BitLockerとは？活用するメリットや注意点、設定方法まで解説

BitLockerとは

BitLockerとは、MicrosoftがWindowsに標準搭載している暗号化機能です。

PCのストレージを暗号化することで、ストレージに保存されたデータを保護します。

たとえばPCが盗難にあった場合、通常であればストレージを取り外して別のPCに接続することでデータを読み取ることが可能です。

しかしBitLockerが有効化されている場合、暗号化されているため認証情報や回復キーがなければデータを復号できません。

このように、BitLockerは端末紛失時の情報漏えい対策に有効な機能として、多くの企業で利用されています。

BitLockerが使えるWindows OS

BitLockerが使えるのは、次のWindows OSを搭載したWindows PCのみです。

• Windows Vista（Ultimate、Enterprise）
• Windows 7（Ultimate、Enterprise）
• Windows 8（Pro、Enterprise）
• Windows 8.1（Pro、Enterprise）
• Windows 10（Pro、Enterprise、Education）
• Windows 11（Pro、Enterprise、Education）

Windows Vista以降のWindows OSでも、Home Editionでは使えません。ただし、工場出荷時にWindows 11 Homeが搭載されているPCではBitLockerが有効になっているものもあります。

BitLockerの対象となる記憶媒体

BitLockerを有効にすると、PCに接続されている記憶媒体のデータを暗号化できます。対象は次のような記憶媒体です。

• HDD
• SSD
• USBメモリ
• リムーバブルハードディスク

BitLockerは、Windows PCから有効化または無効化できます。

またBitLockerを有効化して暗号化したストレージも、普段は読み書きすることができます。しかし、BitLockerを設定したWindows PCが破損したり、元のPCからUSBメモリなどの外部記憶媒体を外したりすると、内容が暗号化されて読み書きができなくなります。

PCのOSやBIOSをパスワードで保護しておけば、PCが紛失や盗難などの被害にあっても、PCを起動できなくなるので情報漏洩を防ぐことが可能です。

さらにBitLockerを設定することで、記憶媒体だけを取り出して読み出すこともできなくなり、セキュリティを強化することができます。

一方でBitLockerは、記憶媒体をドライブ単位で保護するためファイルやフォルダごとに設定することはできません。

BitLockerを導入する企業が増えている

BitLockerの導入が増えている背景には、テレワークの普及があります。社内ネットワーク上のデータをセキュリティツールで保護しても、テレワークで社外に持ち出したPCが紛失、盗難にあったりすると、そこからさまざまな重要データが漏洩し第三者に悪用される被害にあうことも多いからです。

そこで、PCの紛失や盗難があった場合の情報漏洩を防ぐために、BitLockerが導入されています。

BitLocker はWindowsの標準機能なので、新しくツールを購入する必要がなく、導入しやすいことも利用が増えている理由の1つです。

BitLockerの仕組み

BitLockerはドライブ全体を暗号化することでデータを保護します。

この暗号化を安全に運用するために重要な役割を担うのが、TPM（Trusted Platform Module）と呼ばれるセキュリティ専用のICチップです。

TPMは暗号鍵を安全に保存するためのハードウェアであり、PCの起動時にシステムの状態を確認しながらBitLockerのロック解除を行います。

これにより、OSや起動環境に不正な変更が加えられていないかを確認した上で、ドライブへのアクセスが許可されます。

もしシステム構成に大きな変更があった場合やTPMの状態に異常が検知された場合には、BitLockerは自動的に回復モードに入り、回復キーの入力を求められる仕組みになっています。

このようにBitLockerは、単に暗号化するだけではなく、システムの整合性を確認しながらデータ保護を行う設計になっています。

BitLockerのメリットと注意点

BitLockerを利用するメリットと利用時の注意点、また、特に注意が必要な回復キーについて説明します。

BitLockerのメリット

• PCが紛失したり盗難にあったりしても情報漏洩を防止できる
• Windowsの標準機能なので、新たにツールをインストールする必要がなく、すぐに使える
• 新たにツールを購入するコストがかからない

さらに、USBメモリなどの外部ストレージを暗号化する「BitLocker To Go」という機能もあり、リムーバブルメディアのセキュリティ対策としても活用できます。

BitLocker利用時の注意点

• BitLockerを無効化できる場合がある
  管理者アカウントや、パスワードと回復キーがあればBitLockerを無効化できます。
• ドライブ単位でしか暗号化できない
  BitLockerでは、ファイルごと、フォルダごとに暗号化することはできません。そのような形式でデータを保護するには、別のツールが必要です。また、複数のドライブがある場合は1つずつ設定する必要があります。
• BitLockerを有効化していると使えないアプリケーションがある
  ディスクの操作を行うアプリケーション使用する場合、一時停止/解除が必要になる場合があります。
• パスワードや回復キーをきちんと管理する必要がある
  パスワードや回復キーを紛失すると、BitLockerを無効化できません。そうすると、PCにトラブルがあったとき、ドライブにアクセスできなくなります。そのため、パスワードと回復キーの管理には注意が必要です。

パスワードと回復キー

BitLockerを一度有効化したあと無効化する時には、パスワードと回復キーが必要になる場合があります。

パスワードは、ストレージのBitLockerを有効化するときに設定するもので、任意に設定できます。

回復キー（BitLocker回復キー）とは、BitLockerを有効化して暗号化を設定したときにOSから発行されるパスワードです。48桁の数字で構成されています。

回復キーは、パスワードを忘れたり、ハードウェアやログインにトラブルがあったりした場合に必要です。

• PCから記憶媒体を取り外したあとでBitLockerを無効化したい時
• 利用しているPCのOSや記憶媒体などのハードウェアにトラブルがあって起動できなくなった時
• PCへのサインインが一定の回数以上失敗した時

また、回復キーは再発行されるケースがあります。その場合1度BitLockerを無効化したら同じ回復キーは使えなくなり、次にBitLockerを有効化するときにまた新しい回復キーが発行されます。

そのため企業でBitLockerを利用する場合、回復キーを適切に保管しておくことが非常に重要になります。

また、BIOS設定の変更やハードウェア構成の変更などを行うと回復キー入力を求められるケースがあります。こうしたトラブルが発生した際に迅速に対応できるよう、対応手順や回復キーとパスワードの管理方法は事前に整理しておくことが望ましいでしょう。

BitLockerの設定方法

BitLockerは、次の方法で有効化できます。ここでは、Windows 11でCドライブを暗号化する場合の手順を紹介します。

BitLockerを有効化する方法

1. 管理者アカウントでWindowsにログイン
2. コントロールパネルから「システムとセキュリティ」をクリック
3. 「BitLocker ドライブ暗号化」の順でクリック
4. 「BitLockerを有効にする」をクリック
   「BitLockerを有効にする」が表示されない場合、または「BitLockerが有効です」と表示される場合があります。この場合は、すでに有効化されているか、BitLockerを使えないOSのPCです。
5. 「回復キーのバックアップ方法を指定してください」と表示されたら、バックアップ方法を指定し、「次へ」をクリック
   バックアップ方法は次の3通りです。
   ・Microsoftアカウントに保存する
   ・ファイルに保存する
   ・回復キーを印刷する
   方法を選択すると、回復キーがバックアップされます。
   
6. 「ドライブを暗号化する範囲の選択」で、暗号化する範囲を指定
   指定できる範囲は次の2通りです。
   ・ドライブ全体を暗号化する
   ・使用済みの領域のみ暗号化する
   
7. 「使用する暗号化モードを選ぶ」で使用する暗号化モードを指定
   指定できる暗号化モードは次の2通りです。
   ・Windows 10以上で使える新しい暗号化モード
   ・それ以前のOSと互換性のある暗号化モード
   
8. 「Bitlockerシステムチェックを実行する」をチェックして「続行」をクリック
9. 「コンピューターを再起動する必要があります」と表示されたら「今すぐ再起動する」をクリック
10. 再起動したらBitLockerを有効化したドライブのアイコンに鍵のマークがついています。これでCドライブは暗号化されています。

BitLockerを無効化する方法

BitLockerを無効化するには、次のような操作を行います。ここでは、Windows 10でCドライブを無効化する場合の手順を紹介します。

1. 管理者アカウントでWindowsにログイン
2. コントロールパネルから「システムとセキュリティ」をクリック
3. 「BitLocker ドライブ暗号化」の順でクリック
4. オペレーティングシステムドライブの「BitLockerを無効にする」をクリック
5. 「BitLockerを無効にする」が表示されるので、「BitLockerを無効にする」をクリック
6. CドライブをPCから取り外したあとにBitLockerを無効化したい場合は、回復キーを利用

パスワードや回復キーに関するトラブル

BitLocker運用でよくあるトラブルの一つが、突然回復キー入力画面が表示されるケースです。

PCの起動時にこのような画面が表示されると、業務が進められず焦ってしまう方も少なくありません。

このような場合別の端末を用意し、回復キーを確認の上、入力することで解除できます。

なお、端末を利用する際に、使用していたアカウントの種類によって確認方法が異なるためその点も注意が必要です。

• ローカルアカウント
• Microsoftアカウント
• Microsoft Entra ID

企業ではこの回復キーの管理方法を明確にしておかなければ、トラブル発生時に端末が使用できなくなる可能性があります。

回復キーの管理体制を整備することがBitLocker運用の重要なポイントです。

BitLockerを理解してセキュリティを強化しよう

BitLockerは、企業にとってはとても便利な機能です。新たにソフトウェアを用意する必要もなく、コストもかからず、セキュリティを強化できます。

特に、テレワークで社外にある端末からの情報漏洩を防ぐ手段が増えるのはとても便利です。

しかし、BitLockerの運用には回復キーの管理などの注意事項があります。利用する際には、それを理解しておかなくてはなりません。

テレワークを導入するには、社内ネットワークへ接続するときのセキュリティ対策も重要なポイントです。マルウェアの侵入を防ぐツールの導入や、セキュアなリモートアクセスを確立できるツールを用意して、万全を期す必要があります。

リモートアクセスについては、以下の資料もご覧ください。リモートアクセスツールの主な5種類についての各メリットや注意点、導入で失敗しがちな例などを図で分かりやすく解説しています。

【資料ダウンロード】リモートアクセスツール攻略ガイドブック

またセキュアなリモートアクセスを確保するなら、CACHATTO Oneの「セキュアコンテナ」がおすすめです。セキュアコンテナ内で使用される仮想領域により、データの暗号化や削除を実施することで端末盗難や紛失時の情報漏洩リスクを低減します。さらに、BitLockerを併用することで、PC全体により強固なセキュリティを確保することも可能です。詳しくは以下をご参照ください。