Windows 11 ユーザー向け BitLocker の詳細ガイド

2023/02/13

現在、コンピュータデバイスが保持している情報は、実際のデバイス自体よりも重要であるため、不正アクセスから保護することが不可欠です。これを実現するのに役立つサードパーティアプリがいくつかありますが、Windows には独自の組み込みの暗号化ツールである BitLocker が付属しています。

BitLocker は、Windows オペレーティングシステムがインストールされているドライブ上のすべてのデータを暗号化することによって機能します。このガイドでは、このセキュリティ機能の機能を徹底的に調べ、最新バージョンの Windows で使用する手順の概要を説明します。

BitLocker システムとハードウェアの前提条件

BitLocker を Windows で動作させるには、特定のハードウェアおよびシステム要件を満たす必要があります。

1. トラステッドプラットフォームモジュール (TPM)

セキュリティ機能は、暗号化操作を実行することによってハードウェアセキュリティ保護を提供するトラステッドプラットフォームモジュール (TPM 1.2 以降のバージョン) と共に使用する場合に最適に機能します。TPM を使用すると、BitLocker は起動前のシステム整合性検証を提供します。つまり、システムを自動的に起動するたびに、早期起動コンポーネントと起動構成データの整合性を検証します。

TPM をサポートするコンピューターには、Trusted Computing Group (TCG) と互換性のあるファームウェアも必要です。

TPM なしで BitLocker を使用できますが、セキュリティ機能はソフトウェアのみのモードで動作します。したがって、Windows にログインするたびに暗号化キーを手動で入力する必要があり、全体的なセキュリティが自動的に低下します。

デバイスが TPM をサポートしていない場合は、暗号化キーを USB ドライブに保存し、起動時に挿入できます。暗号化キーを物理的に安全なデバイスに保存すると、セキュリティがさらに強化されます。

2.ハードドライブ

ハードディスクには、少なくとも 2 つのドライブパーティションが必要です。1 つはオペレーティングシステム用で、もう 1 つはデータの保存用です。システムまたはブートドライブは、NTFS ファイルシステムを使用する必要があり、64MB 以上である必要があります。

また、BitLocker はリムーバブルドライブを暗号化しないことに注意することも重要です。

3. BIOS および UEFI ファームウェアの設定

UEFI および BIOS ファームウェアは、コンピューターが TPM を使用しているかどうかに関係なく、起動プロセス中に USB ドライブの読み取りもサポートする必要があります。さらに、UEFI ファームウェアのセキュアブート機能を有効にして、不正なブートローダーの実行を防止する必要があります。

BitLocker は Windows でどのように機能しますか?

BitLocker を有効にすると、128 ビットまたは 256 ビットのキーで AES 暗号化アルゴリズムを使用してハードドライブが暗号化されます。TPM は暗号化キーを保護し、コンピューターが読み込まれると、ブートプロセスが安全であることを確認した後、キーを解放します。

デバイスが TPM をサポートしていない場合、BitLocker ではドライブのロックを解除するためにパスワードまたはスマートカードが必要になります。

1. お使いのデバイスが TPM をサポートしている場合

デバイスが TPM をサポートしている場合は、次の手順に従って、Windows 11 で BitLocker を使用してドライブを暗号化します。

管理者として Windows アカウントにログインします。
Win + Rキーを同時に押して、実行ダイアログを開きます。
run にcontrolと入力し、 Enterを押します。
コントロールパネルで、[システムとセキュリティ] > [BitLocker ドライブ暗号化]に移動します。
次に、[BitLocker を有効にする] をクリックします。お使いのコンピューターが TPM をサポートしていて、それが無効になっている場合は、機能を有効にするために再起動する必要があります。
コンピューターが再起動すると、BitLocker デバイス暗号化のセットアッププロンプトが表示されます。[次へ] をクリックします。
回復キーをバックアップする方法を選択し、[次へ]をクリックします。パスワードを忘れた場合は、BitLocker 回復キーを使用してドライブにアクセスできます。
次に、暗号化するドライブの量を選択します。ドライブ全体または使用済みディスク領域のみを暗号化するオプションがあります。
暗号化モードを選択します。
最後に、[暗号化の開始]ボタンをクリックして続行します。BitLocker でシステムチェックを実行して、回復キーと暗号化キーを正しく読み取れるようにする場合は、[ BitLocker システムチェックの実行]に関連付けられているボックスにチェックマークを付けます。
暗号化プロセスが完了するまで待ちます。少し時間がかかるかもしれませんので、しばらくお待ちください。プロセスの完了後にコンピュータを再起動するように求められた場合は、再起動してプロセスを完了してください。

2. お使いのデバイスが TPM をサポートしていない場合

デバイスが TPM をサポートしていない場合は、グループポリシーエディターでいくつかの変更を加えて BitLocker を有効にすることができます。

これを行う方法は次のとおりです。

Win + Rキーを同時に押して、実行ダイアログを開きます。
ファイル名を指定して実行にgpedit.mscと入力し、Enterを押します。
[ユーザーアカウント制御] プロンプトで[はい]をクリックします。
グループポリシーエディターで、以下の場所に移動します。Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives
Require additional authentication at startup をダブルクリックし、Enabledを選択します。
[互換性のある TPM なしで BitLocker を許可する (パスワードまたは USB フラッシュドライブのスタートアップキーが必要)] のボックスをオンにします。
[適用] > [OK]をクリックして、変更を保存します。

これが完了したら、コントロールパネルを使用して BitLocker のセットアッププロセスを完了する必要があります。続行するには、次の手順に従います。

上記の手順を使用して、コントロールパネルの BitLocker ドライブ暗号化ページにアクセスします。
[BitLocker を有効にする]をクリックします。
次の 2 つのダイアログで[次へ]をクリックします。
[今すぐ再起動]ボタンをクリックして、[次へ]をクリックします。
次に、暗号化方法を選択します。2 つのオプションが表示されます。USB フラッシュドライブを挿入し、パスワードを入力します。
パスワードオプションを選択すると、パスワードを作成して確認するよう求められます。
[次へ]をクリックします。
回復キーをバックアップする方法を選択し、[次へ]をクリックします。
ドライブ全体を暗号化するか、使用済みディスク領域のみを暗号化するかを選択し、暗号化モードを選択します。
最後に、[暗号化の開始]ボタンをクリックします。[BitLocker システムを実行する] チェックボックスをオンにして、BitLocker が暗号化キーと回復キーを正しく読み取れるようにすることもできます。
暗号化プロセスが完了するまでお待ちください。プロセスの完了後に再起動を求められた場合は、コンピューターを再起動します。

Windows で BitLocker を有効にすることの欠点はありますか?

BitLocker は、貴重なデータを保護するための追加のセキュリティレイヤーを提供しますが、システム関連の問題が発生する可能性もあります。場合によっては、ドライブを暗号化および復号化すると、システム全体のパフォーマンスがわずかに低下する可能性があります。

BitLocker が一部の古いハードウェアと互換性がない場合、ドライブの暗号化中に問題が発生する可能性もあります。いずれにせよ、不要になった場合は、いつでも Windows で BitLocker を無効にすることができます。

BitLocker 暗号化でデータ保護を強化

これで、最新バージョンの Windows で BitLocker を最大限に活用する方法がわかりました。お使いのデバイスが TPM をサポートしている場合、BitLocker が提供するセキュリティレベルを向上させたい場合は、TPM を有効にすることを強くお勧めします。

BitLocker を使用したくない場合は、このツールに代わる優れたサードパーティ製のツールがオンラインで入手できます。