Windows 10および11のHome Editionをお使いの方のほとんどは、自分のコンピューターにMicrosoftの暗号化ツールが搭載されていることに気づいていないかもしれません。多くのコンピューターでは、デフォルトで有効になっています。しかし、Microsoftの「BitLocker」ハードドライブ暗号化は、常にPro版OSの特徴的な機能の一つでした。
公式には、これはWindows 11にも適用されます。MicrosoftはHomeとProの比較において、BitLockerデバイス暗号化を最初に挙げています。一体これはどういうことなのでしょうか?
Home版の検索フィールドに「BitLocker」と入力すると、スタートメニューに対応するアプリアイコンが表示されます。ただし、Windows Proとの微妙な違いは、Home版には「管理」というオプションがなく、BitLockerが起動しないことです。
実際にこの機能が利用可能になるとは想像しにくいでしょう。しかし、実際には別の名前で提供されています。
Microsoftは常に、BitLockerはWindows Pro専用であると強調しています。しかし、Homeバージョンでもデータ暗号化機能は提供されていますが、名称が少し異なり、「デバイス暗号化」となっています。
鋳造所
Home版の「デバイス暗号化」ツールについて詳しく説明する前に、この機能がなぜ非常に重要なのかを簡単に説明しておきましょう。PCへのログインとは異なり、暗号化は不正アクセスを効果的に防ぎます。
この保護がなければ、ドライブを取り外すだけで保存データにアクセスできてしまいます。データが暗号化されていれば、これは不可能です。そのため、モバイルコンピューターは盗難やうっかり置き忘れといったリスクが高いため、この機能はノートパソコンにとって特に重要です。
さらに読む: Windows 11の機能をマスターして効率を劇的に向上させましょう
デバイス暗号化のシステム要件
デバイス暗号化を使用するには、4つの要件を満たす必要があります。まず、PCに最新のUEFI(以前のBIOSではなく)が搭載されていること、そして最新のTPMチップ(Trusted Platform Module)が搭載されていることです。これらはどちらも長年にわたり標準となっています。
さらに、デバイスは「モダンスタンバイ」(S0)省電力モードをサポートしている必要があります。お使いのコンピューターがこの機能をサポートしているかどうかを確認するには、以下の手順を実行してください。管理者権限でコマンドプロンプトを開き、以下のコマンドを入力します。
powercfg /aEnterキーを押します。「スタンバイ(S0 低電力状態)…このシステムで利用可能です」という応答が表示された場合、3番目の要件も満たされています。「スタンバイ(S0 低電力アイドル)はシステムファームウェアでサポートされていません」という場合は、メーカーまたはデバイス固有のUEFIメニューで、スタンバイ(S0 低電力アイドル)が有効になっているかどうかを確認してください。
4つ目に、セキュアブートオプションが利用可能で、オンになっている必要があります。これはUEFIで設定する必要があるため、デバイスの暗号化を開始する前に設定を探す必要があるかもしれません。ですから、すぐに諦めないでください。
最終的な互換性チェックと正しい構成を行うには、次のように入力します。
msinfoタスクバーの検索・入力フィールドで「管理者として起動」を選択し、右クリックしてシステム情報を開きます。下部にある「デバイス暗号化のサポート」の項目に「要件を満たしています」と表示されているかどうかを確認します。
そうでない場合、マウスオーバーするとWindowsはエラーの原因を表示します。「PCR7バインディング」の不足がよく挙げられます。上記の前提条件はこれに隠れているため、Googleで該当箇所を検索すると役立つことがよくあります。「デバイスの暗号化に関する問題」のボックスで詳細を確認できます。
続行する前に、Trusted Platform Module がアクティブ化されていることを確認してください。
鋳造所
Windowsデバイス暗号化を使用するには、TPMチップ(Trusted Platform Module)バージョン2.0が有効化されている必要があります。コンピューターのUEFIでTPMが有効化されているかどうかは、次のコマンドを入力することで確認できます。
tpm.msc入力フィールドにもう一度入力します。ステータスに「TPMは使用可能です」と表示され、仕様バージョンの後に「2.0」と表示されていれば、すべて正常です。
それ以外の場合は、UEFIでコンポーネントを有効化してください。Microsoftは主要なデバイスメーカー向けの手順を説明しています。UEFIが変更され、再起動したら、もう一度tpm.mscと入力し、右側の「TPMの準備」でセットアップウィザードを起動します。また、UEFIでセキュアブートをオンにしてください。
デバイス暗号化の現状、BitLockerとの違い
デバイスの暗号化はWindows設定アプリでオンにできます。操作の前提条件として、Microsoftアカウントでコンピューターにログインする必要があります。
鋳造所
次のステップは、設定アプリの「プライバシーとセキュリティ」(Windows 11)または「更新とセキュリティ」(Windows 10)で、デバイスの暗号化がすでにオンになっているかどうかを確認します。オンになっていない場合は、スライドスイッチを使ってオンにしてください。
この時点で重要:デバイスの暗号化は、ローカル Windows アカウントではなく、Microsoft のオンライン アカウントでログインした後にのみ機能します。
Windows 10および11 ProfessionalのBitLockerには、幅広い設定オプションが用意されており、オペレーティングシステムのグループポリシーエディターを使用して詳細に設定できます。Microsoftはオンラインで詳細な説明を提供しています。また、USBメモリなどのリムーバブルメディアを暗号化するための「BitLocker to Go」機能もあります。
Home Editionではこれらの機能は提供されておらず、デバイスの暗号化はオン/オフの切り替えのみ可能です。ただし、鍵長が128ビットの「エコノミー版」は、不正アクセスからデータを安全に保護するという本来の目的を確実に果たします。
ヒント: Windows エクスプローラーのドライブの横にある (開いた) ロック シンボルによって、デバイスの暗号化がアクティブ化され、動作していることを確認できます。
コマンドラインツール managebde.exe を使用すると、暗号化が実行中かどうか、また、機能をオンにした時点でデータがどの程度暗号化されているかなど、より詳細な情報が表示されます。この処理には最大2時間かかる場合があります。Windowsパーティションの場合は、コマンドプロンプトで管理者として以下のコマンドを実行し、ステータス画面を呼び出します。
manage-bde -status c:変換と保護のステータスは特に重要です。「ロック」ステータスの後ろに「ロック解除」と表示されていても驚かないでください。コンピューターにログオンしたため、データのロックが自動的に解除されているからです。
注意:ツールの名前が同じであるにもかかわらず、コマンド ライン ツールについて記載されている制御パラメータは、ほとんどの場合 BitLocker バージョンにのみ適用されることに注意してください。
デバイスの暗号化に関する問題
最も一般的な問題はセットアップ中、つまり Windows 10/11 Home でデバイス暗号化を使用する前に発生します。
原因は通常、UEFI 設定が正しくないことと、システム要件が満たされていないことにあります。
いくつかのハードルは Web で少し調べれば克服できますが、ハードウェアに本当に互換性がない場合は、Windows ではなく Veracrypt を使用してデータを暗号化するしか解決策はありません。
以下のボックスでは、この代替ツールについて詳しく説明します。
他にも、突然予期せぬ問題が発生することがあります。筆者自身もこれを2回経験しました。1回目はUEFIアップデート後にWindowsが回復キーを要求した時、2回目はライブシステム経由でのWindowsドライブのバックアップに失敗しました。慌てずに原因を調査し、解決策を見つけることが重要です。
データを保護し、緊急時に再度ロックを解除します
ハードウェアのチェックやUEFIの変更など、セットアッププロセスは多少面倒ですが、デバイスの暗号化はその後、ユーザーが意識することなくバックグラウンドで実行されます。これは、コンピューターにログオンするとオペレーティングシステムが自動的にハードドライブへのアクセスをロック解除するためです。そのため、特別な操作は必要ありません。
逆に、ログオフまたは電源をオフにすると、データは直ちに再暗号化されます。ただし、この保護は、Microsoftアカウントに十分に安全なパスワードを設定している場合にのみ有効です。これは必須であり、2要素認証(2FA)によって保護レベルがさらに高まります。
ヒント: 長いパスワードを入力するよりも、(ハードウェア ベースの) PIN、指紋センサー、またはカメラによる顔認識を使用して Windows Hello でログインする方が速くて便利です。
指紋センサーやカメラがない場合は、USB ログオンを使用して、ログインおよびログアウト用の USB スティックを構成できます。
非常に強力な保護対策は、いずれはロックアウトされるリスクを高める傾向があります。例えば、デバイスの暗号化の場合、暗号化と復号化はボード上のTPMチップにリンクされているため、マザーボードやPCが故障すると、ロックアウトのリスクが高まります。
これを防ぐために、Windows はデバイスの暗号化と BitLocker を有効にするときに 48 桁の「回復キー」を生成し、Microsoft アカウントに保存します。
予期せぬロック解除には回復キーが必要となるため、回復キーが利用可能かどうかを確認してください。また、回復キーはパスワードマネージャーに保存するか、印刷して安全な場所に保管してください。
確認するには、Microsoftのhttps://account.microsoft.com/devices/recoverykeyにログインし、キーをWindowsのクリップボードにコピーしてください。各パーティションは個別に暗号化されているため、1台のコンピューターに複数のパーティションが表示される場合があります。OSV(Operating System Volume)はシステムドライブを指し、FDV(Fixed Data Volume)はその他のデータドライブを指します。
代替Veracrypt
Veracryptは、Windowsに統合されているデバイス暗号化よりも柔軟性が高く、個々のパーティション、フォルダー、ファイル、USBメモリなどのモバイルデータメディアの暗号化にも使用できます。ただし、Windows Homeエディションでは、この非常に重要な機能は提供されていません。
さらに、VeracryptはWindows内部の暗号化の厳格なシステム要件を満たしていません。Veracryptは使いやすいです。
Veracrypt 暗号化ソフトウェアは、Windows 内部のデバイス暗号化よりも柔軟性が高く、システム要件が大幅に低くなります。
鋳造所
2つのヒント:ソフトウェアをインストールする前に、Windowsのデバイス暗号化が、ステータスコマンド「manage-bde -status c:」(前のページを参照)を使用して無効になっていることを確認してください。また、R-Drive Imageなどを使用して、暗号化されていないデータのバックアップを作成してください。
この記事はもともと当社の姉妹誌 PC-WELT に掲載され、ドイツ語から翻訳およびローカライズされました。
