは別の場所に隔離して保存されている。キーID情報を元に回復キーを見つけ、コピーしたり、手動で入力したりする。
(1)固定ディスク用のBitLockerの回復キー情報。
(2)BitLocker To Goの回復キー情報。
今回はBitLocker To Goとリムーバブルメディアを例に挙げて、BitLockerドライブの基本的な使い方についてまとめてみた。次回はリムーバブルではない内蔵固定ディスクを対象にしてBitLockerを使ってみる。
Copyright© Digital Advantage Corp. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。