Windows TIPS
[System Environment]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

BitLocker To GoでUSBメモリを暗号化する

解説をスキップして操作方法を読む

デジタルアドバンテージ 小林 章彦
2010/09/24
対象OS
Windows 7 Enterprise/Ultimate
大事なデータをUSBメモリで持ち運んでいると、紛失によって情報漏えいの危険性がある。
Windows 7のBitLocker To GoでUSBメモリを暗号化すれば、情報漏えいの危険性を大幅に低減できる。

解説

 自宅で続きの作業を行うため、大事なデータをUSBメモリやSDカードなどのリムーバブル・メディアに保存して持ち出すこともあるだろう。顧客情報などの重要なデータを外部に持ち出さないことは、情報セキュリティを確保するうえでの常識となっているが、実際にはさまざまな理由から重要なデータを持ち運ばなければならないことがある。場合によっては、本来は持ち出し禁止の顧客情報や大事なプロジェクトのデータなどを持ち出さざるを得ないことがあるかもしれない。

 こうした大事なデータを保存したリムーバブル・メディアを紛失してしまうと、場合によっては会社の存続を左右してしまう可能性さえある。最低限、データを「素のまま」保存せず、暗号化しておけば、万が一、リムーバブル・メディアを紛失しても情報漏えいの危険性は大幅に低減できる。しかし、ファイルをコピーするたびに暗号化するのは少々面倒だ。

Windows 7プレビュー「第3回 ネットワークとセキュリティ機能
Windows 7新時代

 このような場合、Windows 7 Enterprise/Ultimateが標準でサポートするツール「BitLocker To Go(以下、BitLocker)」を利用するとよい。BitLockerで暗号化できるのは、Windows 7 Enterprise/Ultimateだけだが、BitLockerで暗号化したリムーバブル・メディアは、パスワードさえ分かれば、ほかのWindows OSでも読むことが可能だ(書き込みはできない)。そのため、会社のWindows 7 Enterpriseで暗号化して、自宅のWindows XPで読み出すこともできる。

  操作方法

リムーバブル・メディアをBitLockerで暗号化する準備を行う

 暗号化を行うためには、まずフォーマット済みのメディアを用意して、BitLockerで利用するための準備を行う。データ(ファイル)が含まれていると、そのデータも暗号化されてしまうので、必要ならあらかじめ削除や移動しておくこと。

 USBメモリなどのリムーバブル・メディアをWindows 7 Enterprise/Ultimateのコンピュータに差し、エクスプローラ上でリムーバブル・メディアのドライブ名を右クリックして、ポップアップ・メニューから[BitLockerを有効にする]を選択する([コントロール パネル]−[BitLockerドライブ暗号化]アプレットを実行し、リムーバブル・ドライブを選択し、[BitLockerを有効にする]をクリックしてもよい。このメニューが現れない場合は、BitLockerで利用できないメディアである)。

リムーバブル・メディアをBitLockerで暗号化する
エクスプローラでリムーバブル・ドライブを右クリックし、ポップアップ・メニューから[BitLockerを有効にする]を選択する。
エクスプローラでリムーバブル・ドライブを右クリックする。
[BitLockerを有効にする]を選択する。

 [BitLockerドライブ暗号化]ウィザードが起動するので、まずパスワード(8文字以上)を設定する。次の画面では、BitLockerの「回復キー」を保存する方法を指定する。回復キーとは、ユーザーがパスワードを忘れた際などに備えて、暗号化を解除する特別なキーである。回復キーを安全な場所に保存しておけば、パスワードを忘れた場合でもアクセスすることが可能である。回復キーはファイルに出力するか、印刷して出力しておくことができる(両方も可能)。回復キーを利用したロックの解除方法については後述する。

パスワードの設定画面
BitLockerによって保護されるデータの安全性は、ここで入力するパスワードの強度にかかっている。最低でも8文字の入力が必要になるが、パスワードの強度を示唆するような仕組みはないので、複雑で推測されにくい文字列にすること。短いと解読されやすくなり、安全性が低くなる。
8文字以上の文字列を入力する。

回復キーの保存方法の指定画面
パスワードを忘れた場合に備えた暗号化を解除する特別なキーの保存方法を選択する。ファイルに保存しておく方が、パスワードを忘れた際の回復キーの入力が楽である。

 以上の設定が完了すると、暗号化作業が行われる。リムーバブル・メディアに保存されていたファイルやフォルダを含むメディア全体が暗号化されるので(空き領域もすべて暗号化の対象となる)、暗号化されると困るファイルなどがある場合は、リムーバブル・メディアから移動しておいた方がよい。暗号化の作業は、リムーバブル・メディアの容量や性能によって異なるが、少し時間がかかる。その間、リムーバブル・メディアを絶対に外さないこと(リムーバブル・メディアに保存されていたデータが失われてしまう可能性がある)。

BitLockerで暗号化されたリムーバブル・メディアを利用する

 暗号化が完了すれば、後は通常のリムーバブル・メディアと同様に利用できる。Windows 7 Enterprise/Ultimateのコンピュータにこのリムーバブル・メディアを差して、リムーバブル・ドライブを開くと、次のようなダイアログが表示される。ここで、パスワードを入力するとロックが解除され、エクスプローラなどで開いて操作できるようになる。

BitLockerのパスワード入力画面
BitLockerで暗号化されたリムーバブル・メディアをWindows 7 Enterprise/Ultimateに差すと、このパスワード入力画面が表示される。ここでパスワードを入力すると、ロックが解除され、通常のリムーバブル・メディアと同様に利用できるようになる。
パスワードを入力する。
ここを選択すると、このコンピュータに対しては、パスワードの入力なしに自動的にロックが解除されるようになる。
パスワードを忘れた場合は、このリンクをクリックし、回復キーを利用したロックの解除に進む。→

暗号化されたメディアを従来のOSで利用する

 Windows 7 Enterprise/Ultimate以外のBitLocker非対応のWindows OSにこのリムーバブル・メディアを差しても、パスワードを入力するためのダイアログは表示されない。エクルプローラでリムーバブル・ドライブを開いても、BitLockerToGo.exeという実行ファイルとその関連リソース・ファイル(*.exeや*.muiという名前のファイル)、これを実行するためのautorun.infファイル、そして暗号化されたデータが格納されているファイル(この例では「COV 0000. ER」ファイル)などが確認できるだけだ。このようにBitLockerで暗号化されたリムーバブル・メディアは保存されているファイル名も分からないようになっている。

BitLockerで暗号化したリムーバブル・メディアをWindows XP SP3で開いたところ
エクルプローラでリムーバブル・ドライブを開いても、BitLockerToGo.exeという実行ファイル類や、暗号化されたデータが格納されているファイル(この例では「COV 0000. ER」ファイル)などが確認できる。
BitLocker To Goリーダーの実行ファイル。
暗号化されたデータが格納されているファイル。

 BitLocker非対応のWindows OSで、このリムーバブル・メディアに保存されているデータを読み出すためには、このリムーバブル・メディアに保存されているBitLockerToGo.exeを実行する。BitLocker To Goリーダーが起動し、パスワードの入力を求めるダイアログが表示されるので、ここで暗号化の際に設定したパスワードを入力すればよい。パスワードが合致すれば、エクスプローラに似たBitLocker To Goリーダーが開く。このツールは、ファイルの読み出ししか行えないので、ファイルをドラッグしてローカルのコンピュータにコピーするか、選択してダブルクリックしてデスクトップへコピーしてからファイルを開くことになる。

BitLocker To Goリーダーの画面
エクスプローラに似たツールだが、ファイルの読み出ししか行えないので、ファイルをドラッグしてローカルのコンピュータにコピーするか、選択してダブルクリックしてデスクトップへコピーしてからファイルを開くなどする。

 なおBitLockerで暗号化したリムーバブル・メディアは、全領域が暗号化され、非対応OSでは空き容量がないように見える。そのため非対応OSでは、このリムーバブル・メディアにデータを保存できない。

パスワードを忘れた場合の回復キーの使用方法

 BitLockerで暗号化したリムーバブル・メディアのパスワードを忘れてしまった場合、暗号化する際に保存した回復キーを利用することでロックを解除できる。保存した回復キーは、テキスト・ファイルとなっており、以下のようになっている。

BitLocker ドライブ暗号化の回復キー

回復キーは、BitLocker で保護されているドライブのデータの回復に使用します。

これが適切な回復キーであることを確認するには、このキーの ID を、回復の画面に表示される ID と比較してください。

回復キー ID: 3938FAEE-55A4-44
完全な回復キー ID: 3938FAEE-55A4-4406-9469-C2EDD4559BA6

BitLocker 回復キー:
343992-322696-590194-111199-218812-642356-344267-005060

BitLockerの回復キーの例
パスワードを紛失した場合、この回復キーを使って復号や新規パスワードの再発行などができる。「回復キーID」は、複数のリムーバブル・メディアの回復キーを保存している場合に、ダイアログに表示されるこのIDの先頭8文字を元に「BitLocker回復キー」を特定する。次に「BitLocker回復キー(この例では「343992-……」)を入力すると、ドライブのロックが解除される。

 Windows 7 Enterprise/UltimateのコンピュータにBitLockerで暗号化したリムーバブル・メディアを差して、リムーバブル・ドライブを開くと、パスワードの入力を求めるダイアログが表示されるので、ここで[パスワードを忘れた場合]のリンクをクリックする。「回復キーは以下で識別できます:<回復キーIDの先頭8文字>」の回復キーID(この例では「3938FAEE」)を確認し、[回復キーを入力する]をクリックする。次の画面で、回復キーIDに対応した「BitLocker回復キー」(この例では「343992-……」)を入力すると、ドライブのロックが解除される。

回復キーを利用してドライブのロックを解除する
パスワードの入力を求めるダイアログが表示されるので、ここで[パスワードを忘れた場合]のリンクをクリックすると、この画面になる。回復キーIDを確認し、[回復キーを入力する]をクリックする。
複数のリムーバブル・メディアの回復キーを保存している場合、この回復キーID(この例では「3938FAEE」)を確認する。

 ロックが解除されたら、リムーバブル・メディアへのアクセスが可能になる。パスワードを忘れてしまったような場合は、「BitLockerの管理」を開き、パスワードを変更すればよい。

BitLockerの暗号化を無効にする

 BitLockerによる暗号化を無効にしたい場合は、[コントロール パネル]−[BitLockerドライブ暗号化]アプレットを実行し、リムーバブル・ドライブを選択してから[BitLockerを無効にする]をクリックする(フォーマットしてもよいが、その場合はデータが全部消えてしまうので注意)。ドライブの暗号化が解除され、通常のリムーバブル・メディアとして利用できるようになる。リムーバブル・メディアに保存されているデータも復号されるが、安全のため、大事なデータは事前にバックアップしておいてからドライブの暗号化を解除を実行した方がよい。End of Article

この記事と関連性の高い別の記事

このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。

generated byJigsaw
「Windows TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間