検索
連載

まさかの情報漏えいからあなたを守る「BitLocker」の使い方【Windows 11】Tech TIPS

PCの紛失や盗難などによって大事なデータが盗まれてしまう可能性がある。これを防ぐには、大事なデータが保存されているディスクを暗号化してしまうことだ。そこで、Windows 11標準の暗号化ツール「BitLocker」を使った暗号化の設定方法と解除方法を紹介しよう。

[小林章彦,デジタルアドバンテージ] PC用表示 関連情報
Share
Tweet
LINE
Hatena
「Tech TIPS」のインデックス

連載目次

対象:Windows 11


BitLockerでディスクを暗号化する設定と解除方法
BitLockerでディスクを暗号化する設定と解除方法
PCの紛失や盗難などによって大事なデータが盗まれてしまう可能性がある。大事なデータが保存されているディスクは、暗号化して、万一盗難などにあってもデータが漏えいしないようにしよう。それには、Windows 11標準の暗号化ツール「BitLocker」を使ってドライブを暗号化するとよい。その設定方法と解除方法を紹介する。

 ノートPCを持ち歩いて使っていると不安なのが、紛失や盗難などによって大事なデータが盗まれてしまう可能性があることだ。いくら生体認証などを使ってサインイン時のセキュリティを堅牢(けんろう)にしていても、USBメモリから起動することで、内蔵ディスクから簡単にデータを抜き出すことができてしまうからだ。

 こうした万一の状況からデータを守る方法として、Windows OS標準(Homeを除く)の暗号化機能「BitLocker」を使ってディスクを暗号化するという方法がある(BitLockerの仕組みなど詳細については、超入門BitLocker「BitLockerとは」参照のこと)。ただし、Windows 11 HomeはBitLockerをサポートしていないので注意してほしい。

 本Tech TIPSでは、Homeを除くWindows 11でBitLockerを使ってディスクを暗号化する方法ならびに暗号化を無効化する方法を紹介しよう。

BitLockerを有効にしてディスクを暗号化する

 BitLockerで暗号化できるディスクは、大きく分けて以下の3種類がある。

ドライブの種類 説明
オペレーティングシステムドライブ Windows 11がインストールされているC:ドライブ
固定データドライブ データディスク(内蔵ディスク上にあるブートディスク以外のボリューム)
リムーバブルデータドライブ USBメモリなどのリムーバブルディスク
BitLockerドライブ暗号化でサポートするディスクの種類

 検索機能などで[コントロールパネル]を開き、[BitLockerドライブ暗号化]をクリックする。[BitLockerドライブ暗号化]画面が開くので、BitLockerで暗号化したいドライブをクリックして展開し、[BitLockerを有効にする]をクリックする。[BitLockerドライブ暗号化]ウィザードが起動する。

[BitLockerドライブ暗号化]アプレットを起動する(1)
[BitLockerドライブ暗号化]アプレットを起動する(1)
[コントロールパネル]を開き、[BitLockerドライブの暗号化]をクリックする。
[BitLockerドライブ暗号化]アプレットを起動する(2)
[BitLockerドライブ暗号化]アプレットを起動する(2)
[BitLockerドライブ暗号化]アプレットを起動する。ドライブの種類に応じて、「オペレーティングシステムドライブ」「固定データドライブ」「リムーバブルデータドライブ」に分けられて表示される。

 オペレーティングシステムドライブの場合と固定データドライブとリムーバブルデータドライブの場合で若干、手順や推奨の設定などが異なるので、それぞれの場合での手順を紹介する。

オペレーティングシステムドライブの場合

 オペレーティングシステムドライブの場合、[BitLockerドライブ暗号化]ウィザードの「回復キーのバックアップ方法を指定してください」画面で、暗号化を解除するための「回復キー」を保存する方法を「Microsoftアカウントに保存する」「ファイルに保存する」「回復キーを印刷する」から選択する。バックアップは複数の方法が選択できるので、「Microsoftアカウントに保存する」と「ファイルに保存する」を実行するなど、なるべく複数の方法を使って回復キーを保存しておくとよい。

 「ドライブを暗号化する範囲の選択」画面では、「使用済みの領域のみ暗号化する」か「ドライブ全体を暗号化する」のいずれかを選択する。オペレーティングシステムドライブの場合、既に使用を開始している状態なので、「ドライブ全体を暗号化する」を選択した方がよい。

 「使用する暗号化モードを選ぶ」画面では、「新しい暗号化モード」か「互換モード」から選択する。ブートドライブの場合、取り外すことはないので「新しい暗号化モード」を選択しておけばよい。

 次に「このドライブを暗号化する準備ができましたか?」画面が表示されるので「BitLockerシステムチェックを実行する」にチェックを入れて、「続行」ボタンをクリックする。再起動が促されるので、[今すぐ再起動する]ボタンをクリックして再起動を行う。

 再起動後、BitLockerによる暗号化が実行される。暗号化の実行中もWindows 11を使った作業は継続して行うことができる。

オペレーティングシステムドライブを暗号化する(1)
オペレーティングシステムドライブを暗号化する(1)
「オペレーティングシステムドライブ」欄を展開し、[BitLockerを有効にする]をクリックする。
オペレーティングシステムドライブを暗号化する(2)
オペレーティングシステムドライブを暗号化する(2)
回復キーのバックアップ方法の選択画面になるので、ここでバックアップ方法を1つ以上実行する。回復キーをなくして解除不能にならないよう、複数の方法でバックアップを実行したほうがよい。
オペレーティングシステムドライブを暗号化する(3)
オペレーティングシステムドライブを暗号化する(3)
オペレーティングシステムドライブの場合、安全性を高めるため「ドライブ全体を暗号化する」をチェックする。
オペレーティングシステムドライブを暗号化する(4)
オペレーティングシステムドライブを暗号化する(4)
オペレーティングシステムドライブでは互換性問題が発生しないので、より安全性の高い「新しい暗号化モード」を選択する。
オペレーティングシステムドライブを暗号化する(5)
オペレーティングシステムドライブを暗号化する(5)
「BitLockerシステムチェックを実行する」にチェックを入れる。
オペレーティングシステムドライブを暗号化する(6)
オペレーティングシステムドライブを暗号化する(6)
[今すぐ再起動する]ボタンをクリックして再起動を行う。
オペレーティングシステムドライブを暗号化する(7)
オペレーティングシステムドライブを暗号化する(7)
「BitLockerが暗号化中です」と表示され、暗号化作業が実行される。この状態でもWindows 11を使い続けることができる。

 なお、オペレーティングシステムドライブではサインインすると自動的にBitLockerのロックが解除されるため、回復キーなどを入力する必要はない。そのため、サインインされてしまうと、ドライブ内のデータにもアクセスできてしまうので、安全性を高めるのであれば、データは別ドライブに配置して、そこをBitLockerで暗号化した方がよい。

 また、オペレーティングシステムドライブをBitLockerで暗号化していても、Windows回復環境(Windows RE)に脆弱(ぜいじゃく)性が見つかっており、暗号化がバイパスされてしまう危険性がある。Tech TIPS「BitLockerの暗号化をバイパスできるWinRE(回復環境)の脆弱性解消法、隠しフォルダ対応も忘れずに」を参考に、忘れずに更新プログラムを適用しておくこと。

固定データドライブとリムーバブルデータドライブの場合

 固定データドライブとリムーバブルデータドライブの場合、「このドライブのロック解除方法を選択する」画面で、「パスワードを使用してドライブのロックを解除する」か「スマートカードを使用してドライブのロックを解除する」のいずれかを選択する。通常は、「パスワードを使用して……」を選択し、パスワードを設定する。パスワードはある程度の長さがないと設定できないので注意してほしい。

 その後は、「回復キーのバックアップ方法を指定してください」画面で回復キーのバックアップ方法を「Microsoftアカウントに保存する」「USBフラッシュドライブに保存する(固定データドライブでUSBメモリを差している場合)」「ファイルに保存する」「回復キーを印刷する」から選択する。

 「ドライブを暗号化する範囲の選択」画面で暗号化するドライブの範囲を選択し、「使用する暗号化モードを選ぶ」画面になるので固定データドライブならば「新しい暗号化モード」を、USBメモリならば「互換モード」を選択すればよい。USBメモリを新しい暗号化モードで暗号化してしまうと、古いWindows 10などで読めなくなってしまう可能性がある。

 「このドライブを暗号化する準備ができました」画面になるので、[暗号化の開始]ボタンをクリックして、BitLockerによる暗号化を開始する。

固定データドライブやリムーバブルデータドライブを暗号化する(1)
固定データドライブやリムーバブルデータドライブを暗号化する(1)
「固定データドライブ」欄または「リムーバブルデータドライブ」欄を展開し、[BitLockerを有効にする]をクリックする。画面では、「固定データドライブ」で実行しているが、「リムーバブルデータドライブ」でも手順は一緒だ。
固定データドライブやリムーバブルデータドライブを暗号化する(2)
固定データドライブやリムーバブルデータドライブを暗号化する(2)
一般的には「パスワードを使用してドライブのロックを解除する」にチェックを入れて、パスワードを設定する。
固定データドライブやリムーバブルデータドライブを暗号化する(3)
固定データドライブやリムーバブルデータドライブを暗号化する(3)
回復キーのバックアップを1つ以上実行する。固定データドライブの場合のみ、USBフラッシュドライブに回復キーが保存できる。
固定データドライブやリムーバブルデータドライブを暗号化する(4)
固定データドライブやリムーバブルデータドライブを暗号化する(4)
新しい固定データドライブやリムーバブルデータドライブの場合、「使用済みの領域のみ暗号化する」を選択すると、短い時間で暗号化できる。
固定データドライブやリムーバブルデータドライブを暗号化する(5)
固定データドライブやリムーバブルデータドライブを暗号化する(5)
固定データドライブの場合は「新しい暗号化モード」を、USBメモリなどの場合は「互換モード」をチェックする。USBメモリでも、古いWindows OSで使わないのであれば、「新しい暗号化モード」でも構わない(Microsoftがサポート中のWindows OSは「新しい暗号化モード」に対応している)。
固定データドライブやリムーバブルデータドライブを暗号化する(6)
固定データドライブやリムーバブルデータドライブを暗号化する(6)
[暗号化の開始]ボタンをクリックすると、BitLockerによる暗号化が行われる。再起動は不要だ。
固定データドライブやリムーバブルデータドライブを暗号化する(7)
固定データドライブやリムーバブルデータドライブを暗号化する(7)
BitLockerによる暗号化が行われた。

 暗号化が完了すると、[コントロールパネル]の[BitLockerドライブ暗号化]画面で「ボリューム(D:)BitLockerが有効です」といったように表示される。なお、ロックが解除されていない場合は、「BitLockerが有効です(ロック)」と表示され、パスワードを入力しないとこのドライブにはアクセスできなくなる。

BitLockerによりドライブがロックされた状態(コントロールパネル)
BitLockerによりドライブがロックされた状態(コントロールパネル)
再起動などを行うと、BitLockerによりドライブがロックされ、パスワードを入力しないとアクセスできなくなる。

 エクスプローラーの「PC」画面を見ると、ドライブアイコンにBitLockerで暗号化されているマークが付く。

BitLockerによりドライブがロックされた状態(エクスプローラー)
BitLockerによりドライブがロックされた状態(エクスプローラー)
BitLockerを有効にすると、エクスプローラーの「デバイスとドライブ」欄の表示に鍵アイコンが付く。

BitLockerのロックを解除する

 固定データドライブとリムーバブルデータドライブの場合の場合、再起動後などにはBitLockerの暗号化時に設定したパスワードを入力しないとロックが解除できず、ドライブへのアクセスが行えない。

 エクスプローラーで暗号化したドライブをクリックするか、[コントロールパネル]−[BitLockerドライブ暗号化]を開き、ロックを解除したいドライブの[ドライブのロックを解除]をクリックし、デスクトップ右上に表示されるパスワード入力画面にパスワードを入力すればよい。

 パスワードが分からなくなった場合は、[その他のオプションを表示]をクリックして、表示された[回復キーを入力する]をクリックして、次の画面で回復キーを入力すればよい。どちらも分からなくなった場合は、ドライブにアクセスできない状態になるので、回復キーは前述の通り、複数の方法でバックアップしておくのがよい。

BitLockerのロックを解除する(1)
BitLockerのロックを解除する(1)
エクスプローラーで暗号化されているドライブをクリックしたり、[BitLockerドライブ暗号化]アプレットで[ドライブのロックを解除]をクリックしたりすると、パスワードの入力画面が表示される。ロックを解除するには、ここにパスワードを入力して、[ロック解除]ボタンをクリックする。パスワードを忘れてしまった場合は、[その他のオプション]をクリックする。
BitLockerのロックを解除する(2)
BitLockerのロックを解除する(2)
[その他のオプション]を開いて、[回復キーを入力する]をクリックする。
BitLockerのロックを解除する(3)
BitLockerのロックを解除する(3)
バックアップしてあった回復キーを入力する。複数の回復キーがある場合は、「キーID」を使って該当するものを探す(詳しくは後述)。

パスワードの変更や自動ロック解除を設定する

 BitLockerで固定データドライブのロックを外した状態で、[コントロールパネル]の[BitLockerドライブ暗号化]画面で「ボリューム(D:)BitLockerが有効です」欄を開くと、回復キーのバックアップやパスワードの変更などが行える。

 毎回、パスワードを入力して固定データドライブのロックを解除するのが手間な場合、[BitLockerドライブ暗号化]画面の「ボリューム(D:)BitLockerが有効です」欄で[自動ロック解除の有効化]をクリックすると、サインインと同時に自動的に固定データドライブのロックが解除されるようになる。

 ただし、この設定ができるのは、固定データドライブのみで、オペレーティングシステムドライブもBitLockerで暗号化している場合に限られる。これは、解除用のキー情報がシステム内に登録されるので、BitLockerで暗号化していないと解除用のキーが丸分かりになってしまうためだ。

パスワードの変更や自動ロック解除を設定する
パスワードの変更や自動ロック解除を設定する
[BitLockerドライブ暗号化]アプレットで「固定データドライブ」欄を展開すると、パスワードが変更できたり、自動ロック解除を有効化できたりする。自動ロック解除は、オペレーティングシステムドライブもBitLockerで暗号化しておく必要がある(暗号化中でも有効化できる)。

 なお、自動ロック解除を有効にしていると、オペレーティングシステムドライブのBitLockerを無効化する際、自動ロック解除を有効化したドライブのBitLockerも同時に無効化されてしまう点に注意してほしい。

BitLockerを無効にする

 BitLockerによる暗号化が不要になった場合、BitLockerを無効化することで暗号化を解除できる。

 それには、[コントロールパネル]の[BitLockerドライブ暗号化]画面を開き、BitLockerを無効化したいドライブをクリックして展開し、[BitLockerを無効にする]を選択すればよい。

 固定データドライブの自動ロック解除を有効にしている場合、オペレーティングシステムドライブのBitLockerを無効化すると、警告ダイアログが表示されるので、[すべてのドライブの暗号化解除]ボタンをクリックして、BitLockerを無効化する。前述の通り、固定データドライブのBitLockerも同時に無効化されるので、必要であれば再度、BitLockerを有効化すること。

BitLockerを無効にする(1)
BitLockerを無効にする(1)
[BitLockerドライブ暗号化]アプレットを開き、BitLockerを無効化したいドライブを展開し、[BitLockerを無効にする]をクリックする。
BitLockerを無効にする(2)
BitLockerを無効にする(2)
固定データドライブの自動ロック解除が有効化されている状態で、オペレーティングシステムドライブの暗号化を解除する場合、固定データドライブの暗号化も解除される。
BitLockerを無効にする(3)
BitLockerを無効にする(3)
オペレーティングシステムドライブだけでなく、固定データドライブも自動ロック解除を設定していたため暗号化が解除されている。

 リムーバブルデータドライブのBitLockerを無効化する場合は、暗号化の解除中はドライブを外さないこと。解除中にドライブを外してしまうと、データが読み出せなくなってしまう危険性があるので十分に注意したい。どうしても、暗号化の解除中にドライブを外したい場合は、[暗号化を解除しています]ダイアログの[一時停止]ボタンをクリックし、暗号化の解除を停止してから外すこと。

回復キーの保存方法と確認方法

 BitLockerを使って暗号化する際、前述のように回復キーのバックアップが求められる。通常、回復キーの入力を求められることはないが、セーフモードやWindows回復環境(Windows RE)でコマンドプロンプトを起動しようとした場合、回復キーの入力が求められる。

Windows回復環境の回復キー入力画面
Windows回復環境の回復キー入力画面
Windows回復環境(Windows RE)でコマンドプロンプトを起動する際など、このように回復キーの入力が求められる。この際、キーIDなどの情報は表示されないので、マシン名と日付から類推する必要がある。

 回復キーが分からなくなると、ドライブへのアクセスが行えなくなってしまうため、最悪の場合、完全にフォーマンとして環境を作り直す必要が生じる。そこで、回復キーの保存方法の注意点とMicrosoftアカウントに保存した場合の回復キーの確認方法をまとめた。

回復キーの保存方法の注意

 ローカルアカウントでサインインしていると、Microsoftアカウントに回復キーが保存できないことがある。このような場合、[設定]アプリの[アカウント]−[メールとアカウント]画面を開き、「他のアプリで使われるアカウント」欄でMicrosoftアカウントを追加するとよい。

Microsoftアカウントに保存した回復キーを確認する

 同じMicrosoftアカウントに複数の回復キーを保存していると、どの回復キーがどのドライブに対するものか分からなくなることがある。

 Webブラウザで「Microsoftアカウント」ページの「BitLocker回復キー」画面を開き、[利用可能なその他のキーを表示する]をクリックし、一覧を表示、その中の「キーID」を見て回復キーを確認すればよい。回復キーの入力画面で「キーID」が表示されていない場合は、「デバイス名」や「キーのアップロード日」などから該当する回復キーを確認することになる。

 「ドライブ」欄の「OSV」はオペレーティングシステムドライブ、「FSV」は固定データドライブ、「RDV」はリムーバブルデータドライブのことだ。同じデバイスに複数の回復キーがある場合は、こうした情報を元に該当する回復キーを判断すればよいだろう。

Microsoftアカウントに保存した回復キーを確認する
Microsoftアカウントに保存した回復キーを確認する
「Microsoftアカウント」ページの「BitLocker回復キー」画面を開き、[利用可能なその他のキーを表示する]をクリックして、回復キーの一覧を表示する。キーIDやドライブ、日付などから、該当する回復キーを探す。

 ただし、Microsoftアカウントの「BitLocker回復キー」画面で確認できる回復キーは、BitLockerの暗号化時や[コントロールパネル]の[BitLockerドライブ暗号化]でMicrosoftアカウントに回復キーをバックアップした場合のみだ。Microsoftアカウントにバックアップしていない場合は、この一覧には表示されないので注意してほしい。何らかの理由で、BitLockerの暗号化時にMicrosoftアカウントに回復キーを保存できなかった場合は、[コントロールパネル]−[BitLockerドライブ暗号化]を開き、Microsoftアカウントに回復キーをバックアップしておくとよいだろう。

BitLockerを有効化しているPC以外で回復キーを確認できるようにしておく

 前述のWindows回復環境のように、回復キーの入力が求められている状況では、そのPCが実質的に使えない場合がある。そのため、他のPCやスマートフォンで回復キーを確認できるように準備しておくか、紙に印刷しておくとよい。例えばMicrosoftアカウントに回復キーを保存している場合は、他のPCやスマートフォンでもそのアカウントで「Microsoftアカウント」ページを開けるようにしておくとよいだろう。

Copyright© Digital Advantage Corp. All Rights Reserved.

ページトップに戻る