BitLockerとは？Windowsの暗号化ツールガイド

TrueCryptの開発元は、2014年に人気のオープンソース暗号化ツールの開発を終了し、コンピュータセキュリティ界に衝撃を与えました。さらに驚くべきことに、開発者はTrueCryptは安全ではない可能性があり、WindowsユーザーはMicrosoftのBitLockerに移行すべきだと発言しました。この突然の発表をめぐっては、たちまち陰謀論が渦巻き始めました。

BitLocker は、Microsoft の Windows 用独自暗号化プログラムで、ドライブ全体を暗号化できるほか、ファームウェアレベルのマルウェアなどによるシステムへの不正な変更から保護します。

BitLockerは、Windows Vistaまたは7 Ultimate、Windows Vistaまたは7 Enterprise、Windows 8.1 Pro、Windows 8.1 Enterprise、またはWindows 10 Proを実行しているマシンをお持ちの方ならどなたでもご利用いただけます。Enterpriseエディションをご利用の場合は、PCが大企業の所有物である可能性が高いため、BitLocker暗号化の有効化について、会社のIT部門とご相談ください。

ほとんどの人は、BitLocker暗号化機能が搭載されていない標準バージョンのWindowsを搭載したPCを購入します。しかし、MicrosoftのデュアルインターフェースOSのリリース当初にWindows 8にアップグレードした方は、おそらくWindows 8または8.1 Proをお使いでしょう。Windows 8の初期の頃、Microsoftはアップグレード資格のあるユーザー全員に、Windows 8 Proのアップグレードライセンスを安価で販売していました。このProアップグレードは、Windows 8.1からWindows 10に移行した場合でも引き継がれました。

BitLockerのシステム要件

BitLocker を実行するには、上記のいずれかの OS を実行している Windows PC と、少なくとも 2 つのパーティションと Trusted Platform Module (TPM) を備えたストレージドライブが必要です。

TPMは、ハードウェア、ソフトウェア、ファームウェアの認証チェックを実行する特殊なチップです。TPMが不正な変更を検出すると、PCは制限モードで起動し、潜在的な攻撃者を阻止します。

お使いのパソコンにTPMが搭載されているか、複数のパーティションがあるか分からない場合でも、心配はいりません。BitLockerは起動時にシステムチェックを実行し、PCがBitLockerを使用できるかどうかを確認します。

TPMが搭載されていないことが判明した場合でも、グループポリシーエディターをいじればBitLockerを実行できます。TPMなしでMicrosoftの暗号化プログラムを使用する方法については、How-To Geekのチュートリアルをご覧ください。

BitLocker は誰が使用すべきでしょうか?

BitLocker の特徴は、クローズドソースのプログラムであるということです。これはプライバシーを非常に重視する人にとっては問題です。なぜなら、Microsoft が米国政府からの圧力を受けて何らかのバックドアをプログラムに仕込んだかどうかをユーザーが知る術がないからです。

同社はバックドアはないと主張していますが、どうすれば確信できるのでしょうか？それはできません。確かに、BitLockerがオープンソースであれば、ほとんどの人はコードを読んで脆弱性を見つけることはできないでしょう。しかし、どこかの誰かがそれをできるはずです。

BitLocker がクローズドソースであることを考慮すると、この暗号化プログラムが国境警備隊や諜報機関といった政府機関からデータを保護してくれるとは期待できません。しかし、PC が盗難されたり、何らかの形で不正アクセスされたりした場合にデータを保護したいのであれば、BitLocker は十分でしょう。

BitLockerの設定方法

Windows 8.1 ProマシンでBitLockerを実行する方法をご紹介します。Windows 10固有の手順もいくつか追加しました。

1. Windows のコントロールパネルを開き、右上隅の検索ボックスに 「BitLocker」と入力して、 Enter キーを押します。

2. 次に、「BitLocker の管理」をクリックし、次の画面で「BitLocker を有効にする」をクリックします。

3. ここで、BitLocker は PC の構成をチェックし、デバイスが Microsoft の暗号化方式をサポートしていることを確認します。

ビットロッカーリスト — BitLocker は必要な Trusted Platform Module をチェックします。

BitLocker が承認されている場合、Windows は次のようなメッセージを表示します（左のスクリーンショットを参照）。TPM モジュールがオフになっている場合は、Windows が自動的にオンにして、ドライブを暗号化します。

TPM

TPMセキュリティハードウェアを有効にするには、Windowsを完全にシャットダウンする必要があります。その後、PCを手動で再起動する必要があります。再起動する前に、フラッシュドライブ、CD、またはDVDがPCから取り出されていることを確認してください。その後、「シャットダウン」をクリックしてください。

PCを再起動すると、システムが変更されたという警告が表示される場合があります。私の場合は、変更を確定するにはF10キーを、キャンセルするにはEscキーを押す必要がありました。その後、コンピューターが再起動し、再度ログインするとBitLockerウィンドウが表示されます。

回復キーと暗号化

bitlockertpmdone — 再起動すると、TPM がアクティブになりました。

数分後、「TPM セキュリティハードウェアをオンにする」の横に緑色のチェックマークが付いたウィンドウが表示されます。ドライブを暗号化するところまであと少しです！準備ができたら、「次へ」をクリックしてください。

ただし、ドライブを暗号化する前に、PCの電源を入れるたびにパスワードの入力を求められます。Windowsのログイン画面が表示される前にも、このパスワードを入力する必要があります。Windowsでは、パスワードを手動で入力するか、USBキーを挿入するかを選択できます。どちらかお好みの方法を選んでください。ただし、認証にUSBキー1つだけに依存する必要がないように、手動でパスワードを入力することをお勧めします。

次に、PCのロック解除に問題が発生した場合に備えて、回復キーを保存する必要があります。Windows 8.1およびWindows 10では、このキーの保存方法として3つの選択肢があります。Microsoftアカウントにファイルを保存する、ファイルに保存する、フラッシュドライブに保存する（Windows 10）、回復キーを印刷する、です。これらのオプションは必要なだけ選択できますが、少なくとも2つは選択する必要があります。

私の場合は、ファイルをUSBメモリに保存し、キーを紙に印刷することにしました。Microsoftのサーバーに誰がアクセスできるかわからないため、ファイルをMicrosoftアカウントに保存することはしませんでした。ただし、キーをMicrosoftのサーバーに保存しておけば、万が一、回復キーコードが入ったUSBメモリや紙を紛失した場合でも、ファイルを復号化できるようになります。

回復キーの 2 つの異なるインスタンスを作成し、USB ドライブをすべて削除したら、[次へ]をクリックします。

ビットロッカーラジオボタン — お使いの PC に最も適したオプションを選択してください。

次の画面では、これまで使用していたディスク領域のみを暗号化するか、PCのドライブ全体を暗号化するかを選択します。ファイルが何も入っていない新品のPCを暗号化する場合は、新しいファイルが追加されるたびに暗号化されるため、使用済みのディスク領域のみを暗号化するオプションが最適です。ハードドライブの容量が少し多い古いPCをお使いの場合は、ドライブ全体を暗号化することを選択してください。

暗号化方式を選択したら、「次へ」をクリックします。あと少しで完了です。

Windows 10のみ

Windows 10 ビルド 1511 以降をご利用の場合は、暗号化モード（新規または互換）を選択するよう求められます。オンボードストレージドライブを暗号化する場合は、「新規」を選択してください。互換モードは、主に「新規」暗号化モードを搭載していない古いバージョンの Windows で使用するリムーバブルドライブ向けです。

「BitLocker システムチェックを実行する」の横にあるチェックボックスがオンになっていることを確認してください。これにより、Windows はドライブを暗号化する前にシステムチェックを実行します。チェックボックスをオンにしたら、「続行」をクリックします…何も起こりません。