【BitLocker】万が一に備えて回復キーは絶対保存しとこうね

こんにちは。matchanです。

Windows PCに搭載されている「BitLocker」という機能をご存じでしょうか。あるいは、お使いのPCでBitLockerは有効になっているか覚えていますでしょうか。

BitLockerを有効にしておくことで、万が一PCが盗まれたりしても情報漏洩のリスクを低減できます。しかし忘れてはいけないのが『「回復キー」を保管しているか？」ということです。

もしこの「回復キー」を保管していないと・・・いざという時にとても困ることになります。

ここではBitLockerについて、

• そもそもBitLockerとは
• 回復キーとは
• 回復キーの保存方法

について紹介していきます。

お使いのPCでBitLockerが有効になっている場合、正常に使える今のうちに回復キーを保存していきましょうね、という記事になります。

BitLocker(ビットロッカー)とは

BitLockerは、Windowsに搭載されているセキュリティ機能です。

>> BitLocker の概要 | Microsoft Learn

ストレージデバイス(HDDやSSD)のCドライブやDドライブといったドライブを暗号化することで、万が一PCやストレージデバイスを紛失、あるいは盗難に遭ってもデータを保護することができます。

"BIOSパスワードやWindowsへのログオンパスワードを設定しておけば大丈夫じゃね？"と思われがちですが、実はPCからストレージデバイスを抜き取り、別のPCに接続すれば中のデータを見られる可能性があります。

BitLockerを有効にしておけば、暗号を解除する「鍵」がなければデータを見ることができません。これによりセキュリティが大幅に向上するのです。

BitLockerを使用できるWindowsエディション

BitLockerは以下のWindowsで利用可能です。

• Windows Vista：Ultimate、Enterpriseエディション
• Windows 7：Ultimate、Enterpriseエディション
• Windows 8/8.1：Pro、Enterpriseエディション
• Windows 10：Pro、Enterprise、Educationエディション
• Windows 11：Pro、Enterprise、Educationエディション

以降は、現在主流のWindows 10/11に絞っています。

BitLocker To Go

BitLockerは内蔵ストレージデバイスを暗号化する技術ですが、外付けUSBメモリなどのリムーバブルメディアを暗号化する「BitLocker To Go」という機能もあります。

BitLockerが有効になっているストレージデバイスを取り外して別のPCに接続すると、そのデバイスは画面上で「BitLocker To Go」デバイスとして認識されます。

TPM(Trusted Platform Module)

BitLockerでドライブが暗号化されると、復号に必要な鍵はTPM(Trusted Platform Module)と呼ばれる専用のセキュリティチップに保存されます。

BitLockerが有効な場合、PCの起動時にTPM内にある鍵を用いて自動的に復号が行われます。万が一ストレージデバイス(HDDやSSD)がPCから取り外されても、デバイス内のデータを見るには、後述する回復キーがないと復号できません。

回復キー

BitLockderの暗号を復号化できるもう1つの方法が、最初に述べた「回復キー」です。

48桁の数字で構成されており、BitLockerを有効化する際にどの方法で回復キーを保存するかを選択できます。

• Microsoftアカウント/Azure ADアカウントに保存
• USBメモリに保存
• ファイルに保存(※暗号化しようとしているドライブには保存不可)
• 紙に印刷する

Microsoftアカウントに保存していれば、https://aka.ms/myrecoverykeyよりMicrosoftアカウントでログインすることで確認できます。

>> BitLocker 回復キーを見つける - Microsoft サポート

万が一BitLockerの回復キーを保存していないとどうなる？

普通にPCを使っている分には回復キーを使うことはありません。回復キーが必要になるのは以下のような場合です。

• 自動修復画面からWindows Updateのアンインストールやセーフモードを試みようとしたとき
• ストレージ'(HDD/SSD)をPCから取り外し、別の端末からアクセスしようとしたとき
• PCの修理でマザーボードを交換したとき

例えば、ハード障害でPCが起動できなくなったとします。ストレージ(HDD/SSD)に保存されているデータを取り出すために、PCからストレージを取り外してほかのPCに接続した場合以下のような画面が表示されます。

回復キーが分からないとこの画面から進めないため、データを見ることができません。

じゃあPCを修理すればいいじゃん、となり修理でマザーボードを交換したとします。しかし、マザーボードを交換したPCを起動しようとすると・・・やはり先ほどの画面が表示され回復キーを要求されます。

つまり回復キーがないとOSを起動できず、Windowsの再インストールをするしかなくなります。

このようにPCにトラブルが起こった際、回復キーがないと状況によっては絶望的な状況になってしまうわけです。正常に使えている今のうちに回復キーは必ず保存しておきましょう。

BitLockerの設定、回復キーを確認する

お使いのPCでBitLockerの設定をした覚えがなくても、現在BitLockerが有効になっている可能性があるので必ず確認しておきましょう。

確認方法

BitLockerのドライブ暗号化が有効になっている場合、ドライブのところに鍵のマークが表示されます。

あるいは、コントロールパネル内の画面から確認する方法があります。Windowsマークをクリックし『BitLocker』と入力。検索結果に表示された「BitLockerの管理」をクリックします。

表示された「BitLocker 暗号化」画面でBitLockerが有効になっているかを確認できます。

BitLockerを有効にする方法

BitLockerを有効にする手順は以下の通りです。

• 「BitLocker 暗号化」の画面を開く。
• 「BitLockerを有効にする」をクリック。
  
• 回復キーのバックアップ方法を指定する。
  
  
  • Microsoft アカウント/Azure に保存する
  • ファイルに保存する(※暗号化しようとしているドライブには保存不可)
  • 回復キーを印刷する
• 回復キーバックアップが終わったら「次へ」をクリック。
  
• ドライブを暗号化する範囲を選択する。
  
  • 使用済みの領域のみ暗号化する：使われていない領域は暗号化されない分、早く終わる
  • ドライブ全体を暗号化する
• 使用する暗号化モードを選択する。
  
  • 新しい暗号化モード：対象のストレージを取り外す予定がない場合
  • 互換モード：対象のストレージを取り外すことがある場合
• 「次へ」をクリック。事前にBitLockerが正しく機能することをチェックしたい場合は「BitLocker システムチェックを実行する」にチェックを入れる(その場合、PCの再起動が必要になる)
  
• 暗号化の処理が始まる。(しばらくかかりますが、処理中もPCは使えます)

BitLockerを無効にする方法

セキュリティの観点からするとあまりオススメはできませんが、BitLockerの保護が必要ない場合は無効にしておきましょう。

• 「BitLocker 暗号化」の画面を開く。
• 「BitLockerを無効にする」をクリック。
  
• 処理が始まる。(しばらくかかりますが、処理中もPCは使えます)

BitLockerを一時中断する

BitLockerの保護を一時的に中断することもできます。マザーボードを交換する場合など、回復キーを要求されそうなケースの場合に事前に一時中断しておけば、回復キーを要求されることはありません。

• 「BitLocker 暗号化」の画面を開く。
• 「保護の中断」をクリック。
  

BitLockerの回復キーを保存する

BitLocker回復キーのバックアップが無い場合は、必ず回復キーを保存しておきましょう。おすすめはMicrosoftアカウントとファイルの2ヶ所に保存しておくことです。

また、一度BitLockerを無効にして再度有効化すると回復キーは変わるので、必ず回復キーを保存し直しておきましょう。

• 「BitLocker 暗号化」の画面を開く。
• 「回復キーのバックアップ」をクリック。
  
• 回復キーのバックアップ方法を指定する。
  
  • Microsoft アカウント/Azure ADに保存する
  • ファイルに保存する(※暗号化しようとしているドライブには保存不可)
  • 回復キーを印刷する

まとめ