漫画の地球儀

『WIndows10のドライブ』をBitLockerで暗号化する方法!【有効、無効設定、解除、pc】

スポンサーリンク

Windows10のBitLocker

f:id:rick1208:20210204132350p:plain

Windows10のノートパソコンを社員に支給している会社は多いものです。

社員が会社の外にノートパソコンを持ち出している場合、会社の大事なファイルが入っているノートパソコンを万が一紛失した時の対策はできていますか。

社員数が多い会社の場合には、万が一のデータやFileの流出を防ぐためのソフトを導入するのには莫大なコストがかかってしまうので、二の足を踏んでしまうこともあると思います。

そんなことにおススメなのが、Windows10で標準搭載されているBitLockerを使用することです。

この記事では大事なファイル流出を防ぐことが可能なWindows10のBitLockerの使い方についてみていきましょう。

まずはBitLockerとはどんなものなのか説明します。


ドライブを暗号化するツール

BitLockerとはどんなものかというと、BitLockerとはパソコンのドライブを暗号化するためのツールです。

パソコンではHDDやSSDといった内部ストレージの他に、USBメモリやSDカードなどの外部ストレージなど、いくつもドライブを使用しています。

BitLockerとはパソコンのデータを保存しているドライブを暗号化することで、データの流出を防ぐことが可能なツールです。

BitLockerとはWindows Vistaから導入されたWindowsの固有機能です。


個別のファイルやフォルダごとではなくドライブ全体を暗号化

BitLockerのようにデータを暗号化するソフトやツールはいろいろとあります。

中にはファイルごとに暗号化可能なものもあります。大事なファイルだけを暗号化すれば、ドライブ全体を暗号化するよりも手間と時間はかかりません。

しかしBitLockerの特徴というのは、ファイルやフォルダごとに暗号化するのではなく、ドライブ全体を暗号化するためのツールだということです。

ファイル一つ一つをその都度暗号化する必要はなく、最初にBitLockerでドライブ全体を暗号化するように設定しておけば、そのドライブにデータを保存するたびに、新しいファイルも暗号化することが可能です。


Windows10のBitLockerの使い方~暗号化を有効にする~

f:id:rick1208:20210204202421p:plain

Windows10でBitLockerを使ってドライブの暗号化を有効にする方法についてみていきましょう。

BitLockerで暗号化を有効にする方法には、小規模向けの方法と、大規模向けの方法があります。

まずは小規模向けのBitLockerの使い方とはどんな使い方なのか、ということについてみていきましょう。

小規模向けの設定

まずはパソコンが数十台レベルの小規模事業所向けのBitLockerの設定方法を見ていきましょう。

こちらは暗号化方式がAES128bitで回復キーをファイルで管理する方法です。

今回はUSBメモリをBitLockerで暗号化してみましょう。

まずはWindows10に管理者権限でログインします。

ExplorerからBitLockerで暗号化するドライブを表示します。

今回暗号化するUSBを右押して「BitLockerを有効にする」を押します。


f:id:rick1208:20210206222352p:plain


するとBitLockerを起動する画面が出てきます。

暗号化した後でロックを解除する方法を選択可能なので、海上方法をパスワードを使用するかスマートカードを使用するか選びます。

今回はパスワードを記入します。

パスワードを記入したら「次へ」を押します。



パスワードとは別にBitLockerでは回復キーが必要になります。

回復キーはパスワードとは違い48桁もの英数字になるので覚えておくことは可能でせん。

バックアップする必要があります。BitLockerの回復キーのバックアップ方法を選びます。

小規模向けのBitLockerの使い方では「ファイルに保存する」を選びます。



f:id:rick1208:20210206222410p:plain


すると回復キーを保存する場所を選択する画面が出てきます。

パソコンの内部のドライブを暗号化するためのBitLockerの使い方では、バックアップ場所はパソコンの外部しか指定可能でせん。

USBメモリや光学ディスク外付けHDDなどに保存しましょう。



回復キーのバックアップを保存する場所を決めたら「保存」を押すとこのように、回復キーを保存したという旨が出ます。

チェックしたら「次へ」を押します。


f:id:rick1208:20210206222426p:plain



「ドライブを暗号化する範囲」を指定する画面になります。

「使用済み領域のみ暗号化する」を選びてしまうと、ドライブに暗号化されない領域が生まれてしまい、セキュリティ効果が低くなります。

より高いセキュリティ効果を実現したい場合には、「ドライブ全体を暗号化する」を選びて、「次へ」を押します。


f:id:rick1208:20210206222502p:plain



暗号化モードを選びます。

今回はUSBメモリなので「互換モード」ですが、パソコンの内部のドライブの暗号化を有効にしたい場合には「新しい暗号化モード」を選びて「次へ」を押します。


f:id:rick1208:20210206222951p:plain

するとこのように暗号化する準備が整ったという表示が出ます。

「暗号化の開始」を押してドライブの暗号化を進めます。
スポンサーリンク



中規模向けの設定

次は数十台以上のパソコンを保有する中規模な事業所でBitLockerの使い方についてみていきましょう。

暗号化方式がAES256bitで、回復キーの保存場所はActive Directoryになります。

まずはActive DirectoryサーバーにBitLockerドライブ暗号化をインストールして、回復キーを保存可能なようにします。

まずはActive Directoryに管理者権限でログインします。サーバーマネージャーを立ち上げて「役割と機能の追加」を押します。


f:id:rick1208:20210206223009p:plain


「BitLockerドライブ暗号化」を選びて「次へ」押したら「インストール」を押します。


f:id:rick1208:20210206223032p:plain




インストールが終了したらOSを再起動させて「Active Directory ユーザーとコンピューター」を押します。

どれでもいいので任意のパソコンをダブル押して「プロパティ」で「BitLocker回復」のタブが出ていることをチェックします。



f:id:rick1208:20210206223046p:plain



次にグループポリシーを変更していきます。Active Directoryサーバーに管理者権限でログインしたら、スタートボタンから「グループポリシーの管理」に入ります。

BitLockerを使用するための新しいグループポリシーオブジェクトを作成したら、そちらを右押して「編集」を押します。



f:id:rick1208:20210206223055p:plain


「コンピューターの構成」>「ポリシー」>「管理テンプレート」>「Windowsコンポーネント」と進み「BitLockerドライブ暗号化」を開きます。「ドライブの暗号化方法と暗号強度を選択する」をダブル押します。


f:id:rick1208:20210206223109p:plain



「有効」にチェックを入れて、暗号化方式で「AES256ビット」を選びます。

f:id:rick1208:20210206223202p:plain



「コンピューターの構成」>「ポリシー」>「管理テンプレート」>「Windowsコンポーネント」>「BitLockerドライブ暗号化」>「オペレーティングシステムのドライブ」と開き、「BitLockerで保護されているオペレーティングシステムドライブの回復方法を選択する」の項目をダブル押して開きます。

「有効」にチェックを入れて、「BitLockerセットアップウィザードの回復オプションを省略する」および「AD DSにオペレーティングシステムドライブの回復情報が格納されるまでBitLockerを有効にしない」にチェックをいれます。



f:id:rick1208:20210206223524p:plain


編集したBitLockerをマネージメントするためのグループポリシーオブジェクトをドメインにリンクさせます。

次にそれぞれのパソコンでドライブを暗号化していきます。

まずはそれぞれのパソコンにグループポリシーを適用させるためにコマンドプロンプトを管理者権限で立ち上げます。

「gpupdate /force」と記入して実行するとグループポリシーが更新されます。



f:id:rick1208:20210206223540p:plain


「小規模向け」でBitLockerを有効にしたときと同じように、エクスプローラーから暗号化したいドライブを表示して、右クリックから「BitLockerを有効にする」を押します。

「ドライブ全体を暗号化する」を選びて、「次へ」を押すとドライブの暗号化が開始されます。

f:id:rick1208:20210206223728p:plain


スポンサーリンク



Windows10のBitLockerの使い方~暗号化を解除する~

f:id:rick1208:20210204140502p:plain

BitLockerで暗号化を有効に設定した後で、暗号化を解除したいときの解除方法についてみていきましょう。

BitLockerの暗号化の設定を解除したいときには、管理者権限でWindows10にログインしたら、エクスプローラーで暗号化を解除したいドライブを表示して右押します。

すると出たメニューの中に「BitLockerの管理」とあるので、そちらを押します。

f:id:rick1208:20210206223956p:plain


BitLockerを設定したドライブには、BitLockerの設定メニューが出ているので、そちらの中から「BitLockerを無効にする」を押します。


f:id:rick1208:20210206224004p:plain


すると本当にBitLockerの設定を解除するかどうかチェックのメッセージが出るので「無効にする」を押します。

f:id:rick1208:20210206224021p:plain



すると暗号化の設定の解除が実行されて、暗号化が解除されます。


Windows10でBitLockerを使用する上での注意点

f:id:rick1208:20210204112256p:plain

Windows10でBitLockerの使い方では注意しなくてはいけない点があります。

Windows10でBitLockerの使い方での注意点とはどんなものがあるのと思いますか。

管理者権限から無効化が可能

Windows10のパソコンが盗難に遭ったときに、万が一管理者権限のアカウントのパスワードが破られて、ログインされてしまうと、管理者権限のアカウントから簡単にロックを解除することが可能です。

解除する方法でも見たように、管理者権限のアカウントからのBitLockerの解除にはパスワードや回復キーの記入は必要ありません。

管理権限のアカウントに入るパスワードは厳重に管理するとともに、エンドユーザーに管理権限を与えないようにすることが大事です。


ログイン試行に回数制限なし

Windows10のBitLockerで回復キーやパスワードを記入するのに、回数制限がありません。

なのでに、ある意味で無限の回数、記入を試してみることができてしまいます。

時間を掛ければBitLockerのロックを解除することもできてしまう、というのは完璧なセキュリティとは言えない可能性もあります。

盗難されたときに暗号化されていたのかチェックできない

BitLockerを管理するのは、サーバーベースではなく個々のパソコンベースになります。

なので、パソコンが紛失や盗難に遭ってしまったときに、本当に暗号化しているのかどうかチェックする方法がありません。

完璧に暗号化されているかどうか、定期的にチェックして他の場所へ記録を残しておかなくてはいけません。

回復キーの管理が煩雑

回復キーとはBitLockerのパスワードを忘れた時に記入するものですが、回復キーはまとめてサーバーで管理することが可能でせん。

パソコン1台ずつ発行されるので、それぞれのパソコンごとに管理しなくてはいけません。

48桁という回復キーは記入するのも大変ですし、口頭で伝えるわけにもいきません。

何らかの理由でエンドユーザーに伝えた場合には、必要なくなった時に速やかに変更しなくてはいけない、という煩雑さもあります。

1台につき1パスワードを共有しなくてはいけない

回復キーやパスワードをそのパソコンを使っている人すべてに伝える必要がある場合には、1つのパスワードをすべての人が共有しなくてはいけない、という煩雑さもあります。

Windows10のBitLockerの回復キーやパスワードは、ユーザーごとに発行するものではなく、パソコンごとに発行されます。

使っている人すべての人が共有する必要がある、というのも非常に煩雑な点になります。

ハードウエア構成の変更のたびに回復キーの記入が必要

Windows10のCドライブをBitLockerで暗号化した場合、ハードウエア構成が変更されるたびにBitLockerが回復キーの記入を求める、というのも煩雑な点です。


BitLockerが回復キーの記入を求めるハードウエア構成の変更とは、HDDを入れ替えたとかSSDを増設した、という大規模なものだけではありません。

USBで着脱式のキーボードやマウスやUSBメモリの取り外しをしたとか、その程度のことでも48桁の回復キーを記入しなくてはいけないのはかなり大きな手間になります。

Microsoftのサポート体制が不十分

Windows10でBitLockerを使う上での注意点として、Microsoftのサポート体制が不十分だというのも頭に入れておきましょう。

BitLockerの使い方で問題が起きた時でも、サポートフォーラム程度しか頼れるものがないので、基本的に自分自身ですべて解決しなくてはいけません。


Windows10のセキュリティを守るのはBitLocker以外の手段

f:id:rick1208:20210204041427p:plain

Windows10でドライブを暗号化してセキュリティを守るためのソフトはBitLocker以外にも使えるものがあります。

Check Point Full Disk Encryptionが人気

BitLockerより人気なものは「Check Point Full Disk Encryption」というソフトがあります。

BitLockerよりも強力なセキュリティ

BitLockerはWindows10にログインしてから起動させるので、ログインを防ぐ機能はありません。

しかし「Check Point Full Disk Encryption」は起動前に認証が必要な機能を持っているので、パソコンへログインされることを防ぐことが可能です。

また、暗号化のセキュリティレベルもBitLockerよりも高いという特徴があります。

一元管理が可能

BitLockerはネットワーク全体の管理者が一元管理可能なコンソールがありません。

しかし「Check Point Full Disk Encryption」には管理コンソールがあるので、一元的に管理が可能なというのも大きなメリットになります。

Macにも対応

またBitLockerはWindowsの機能なのでMacでは使うことが可能でせん。

しかし、「Check Point Full Disk Encryption」はMacでもWindowsでも関係なく使うことが可能です。

大きな会社ではWindowsMacの両方を使っていることが多いので、パソコンの種類を問わず一元管理可能なメリットは非常に大きいといえます。

まとめ

f:id:rick1208:20210204105511p:plain

今や仕事に欠かすことができないツールとなったパソコンのファイルやデータは、会社として守らなくてはいけないものです。競争相手に秘密のファイルを奪われてしまったら、会社が得るべき利益を奪われる可能性もあります。

ぜひBitLockerなどのドライブを暗号化するツールを導入して、大事なファイルが流出しないように対策を取るようにしましょう。