【PCやデバイスの暗号化】 ～BitLockerを有効活用しよう～

今回はWindows10 OSで簡単に設定できるようになったBitLocker機能を設定してみたいと思います。

BitLockerとは？

BitLockerとはPCのSSDを暗号化し、管理者（使用者）以外の人間がデータを持ち出す事を防ぐ為の手段として、Microsoft社がWindows VistaよりOSに搭載したセキュリティ機能になります。

例えば社内で使用しているPCならともかく外出先等で使用する場合、第三者がPCに接触する可能性もあると思います。会社の機密情報等を持ち歩かなければいけない場合、BitLockerは非常に高いセキュリティ機能になります。

お使いのPCが条件さえ満たしていれば無料で使用できますのでぜひ有効活用しましょう。
但し、設定されたパスワード（IDと回復キー）を忘れてしまうと、PCが使用出来なくなってしまいますのでくれぐれも注意して設定して下さい。

また暗号化をしてしまうと、市販されているソフトなどでバックアップからSSDを復元したとしても暗号化は解除されませんので、レンタルPCや記録媒体にBitLockerをかけた場合はご返却前に必ず暗号化を解除して頂くようお願い致します。

それでは弊社レンタルPCにもラインナップされていますWindows 10を搭載したFUJITSU CELSIUS H760を使って説明していきたいと思います。

FUJITSU CELSIUS H760のレンタル

www.apex106.com

詳しくはこちら

https://www.apex106.com/pc/windows10/celsius-h760.php

設定の前に対応機種かを確認しましょう

まずはお使いのPCがその条件を満たしているか確認します。
Windows10 OSには7種類のエディションがありますがBitLockerが設定出来るエディションはProとEnterPriseの2種類のみになるとの事。
バージョン情報かコントロールパネルで確認しましょう。

そしてOSが入っているHDDもしくはSSDがベーシックディスクである必要があります。
ダイナミックディスクはサポートされてないそうです。
以下は確認方法になります。
エクスプローラーを開き、PCを右クリックします。

[管理]を開きます。

コンピュータの管理が開きますので、[ディスクの管理]をクリックして下さい。

赤線の部分が“ベーシック”と表示されていれば大丈夫です。

長くなりますがもう一つ確認事項があります。TPMというセキュリティチップの使用状況です。まずこれがPCに組み込まれていて、尚且つ有効になっているかを確認します。
デバイスマネージャーを開きましょう。

[セキュリティデバイス]を選択すると、

TPMを搭載していて、有効になっている場合はこのように表示されます。
このPCに搭載されているTPMはバージョンが2.0のようです。
搭載されていても有効になっていない場合、BIOS設定で切り替える必要がありますので、確認してみて下さい。
ちなみにこのTPMが搭載されていなくても、BitLockerを設定する事は可能なようですがここでは割愛させて頂きます。

BitLocker設定

確認できたら、いよいよ設定です。これだけ確認してやっと設定が出来ます。
コントロールパネルからでも出来ますがエクスプローラーからPCを選択して、右クリックで[Bitlockerを有効にする]からいきましょう。こっちのほうが早くて簡単です。

で選択すると

先程手動で確認した事をPCが確認しているのでしょうか。こんな感じで少々待たされます。

ここ重要です。

英数字を組み合わせたIDと回復キーという48桁の数字をPDFで保存出来ます。このデータは大事に保管しておいて下さいね。でないと後ですごく困ります。
ここで注意して欲しいのは、例えば暗号化したCドライブを一度解除してから再度暗号化する場合、同じ“Cドライブ”でも発行されるIDと回復キーはその都度異なります。
面倒ですが毎回ちゃんと保存しておきましょう。

こんな感じのPDFで保存出来ます（本来、赤線の所にIDと回復キーが表示されています）。

どんどんいきましょう（でも慎重に）。
ここから先は表示される説明書きを確認し、ご自身の環境や使用方法にあったほうを選択していって下さい。

暗号化が開始されました。再起動を求められる場合は再起動後に暗号化が開始されるようなので再起動しましょう。
暗号化が開始されたらPCの電源は落とせませんが普通に作業は可能です。

これが設定後の状態です。Cドライブに南京錠のマークが付きましたね。
[BitLockerの管理]を見てみると（Cドライブを右クリックで表示されます）

Bitlockerが有効になっています。
ようやく設定が完了しました。　一旦PCの電源を切ります。

設定完了！ と思いきや……

お疲れさまでした……。

と思っていたら、次にPCを開いた時にはいつも通りにPCのログインパスワードを入力するだけでログイン出来てしまいました。てっきり次回ログイン時には回復キーのパスワードを聞かれ、それを入力しなければログイン出来ないものだと思っていましたので何だか拍子抜けしてしまいました。

調べてみるとSSD自体は間違いなく暗号化されているのですが、先程搭載を確認したTPMが鍵の役割を担っており、それでログインパスワードだけでログイン出来てしまうようです。確かに毎回48桁の回復キーを入力するのは面倒ですが、別の機器でSSDからデータを取り出そうとしてもそれは出来ない状態にはなっています。

が、本当に盗むのであればセキュリティワイヤーをかけていないこのPCをそのまま盗んでログインパスワードを解析したほうが回復キーを探すより早いのでは……。

やはりこのままでは安心出来ません、という事で再度調べました。
まずWindowsキーとRキーのショートカットを使います。

“ファイル名を指定して実行”のウインドが出るので名前欄にgpedit.mscと入力してOKを選択して下さい。

ローカルグループポリシーエディターが表示されますので[コンピュータの構成]→[管理用テンプレート]→[Windowsコンポーネント]→[BitLockerドライブ暗号化]→[オペレーティングシステムのドライブ]を選択後、右側の一覧より[スタートアップ時に追加の認証を要求する]を選択します。

赤線の[有効]にチェックを入れて、赤丸の[適用]にOKを選択します。
今度はコントロールパネル内の[BitLockerドライブの暗号化]を開いて下さい。

最初に設定した時より赤枠の項目が増えています。ここを開きましょう。

これもやりやすい方式を選択頂くのですが、USBメモリが破損する可能性を考えるとMicrosoft推奨のPIN方式のほうが安全かも知れません。

もう一つのUSBフラッシュドライブ方式ですがこちらも問題なし。選択後にUSBメモリを挿入し、それを選択します。
ポップアップが消え、BitLocker暗号化画面に戻ったらUSBキーの出来上がりです。
再起動後、キーを求める画面でそれを挿入し、Enterキーを押せばログインパスワード画面へ進めます。

これでTRMを活かしながらの二重のセキュリティ設定は無事完了です。
（今度こそ）お疲れさまでした。

特に暗号化の必要が無くなった場合は、Cドライブを右クリックで[BitLockerの管理]から[BitLockerを無効にする]を選択して暗号化を解除出来ます。
こちらも解除が完了するまではPCの電源を落とさないようにして下さい。
暗号化を開始する時よりは時間はかからないと思います。

追加でBitLocker To Goという名前になりますが、PCに接続したUSBメディアやSDカード等も同じく暗号化出来ます。
例の如く、暗号化したいメディアを選択して右クリックで暗号化へ進めます。

若干Cドライブの時と文言は変わってきますが、これもやりやすいほうを選択して下さい。
で、一旦PCを再起動してみます。

こっちは金色の南京錠が付きました。
メディアを開くためにダブルクリックしてみると

これは予想通りでしたね。普通にパスワードを求められます。
当然パスワードが分からないと暗号化したメディアへのアクセスは不可能です。
パスワードを入れると金色だった南京錠は銀色に変化し、暗号化はそのままにデータの出し入れが可能になります。

ただ一度パスワードを解除した状態でPCから取り外しても、次回PCに接続した際は再度パスワードを求められますのでお忘れなく（もちろん他のPCに接続しても同じです）。
そしてパスワードでロック解除した状態でBitLocker To Goを無効にする事が出来ます。

デメリットや注意点

最後にデメリットや注意点です。

まずOSの入っているボリュームにBitLockerを設定する事でPCのパフォーマンスに約１０％未満のオーバーヘッドが生じるという事。要はBitlockerを設定していない状態よりPCの動作が若干遅くなるという事です（論理上は）。私は言われてみるとそんな気もするかも程度に感じました。

ただ暗号化はHDDやSSDのセクター単位で行われる為、既存のパーティション分割ツールやデフラグツールを使用するのは問題が発生する可能性があります。注意しましょう。

また、対象のSSDやデバイスの容量が大きければ大きい程、暗号化が完了するまでの時間は長くなりますので、時間に余裕を持って作業する事をオススメします。
そして一番まずいのはUSBメモリ等のスタートアップキーやPIN、IDと回復キー（48桁のパスワード）の紛失。暗号化したままでこれをしてしまうとPCが起動出来なかったり、デバイスへのデータの出し入れが出来なくなってしまいますので設定される場合はご自身の責任でしっかりとした管理が必要になってきます。

BitLocker対応パソコンレンタルはこちらからご注文下さい。