パソコンの中は BitLocker で暗号をかけて脅威から守ろう。

はじめに

セキュリティ対策の中で 1 番簡単で強固なものは Bitlocker ではないかと思います。
これは、パソコンの中を暗号化する。というもので、盗難にあったり紛失したり、インターネットで外部から侵入してきた人がパソコンの中を覗こうとしても暗号がかかっているので時間をかけて解かない限り覗けない。という便利なものです。Windows 10 Pro 、Windows 10 Enterprise 版で利用できます。但し、Windows 10 Home 版では利用できません。

BitLocker での暗号化のかけ方

  • 1.オペレーティングシステムドライブ(Cドライブ)
  • 2.固定データドライブ(内臓ディスクで、Cドライブ以外のドライブ)
  • 3.リムーバブルデータドライブ(USBメモリや外部ディスクなど取り外し可能なドライブ)

ここでは一番使用者が多いと思います 1.オペレーティングシステムドライブ の説明を行います。
ただオペレーティングシステムの場合、暗号化されたままではシステムを起動できないため、TPM(トラステッド・プラットフォーム・モジュール)というのが必要になります。パソコンを購入される時には是非、 TPM チップを内蔵したパソコンを購入するようにして下さい。次期OSの Windows11 では、この TPM チップが必需品になっています。

TPM チップがついているかどうかの確認

下図のようにスタートボタンの左下に「システム情報」と入力して、上側に表示さるシステム情報のアイコンをクリックします。

システム情報の画面が開きます。
開いた画面の一番下の方に項目名として「デバイス暗号化サポート」欄がなければ Bitlocker は使えない可能性があります。
「表示するためには昇格が必要です。」や「前提条件を満たしています。」になっていれば  Bitlocker が使えます。
又、コントロールパネルでも「Bitlocker ドライブ暗号化」が表示されています。

BitLocker 暗号化処理を行ってみましょう。

[スタート] ボタンを選択し、[設定] > [更新とセキュリティ] > [デバイスの暗号化] の順に選択します。機種によっては [デバイスの暗号化] が表示されない場合もあります。その場合はスタートボタン横の「ここに入力して検索」欄に「 Bitlocker 」と入力して下さい。

「デバイスの暗号化」が開いたらデバイスの暗号化が無効になっていますので「オン」にします。

「デバイスの暗号化」は「オン」になっているため、画面には「オフにする」が表示されています。
この間、パソコン内では暗号化処理が行われています。

「Bitlocker の設定」を開くと、「Local Disk (C) BitLocker が暗号化中です。」と表示されます。
暗号化にはしばらく時間が掛かります。

「Local Disk (C) BitLocker が有効です」と表示されれば暗号化処理は完了です。

回復キーのバックアップ方法

例えば、パソコンを修理に出したい。しかし、暗号化していると修理屋さんがパソコンを起動しても使えないので暗号化を無効にしたい。という時、暗号化を無効化します。
しかし、パスワードを忘れてしまった。や、何かのトラブルで無効化できない。などの時、回復キーを使用して暗号化を無効化する事もできます。

Azure AD アカウントの保存する
Azure AD を使っている人なら簡単に数秒で完了してしまいます。
但し、AzureAD を使用していなパソコンでは表示もされません。
ファイルに保存する
パソコンの Cドライブには保存出来ません。別ドライブか USB ドライブなどを使って下さい。
回復キーを印刷する
 10 進数で 48 桁( 8 桁× 6 組)の数字を印刷します。
「印刷する」と「ファイルに保存する」の 2 通りで行い、必ず、大切に管理しておいて下さい。

下図は印刷のサンプルです。回復キーは、48 桁の数字になります。

BitLocker To Go USBメモリーを暗号化します。

USB メモリーをパソコンにセットすると下図のように「BACKUP 個人(D:) Bitlocker が無効です。と表示されます。

「BitLocker を有効にする」をクリックします。

オペレーティングシステムドライブ(Cドライブ)の暗号化ではパスワード入力の指定はありませんでしたが、C:ドライブ以外では必要なようです。よってパスワードを忘れないように管理します。
「パスワードを使用してドライブのロックを解除する」にチェックをつけて、大文字、小文字、数字、空白文字、記号を含めたパスワードを入力する。

数人で共有して使用するドライブを暗号化する時はこのパスワードの件で面倒くさい。という問題が発生するみたいです。最初からこの問題点を話し合ってから行った方がいいようです。

これで USB メモリーに暗号化をかける事ができました。

「回復キーのバックアップ方法を指定して下さい」
パスワードを忘れた場合、この回復キーがないと解除できませんので安全のためなるべく「ファイルに保存する」「回復キーを印刷する」の両方を選択するのをお勧めします。

下図のようなメッセージが表示されます。
お勧めは、時間は掛かりますが「ドライブ全体を暗号化する」です。

更に次の画面が表示されます。
初めての暗号化は、「新しい暗号化モード」の選択がお勧めです。但し、Windows 7 など使っている人もいる場合は「互換モード」がいいとの事です。

USB の暗号化はメモリ容量にもよりますが結構時間が掛かります。

USB の暗号化が完了すると USB 内の空き容量も随分と減り、下図のように「パスワードの変更」「パスワードの解除」「自動ロック解除の有効化」「BitLocker を無効化する」などが追加されます。

「パスワードの解除」「自動ロック解除の無効化」「BitLockerを無効にする」
この 3 つ似たようで違い分かりますか?

  • 「BitLocker の有効化」:ハードディスクに暗号化を掛ける
  • 「自動ロック解除の有効化」:暗号化されたドライブにアクセスするために毎回パスワードを入力するのは面倒だという場合、自動ロック解除を有効化することで、パスワードなしにすることもできます。一時的に暗号化を無効化した状態になります。
  • 「自動ロック解除の無効化」:暗号化されたドライブにアクセスするとき、毎回、面倒なパスワードを入力して使用します。暗号化が有効な状態になります。
  • 「BitLocker の無効化」:ハードディスクに暗号化を無効化して暗号化を無効化します。