前回掲載コラムにて、BitLockerの基礎知識をご紹介しましたが、今回は実際にBitLockerを利用した暗号化の方法をご紹介します。
実践編1 リムーバブルドライブを暗号化する方法
USBメモリーの暗号化で基本的な設定手順を把握しましょう
では、BitLockerの具体的な設定手順を解説していきましょう。まずはもっとも設定が簡単なリムーバブルドライブの暗号化方法を紹介します。ここではUSBメモリーを実際に暗号化してみましょう。
まずは、Windowsのスタートボタン横にあるCortanaの検索欄で「PC」と入力してEnterキーを押します。次に、検索結果に表示された「PC(デスクトップアプリ)」をクリックしてください。「PC」ウインドウが開きデバイスとドライブ一覧が表示されます。ここから、暗号化したいUSBメモリーのアイコンを右クリックして「BitLockerを有効にする」を選択します。
しばらくすると上のような画面になります。暗号化ドライブのロック解除方法を1つ選択しましょう。パスワードで解除する場合は、「パスワードを使用してドライブのロックを解除する」を選択し、パスワード2回入力して「次へ」をクリックします。パスワードは短すぎると第三者に解析されるリスクが増えるので、できるだけ長めに設定しておきましょう。もし、ロック解除にスマートカードを利用する場合は、「スマートカードを使用してドライブのロックを解除する」を選択してください。
次の画面では、「回復キー」のバックアップ方法を指定します。回復キーとは、暗号化ドライブごとに発行される48桁の数字(6桁×8つの組み合わせ)です。この回復キーさえ保存しておけば、パスワードを忘れたときやスマートカードを紛失したときでもドライブのアクセス権を回復できます。万一のときに備えて回復キーは必ずバックアップしておきましょう。
回復キーのバックアップ方法について
回復キーのバックアップ方法には以下のものがあります。複数の方法でバックアップを用意しておき、それぞれ誰にも見られないような場所に保管しておきましょう。
- Microsoftアカウントに保存する
MicrosoftアカウントでWindowsにサインインしている場合は、OneDriveに回復キーを保存することが可能です。ただし、Windows Active Directoryドメインに参加している場合は使えません。OneDriveに保存した回復キーはhttps://onedrive.live.com/RecoveryKeyから表示できます。 - USBフラッシュドライブに保存する
ほかのUSBメモリーが接続されている場合は、そのUSBメモリー内にも回復キーを保存できます。 - ファイルに保存する
回復キーをテキストファイル(上画像参照)として保存します。 - 回復キーを印刷する
回復キーを紙に印刷することが可能です。
次にドライブを暗号化する範囲を選択します。「使用済みの領域のみ暗号化する」では、現在のドライブで既存データがある領域のみ暗号化を実行します。暗号化の時間が短縮されますが、未使用部分にデータの残骸がある場合は第三者に読み取られる危険があります。より安全を確保するのであれば「ドライブ全体を暗号化する」を選んでおきましょう。
上の画面では使用する暗号化モードを選択します。「新しい暗号化モード」は新しい暗号化技術(XTS AES)を用いるので安全性が高くなります。ただし、Windows 10以外のOSには互換性がありません。暗号化したUSBメモリーをWindows 8.1や7の環境でも使うのであれば、「互換モード」を選択しておくのが無難です。
次の画面になったら「暗号化の開始」をクリックします。これでドライブの暗号化が実行されます。暗号化が完了するまでにはしばらく時間がかかるので待っておきましょう。
暗号化ドライブのロック解除方法について
暗号化が完了しますと、ドライブのアイコンに鍵アイコンが付くようになります。上記の手順で暗号化を行った直後はロックが外れている状態となり、一度Windowsを終了(再起動)、もしくはUSBメモリーを取り外したあとに再びロックがかかるようになります。
ロック状態のドライブをダブルクリックしますと、上のようにパスワードの入力が求められます(パスワード設定時)。パスワードを入力して「ロック解除」をクリックすれば、ロックが解除されて自由にアクセスが可能です。もし、パスワードを忘れた場合は「その他のオプション」をクリックし、あらかじめバックアップしておいた48桁の回復キーを入力してロックを解除しましょう。
ロック解除状態から再びロックを有効にしたいときは、USBメモリーのドライブを右クリックして「取り出し」実行しましょう。パソコンからUSBメモリーを取り外し、再度USBメモリーを取り付ければロックが有効になります。または、Windowsを再起動することでも再びロック状態に戻ります。
なお、ロック解除状態は以下の状態でも維持されます。他人に使われたくない場合は、USBメモリー自体をこまめに取り外しておきましょう。
- スリープ状態から復帰する
ロックは解除されたままです。離席時に他人に使われる可能性があります。 - Windowsからサインアウトする
ロックは解除されたままです。別の人がサインインすれば使えてしまいます。
以上がUSBメモリーをBitLockerで暗号化する手順となります。思ったよりも簡単だったのではないでしょうか? ちなみに外付けのSSDやハードディスクといった外部ドライブに対しても、同様の手順で暗号化が行えます。
実践編2 固定データドライブを暗号化する方法
パソコンに内蔵されたデータドライブを暗号化してみましょう
パソコンに内蔵されたハードディスクやSSDをBitLockerで暗号化する場合も、手順はUSBメモリーのときとほぼ同じです。ただし、Windowsのシステムドライブ(Cドライブ)か、そのほかの固定データドライブかで若干認証方法が異なってきます。
「PC」ウインドウ内で表示されるシステムドライブにはWindowsマークが付いています。システムドライブはWindowsそのものがインストールされており、Windowsを起動するための重要なドライブです。それ以外の内蔵ドライブはすべて固定データドライブになります。ここでは、この固定データドライブの暗号化を説明していきます。
まずは、USBメモリーのときと同じく、ドライブアイコンを右クリックして「BitLockerを有効にする」を実行してください。
これ以降の手順もUSBメモリーのときとまったく同じです。必要な設定を済ませてしまいましょう。
なお、内蔵のデータドライブをWindows 10でしか使わないのであれば、暗号化モードの選択画面で「新しい暗号化モード」を選んでおくいいでしょう。
すべての設定を終えて「暗号化の開始」を実行すれば、内蔵データドライブの暗号化作業が開始されます。ストレージの種類や容量によって異なりますが、暗号化にかかる時間はUSBメモリーのときよりも多くかかります。今回の検証環境では1TBのSSDを暗号化するのに約1時間半かかりました。
BitLockerでの暗号化が終了すれば、PCウインドウでの内蔵ドライブアイコンに鍵アイコンが表示されます。これで暗号化が完了です。なお、暗号化を設定した直後はロックが解除された状態となり、パソコンを再起動した際に再びロックが有効になります。
暗号化のロック解除方法はUSBメモリーのときと同じです。パスワードを入力するか、スマートカードで認証して解除してください。
なお、USBメモリーは取り外すことで再びロックをかけることができましたが、内蔵ストレージは簡単には取り外しができません。再起動せずに再ロックしたい場合は以下で紹介するコマンドライン(CUI)ツールを使います。
コマンドライン(CUI)ツールを使って暗号化ドライブを再ロックする方法
パソコンを再起動せずにドライブを再びロック状態にしたい場合は、コマンドライン(CUI)ツールを使います。ここでは、PowerShellを起動してBitLocker用コマンドレットを使ってみましょう。まず、Cortanaの検索欄に「PowerShell」と入力し、検索結果の「Windows PowerShell」を右クリック。「管理者として実行」を選択します。
PowerShellが管理者権限で起動します。manage-bdeコマンドを用いれば、BitLockerのさまざまなコントロールを行えます。ここでは、暗号化ドライブをロック状態にするコマンド「manage-bde -lock」を入力。半角スペースを空け、「d:」といったようにロック状態にしたいドライブレターを指定します。
最後にEnterキーを押せばコマンドが実行されます。「ボリューム XX: はロックされています」と表示されればドライブのロックが完了です。後述するGUIベースの管理ツールでもBitLockerの各種管理は可能ですが、ドライブをロック状態に戻すのは「manage-bde -lock」コマンドでしか操作できません。覚えておくといろいろ役に立ちます。
実践編3 システムドライブを暗号化する方法
システムドライブを暗号化するにはTPMが必須です
システムドライブをBitLockerで暗号化するためには、原則として「TPM(Trusted Platform Module)セキュリティーチップ」、もしくは「Intel PTT」と呼ばれるセキュリティーデバイス(以下、これらをTPMと称します)がパソコンに搭載されている必要があります。TPMとは、BitLockerの暗号化で利用される暗号キーを保存し、OSやほかのハードウエアから独立して管理するためなどに使われるICチップです。
TPMは法人向けのパソコンやタブレットPCに多く搭載されていますが、個人向けのパソコンにはほとんど搭載されていません。管理したいパソコンがTPMに対応しているどうかはデバイスマネージャー画面をチェックすればわかります。上画面では「セキュリティーデバイス」項目に「トレステッド プラットフォーム モジュール2.0」が表示されており、TPMの機能が動作していることがわかります。
TPMが正常に動作しているのであれば、システムドライブの暗号化は簡単に行えます。まずは、暗号化したいシステムドライブを右クリックして「BitLockerを有効にする」を選択しましょう。
回復キーのバックアップ、暗号化モードの選択などを適切に設定していきます。デフォルト状態ではTPMにロック解除用のキー情報が保存されるため、パスワードなどの設定は不要です。
上の画面になったら「BitLockerシステムチェックを実行する」にチェックを入れて「続行」をクリックします。
上の画面で「今すぐ再起動する」をクリックして、パソコンを再起動してください。
再起動後、システムドライブの暗号化作業がバックグラウンドで開始されます。しばらく待って「C: の暗号化が完了しました。」という表示が出れば作業完了です。
なお、デフォルト設定では、パソコン起動時にTPM内のロック解除キーが読み込まれ、自動でシステムドライブのロックが解除されます。また、TPM認証を使っているので、内蔵ハードディスクやSSD自体が盗まれても、ほかのパソコンで認証することは不可能です。
TPM未搭載のパソコンでシステムドライブを暗号化するには?
TPMセキュリティーチップが搭載されていないパソコンの場合、システムドライブの暗号化時に上のようなエラー画面が表示されます。この場合はグループポリシーの設定を変更することで、TPM認証の代わりにスタートアップキーもしくはパスワード入力での認証を使うことができます。ただし、TPMを利用するよりも安全性は落ちます。
スタートアップキーとは、暗号化ドライブの回復キーをUSBメモリーに記録したものです。スタートアップキー(USBメモリー)での認証を使う場合、パソコン起動時にUSBメモリーの挿入が必要になります。
グループポリシーを変更するには、Cortanaの検索欄で「gpedit.msc」と入力してgpedit.mscを実行し、「ローカルグループポリシーエディター」を起動します。左の一覧から「コンピューターの構成」→「管理用テンプレート」→「Windows コンポーネント」→「BitLockerドライブ暗号化」→「オペレーティングシステムのドライブ」を選択。左の項目一覧にある「スタートアップ時に追加の認証を要求する」をダブルクリックします。
左上の項目を「有効」に変更し、「オプション:」欄の一番上にある「互換性のあるTPMが装備されていないBitLockerを許可する」にチェックを入れ「OK」をクリックします。
グループポリシーの設定を変更したら、システムドライブを暗号化してみましょう。いくつかの確認画面が表示されたあと、「スタートアップ時のドライブのロックを解除する方法を選択する」といった画面が表示されます。「USBフラッシュドライブを挿入する」を選べば、USBメモリーに回復キーを保存し、スタートアップキーでの認証手段が選ばれます。「パスワードを入力する」を選べば、通常のパスワード入力でのロック解除が可能です。
実践編4 BitLockerで暗号化したドライブの管理方法
GUIベースの管理画面を表示する方法
BitLockerの暗号ドライブを管理する場合は、GUIベースの管理ツールを使います。管理ツールを呼び出すには、暗号化されたドライブを右クリックして「BitLockerの管理」を選択すればOKです。
「BitLockerドライブ暗号化」というウインドウが表示されます。ここでは接続されている全ドライブが一覧表示され、各ドライブの暗号化が行えます。また、暗号化済みのドライブに関しては、回復キーのバックアップ、パスワードの変更、自動ロック解除の有効化、BitLockerの無効化などが行えます。
BitLockerを無効化する方法
暗号化されているドライブでBitLockerを無効にするには、管理ツール画面で「BitLockerを無効にする」を選択します。
「BitLockerを無効にする」をクリックします。これでドライブの暗号化は解除されます。
自動ロック解除を有効にする方法
管理ツール画面で各ドライブの「自動ロック解除の有効化」を設定すれば、パソコンを起動してドライブが認識された時点で自動的にロック解除されます。パスワード入力といった認証手続きが不要となりますので、面倒な人は有効にしておきましょう。ただし、パソコンごと盗まれた場合、情報漏えいリスクは当然上がってしまいます。
なお、固定データドライブで自動ロック解除機能を設定する場合、上のようなエラーが出ることがあります。このエラーは、システムディスクが暗号化されていないのが原因。固定データドライブの自動ロック解除では、解除用のキー情報がシステムドライブに保存されます。安全性を考慮して、あらかじめシステムドライブを暗号化しておく必要があるのです。
BitLockerは、コストパフォーマンスの高い暗号化機能です
本記事では、BitLockerの基本的な使い方などを紹介してきました。BitLockerは情報漏えいリスクに対して決して万全ではなく、デメリットもあります。たとえば、従業員が勝手に暗号化のオン/オフを変更できてしまうという点。また、ロック解除用のパスワードなどが外部に漏れてしまうと元も子もないという点も無視できません。
さらに、BitLocker単体では複数のパソコンを包括的に管理できないため、大量のデバイスやストレージを一括して暗号化したい場合にも向いていないでしょう。とはいえ、小規模な企業や団体にとっては、コストパフォーマンスの高い暗号化機能です。MDMなどのより高度なセキュリティー対策をすぐに施せない場合は、試してみる価値が十分にあります。
記事:狩野 文孝