bitlockerでハードディスクを暗号化する
bitlockerはWindowsに搭載されていて、無料で使用することができるハードディスク暗号化機能です。bitlockerを使うことによって強固なセキュリティを実現することができるようになります。
bitlockerでできること
bitlockerとは、Windowsに搭載されているハードディスクを暗号化するための機能です。下の対応OSのところで示しているようにWindowsの一部のバージョンに搭載されていて、無料で利用することができます。
ハードディスクだけでなく、USBメモリや外付けハードディスクなども暗号化できますので、USBメモリに大事なデータを入れて持ち運ぶような場合にも活用できます。
ハードディスクの暗号化に加えて、起動時にパスワードを入力しないと動作しないようにすることも可能です。データを二重に守ることができるようになります。
ノートパソコンやUSBメモリ、ハードディスクを持って会社と自宅を行き来したり、出張などで持ち運んだりするときなど、盗難や紛失による情報流出を防ぐことが可能になります。
対応OS
bitlockerが使えるOSはWindows 8/8.1がPro以上のエディション、Windows 10もPro以上のエディションとなっています。Windows
8/8.1 Home, Windows 10 Homeでは使えませんのでご注意ください。
Windows Vista Ultimate、Enterpriseエディション
Windows 7 Ultimate、Enterpriseエディション
Windows 8/8.1 Pro、Enterpriseエディション
Windows 10 Pro、Enterpriseエディション
Windows Server 2008 / 2008 R2
Windows Server 2012/2012 R2
bitlockerによるハードディスク暗号化の手順
以下ではWindows 8.1でbitlockerを使用する場合の手順です。Windows 7や10でも大きな違いはないと思いますが、細かい部分で相違があるかもしれないことをご了承ください。
参考リンク
BitLockerの概要(Microsoft)
(1)暗号化したいドライブを右クリックして、「BitLockerを有効にする」を選択します。
(2)TPMセキュリティチップが搭載されていないノートPCの場合は、以下のような表示がされます。bitlockerはTPMがないとデフォルトではエラーとなるようです。一方で、TPMが搭載されている場合はエラーはでません。TPMありのノートパソコンの場合は(7)に進んでください。
(3)TPMセキュリティチップが搭載されていないノートパソコンの場合は、設定を変更することで、bitlockerを使えるようになります。
設定を変更するためには、まず「ファイル名を指定して実行」から「gpedit.msc」と入力してください。(4)にあるような「ローカルグループポリシー
エディター」画面が開きます。
(4)「コンピュータの構成」-「管理用テンプレート」-「Windowsコンポーネント」-「BitLocker ドライブ暗号化」の下の「オペレーティング
システムのドライブ」を選択します。そして、画面右側の「スタートアップ時に追加の認証を要求する」の項目をクリックすると、(5)のような画面が開きます。
(5)画面上部の「有効」にチェックを入れ、さらにその下の「互換性のあるTPMが装備されていないBitLockerを許可する(USBフラッシュドライブでパスワードまたはスタートアップキーが必要))」にチェックを入れ、OKボタンを押します。
(6)もう一度、(1)のようにドライブを右クリックして、「BitLockerを有効にする」を選択します。すると、以下のようなスタートアップ時にドライブのロックを解除する方法を選ぶ画面が表示されます。
パソコンを起動する際に、パスワードを使用する場合は「パスワードを入力する」を選択します。
パスワードの場合は、8文字以上のものを設定する必要があります。
USBメモリを使用する場合は、「USBフラッシュドライブを挿入する」を選択します。起動するときはここで作成したUSBメモリが必ず必要になります。後から複製を作ることができますので、紛失に備えてコピーを作成しておくのがおすすめです。起動時にはUSBメモリが必要になりますが、挿しっぱなしだとあまり意味がなくなってしまいますので気をつけておきましょう。
下の画像はUSBメモリを選択した場合の画面です。USBメモリには何かが書き込まれていても大丈夫ですが、念のため専用のUSBメモリを用意しておくのが安全です。USBメモリは64MBくらいの小さなものでも問題なく使用できました。USBメモリ以外にもSDカードも使用することが可能です。
(7)回復キーを保存する場所を指定します。
回復キーはテキスト情報(文字情報)です。安全に管理できる方法を選択してみてください。
ファイルに保存する場合は、暗号化対象となるドライブ上には保存できませんのでご注意ください。
(8)暗号化する領域を選択します。
使用済みの領域のみを暗号化すると高速ですが、初期化していない部分はデータを見られてしまう可能性があるため、時間はかかりますがドライブ全体を暗号化する方が安全です。暗号化の実行はバックグラウンドで処理されますので、多少遅くはなりますが普通に作業ができます。
(9)システムチェックの実行を行う、にチェックを入れて続行ボタンを押します。パソコンの再起動を行い、再度ログインすると暗号化の処理が開始されます。
再起動後の暗号化実行中のメッセージ。クリックすると進捗状況を確認することができます。
スタートアップ時に追加の認証を設定した場合
上の設定手順(5)でスタートアップ時に追加の認証をした場合には、パソコンを起動すると認証を求められるようになります。
パスワードを設定した場合はパスワードを求められるようになります。USBキーによる認証を設定していた場合は、USBが挿入されていないと起動できません。
USBメモリによる認証を設定した場合のパソコン起動時の画面
通常のログインにさらにもう一つの認証が加わることになりますので、万が一紛失・盗難にあっても、第三者によって勝手にパソコンを起動することができなくなります。
そして、bitlockerによる暗号化が加わっていますので、万が一ハードディスクを取り外されて他のパソコンから読みだそうとしても、読み取ることは不可能になります。セキュリティ面が非常に強化されることになります。
TPMありのノートパソコンのセキュリティについて
TPMセキュリティチップ搭載されているノートパソコンの場合は、暗号化キーがTPMに保存されます。
TPMセキュリティチップの機能とメリットのページにも解説しているように、TPM内に保存された暗号化キーを取り出して盗み見ることはほぼ不可能になります。暗号化されたデータを解読されることはまずないと考えて大丈夫です。
ただ、bitlockerによって暗号化されても、ノートパソコンを起動してログインIDとパスワードすると普通にデータにアクセスすることができます。暗号化されていることを意識することなしに通常通りパソコンの操作ができます。
このことはとても便利ですが、IDとパスワードをハックされてしまうとデータが見れてしまうので、暗号化の意味がありません。このため、上の設定手順(5)のスタートアップ時に追加の認証を設定することで、パソコンを第3者によって勝手に起動されないようにしておけば、高いセキュリティを実現することが可能になります。