Windows 10/11で安全のためBitLockerを使ってディスクの暗号化を行っていると、何らかの理由で「回復キー」が要求されることがある。またメーカー製PCの場合、自動的にBitLockerによる暗号化が実行されることがある。この場合、自分で操作していないため、回復キーの保存場所が分からないこともあるだろう。回復キーがないと、システムが起動できず、使うことができなくなってしまう。そこで、回復キーの探し方を解説しよう。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
対象:Windows 10/11
PCの紛失や盗難などの際に、大事なデータも盗まれてしまう可能性がある。こうした事態を防ぐため、BitLockerでディスクを暗号化することを推奨している組織も多いのではないだろうか(BitLockerで暗号化する方法は、Tech TIPS「まさかの情報漏えいからあなたを守る『BitLocker』の使い方【Windows 11】」参照のこと)。
また、メーカー製のPCでは、BitLockerを設定した覚えがなくても条件を満たすと、自動的にBitLockerが有効化されることがある(BitLockerをサポートしていないはずのHomeエディションでも、BitLockerが有効化されることがある)。
通常、Windows 11のシステムドライブをBitLockerで暗号化している場合、サインインすると自動的にBitLockerのロックが解除されるため、BitLockerで暗号化されていることを意識することがない。
また、データドライブやUSBメモリなどの場合は、パスワードを入力してロックが解除できる。
こうした理由のため、BitLockerで暗号化する際に用いられた「回復キー」(48桁の数字)を入力する機会はほとんどない。そのため、BitLockerを設定してからしばらくすると、回復キーがどこに保存されているのか分からなくなってしまうことがある。
そんなときになって、突然、回復キーの入力が求められて焦ることになる。例えば、更新プログラムの不具合などで、回復キーの入力が求められることがある。回復キーが入力できなければ、Windows OSが起動しないので、最悪、システムの再インストール/再設定を行わなければならない。そんな事態になっても焦らないように、回復キーの保存場所を確認しておこう。
システムドライブやUSBメモリにBitLockerを設定した場合、[BitLockerドライブ暗号化]ウィザードの「回復キーのバックアップ方法を指定してください」画面で、暗号化を解除するための「回復キー」を保存する方法を次の3つから選択できる。
データドライブの場合は、これらに加えて「USBフラッシュドライブに保存する」の選択が可能だ。
いずれの場合も複数の方法が選択できる。つまり、回復キーはこれらのいずれかで保存されているはずだ。回復キーを探す場合は、BitLockerを設定した際に選択した保存先を思い出せばよい。
なお、メーカー製PCでBitLockerが有効化されている場合は、初期設定ウィザードで設定したMicrosoftアカウントに自動的に保存されるようになっている。Microsoftアカウントを確認することで、回復キーの確認が行える。
ここでは、Microsoftアカウントに回復キーを保存しているとして、その確認方法を解説しよう。
Webブラウザで「Microsoftアカウント」ページの「BitLocker回復キー」画面を開き、[利用可能なその他のキーを表示する]をクリックし、一覧を表示する。回復キーは、PCのドライブごとに設定されるうえ、削除しない限り、BitLockerを解除しても回復キーは登録されたままになるため、複数のキーが登録されている可能性がある。
回復キーの入力画面で「キーID」が表示されている場合は、その中の「キーID」を見て回復キーを確認すればよい。「キーID」が表示されていない場合は、「デバイス名(PCの名前)」や「キーのアップロード日」などから該当する回復キーを確認することになる。
回復キーの一覧の「ドライブ」欄にある「OSV」はオペレーティングシステムドライブ、「FSV」は固定データドライブ、「RDV」はリムーバブルデータドライブを指す。同じデバイスに複数の回復キーがある場合は、こうした情報を基に該当する回復キーを判断すること。
メーカー製PCの場合も、この一覧に回復キーがバックアップされているはずなので、デバイス名などから推測できる。
職場や学校アカウントを利用しており、Microsoftアカウントを設定していない場合、BitLockerの回復キーはMicrosoftアカウントに保存できない。アカウントの種類などにもよるが、Azure ADアカウントに保存されている可能性がある。この場合、ユーザーが確認するのが難しいことも多いので、管理者に確認するとよい。
同様に、職場の管理者からBitLockerの設定済みのPCが提供された場合も、管理者が回復キーを管理しているはずなので、管理者に確認すること。
回復キーは、[コントロールパネル]の[BitLockerドライブ暗号化]アプレットでバックアップが可能だ(Windows 10/11 Homeを除く)。[BitLockerドライブ暗号化]アプレットを開き、暗号化が有効化されているドライブを選択、[回復キーのバックアップ]をクリックして、ファイルに保存してOneDriveのPersonal Vault領域に移動しておく、紙に印刷して保証書などと一緒に保管しておく、といった対策を取っておくとよい。
Windows 10/11 Homeは、[BitLockerドライブ暗号化]アプレットをサポートしていないため、メーカー製PCなどでBitLockerが自動的に実行されている場合は、Microsoftアカウントに回復キーが保存されているはずなので、上述のMicrosoftアカウントの「BitLocker回復キー」ページを開き、「PCの名前」から該当する回復キーを探し、紙に印刷するか、ファイルにコピーして保存しておくとよい。
回復キーが分からない状態で、回復キーの入力が求められた場合、再度、Microsoftアカウントを確認してみよう。
Microsoftアカウントを追加していたり、変更していたりした場合、別のMicrosoftアカウントに回復キーが保存されている可能性もある。可能性のあるMicrosoftアカウントに回復キーが保存されていないか確認してみよう。
また「PCの名前」を変更した場合も、古い名前で回復キーが登録されている可能性があるので、「キーのアップロード日」などから該当しそうなものを試してみるとよい。
思い当たる場所を全て探しても回復キーが見つからなかった場合は、残念ながら初期化して、再インストールを行うしかない。
BitLockerを設定したら、複数の手段で回復キーを保存すること。特にMicrosoftアカウントへの保存は必ずした方がよい。Microsoftアカウントを削除しない限り、他のPCやスマートフォンを使って確実にオンラインで確認できるためだ。一方、その他の方法だと、ファイルを誤って削除してしまったり、印刷した紙をなくしてしまったりすると、回復キーが失われてしまう。つまり、Microsoftアカウントに保存しつつ、その他の方法でもバックアップするのが確実といえる。
保存後は忘れないように、たまに回復キーを確認するようにしておこう。また、「PCの名前」も後で探しやすいように、初期設定ウィザードで分かりやすい名前を付けるように心掛けるとよい。
Copyright© Digital Advantage Corp. All Rights Reserved.