BitLockerは、Windowsに組み込まれたツールで、ハードディスク全体を暗号化し、セキュリティを強化するものです。ここでは、その設定方法を紹介します。

TrueCrypt の閉鎖が話題になったとき、彼らはユーザーに TrueCrypt から BitLocker または Veracrypt への移行を勧めました。 BitLocker は Windows で長く使われている暗号化製品で、セキュリティの専門家からしばしば高い評価を得ています。今回は、PCへの設定方法について説明します。

関連：Windows 10はPro版へアップグレードすべき？

注：BitLocker Drive Encryption および BitLocker To Go には、Windows 8 または 10 Professional または Enterprise エディション、あるいは Windows 7 の最終バージョンが必要です。しかし、windows 8.1以降のHome版とPro版には、同様の働きをする「デバイスの暗号化」機能（windows 10にも搭載されています）が搭載されています。お使いのパソコンがデバイス暗号化に対応している場合はデバイス暗号化、デバイス暗号化が使えないプロフェッショナルユーザーにはBitLocker、デバイス暗号化が使えないHome版Windowsをお使いのユーザーにはVeraCryptの使用をお勧めします。

ドライブ全体を暗号化するか、暗号化されたコンテナを作成するか？

多くのガイドでは、BitLocker コンテナの作成について説明していますが、これは TrueCrypt や Veracrypt などの製品を使用して作成できる暗号化コンテナと非常によく似た動作をします。BitLockerは、ドライブ全体を暗号化することで機能します。これは、システムドライブ、他の物理ドライブ、またはファイルとして存在し、Windowsにマウントされている仮想ハードドライブ（VHD）である可能性があります。

関連：BitLockerを使用してWindows上で暗号化されたコンテナファイルを作成する方法

この違いは、主に意味的なものです。他の暗号化製品では、通常、暗号化されたコンテナが作成され、必要なときにドライブとしてWindowsに読み込まれます。BitLockerでは、仮想ドライブを作成し、そのドライブを暗号化することができます。既存のシステムやストレージドライブを暗号化する代わりにコンテナを使用したい場合は、BitLocker を使用して暗号化コンテナファイルを作成するためのガイドを参照してください。

この記事では、既存の物理ドライブのBitLockerを有効にすることに焦点を当てます。

bitlockerを使ってドライブを暗号化する方法

関連：TPM（Trusted Platform Module）なしでBitLockerを使用する方法

BitLockerをドライブで使用するために必要なことは、BitLockerを有効にして、パスワードやPINなどのロック解除方法を選択し、その他いくつかのオプションを設定することだけです。ただし、BitLocker のフルディスク暗号化をシステムドライブで使用するには、通常、PC のマザーボードに Trusted Platform Module（TPM）がインストールされたコンピュータが必要であることを事前に知っておく必要があります。BitLockerが使用する暗号鍵の生成と保存を行うチップです。お使いのコンピュータにTPMがない場合、グループポリシーを使用して、TPMなしでBitLockerを使用できるようにすることができます。これは、若干安全性が低くなりますが、それでも暗号化を使用しないよりは安全です。

TPMを使用せず、グループポリシー設定を有効にしなくても、非システムドライブやリムーバブルドライブを暗号化することができます。

また、BitLockerのドライブ暗号化には、2つのタイプがあることにご注意ください。

• BitLockerドライブ暗号化：BitLockerとも呼ばれるこの機能は、ドライブ全体を暗号化する「フルディスク暗号化」機能です。コンピュータが起動すると、Windowsブートローダがシステム予約パーティションからロードし、ブートローダはパスワードなどのロック解除方法の入力を促します。BitLockerはその後ドライブの暗号化を解除し、ウィンドウをロードします。暗号化は透過的で、ファイルは暗号化されていないシステムにあるかのように見えますが、暗号化された状態でディスクに保存されています。システムドライブ以外のドライブも暗号化することができます。
• BitLocker To Go: BitLocker To Go を使用して、USB フラッシュドライブや外付けハードディスクなどの外付けドライブを暗号化することができます。ドライブをパソコンに接続する際にパスワードを入力するなど、ロック解除の方法を入力する画面が表示されます。ロック解除の方法を知らない人は、ドライブ上のファイルにアクセスすることができません。

Windows 7 から Windows 10 では、自分で選択することを心配する必要はありません。Windows は舞台裏で物事を処理するので、BitLocker を有効にするために使用するインターフェースは何も変わりません。Windows XPやVistaで暗号化されたドライブのロックを解除した場合、BitLocker to Goのブランドが表示されますので、少なくとも知っておくべきだと考えています。

さて、どんな内容なのか見てみましょう。

ステップ1：ドライブのbitlockerを有効化する

ドライブの BitLocker を有効にする最も簡単な方法は、File Explorer ウィンドウでドライブを右クリックし、「BitLocker を開く」コマンドを選択することです。コンテキストメニューにこのオプションが表示されない場合は、WindowsのProまたはEnterpriseバージョンを使用していない可能性があり、別の暗号化ソリューションを見つける必要があります。

ポップアップするウィザードは、いくつかのオプションを案内してくれますが、ここでは以下のセクションに分けました。

ステップ2：ロック解除方法の選択

BitLockerドライブ暗号化」ウィザードの最初の画面では、ドライブのロック解除方法を選択することができます。ドライブのロック解除は、いくつかの方法から選ぶことができます。

TPMを搭載していないコンピューターでシステムドライブが暗号化されている場合、パスワードまたはキーとして使用するUSBドライブのいずれかを使用してドライブのロックを解除することができます。ロック解除方法を選択し、その方法の指示に従ってください（パスワードまたは**USBドライブを入力してください）。

関連：WindowsでプリブートBitLocker PINを有効にする方法

お使いのコンピュータにTPMが搭載されている場合、システムドライブのロックを解除するための追加のオプションが表示されます。例えば、起動時の自動ロック解除（コンピュータがTPMから暗号化キーを受け取り、自動的にドライブを復号化する）を設定することができます。また、パスワードの代わりに暗証番号を使用したり、指紋などの生体認証オプションを選択することも可能です。

非システムドライブやリムーバブルドライブを暗号化する場合は、2つのオプション（TPM付きまたはTPMなし）しか表示されません。パスワードまたはスマートカード（またはその両方）を使用してドライブのロックを解除することができます。

ステップ3：リカバリーキーをバックアップする

BitLocker では、マスターキーを紛失した場合に、暗号化されたファイルにアクセスするための回復キーを提供しています。例えば、パスワードを忘れた場合や、TPM をインストールしたコンピュータが故障し、別のシステムからドライブにアクセスしなければならない場合などに使用します。

キーは、Microsoftアカウント、USBドライブ、ファイルに保存でき、さらに印刷も可能です。これらのオプションは、システム・ドライブと非システム・ドライブのどちらを暗号化する場合でも同じです。

回復キーをMicrosoftアカウントにバックアップしておけば、後でhttps://onedrive.live.com/recoverykey。他の回復方法を使用する場合は、このキーが安全であることを確認してください。誰かがこれにアクセスすると、ドライブを解読して暗号化をバイパスできる可能性があります。

また、必要に応じて、リカバリーキーをバックアップする方法も複数用意されています。使いたいオプションを順番にクリックし、指示に従って操作してください。リカバリーキーを保存したら、「次へ」をクリックして次に進みます。

注：USBなどのリムーバブルドライブを暗号化する場合、USBドライブにリカバリーキーを保存することはできません。他の3つのオプションのいずれかを使用することができます。

ステップ4：ドライブの暗号化とロック解除

BitLockerは、新しいファイルが追加されると自動的に暗号化しますが、現在のドライブ上のファイルをどのように処理するかを選択する必要があります。ドライブ全体（空き領域も含む）を暗号化することも、使用するディスクファイルだけを暗号化することもでき、処理のスピードアップが図れます。これらのオプションは、システム・ドライブと非システム・ドライブのどちらを暗号化する場合でも同じです。

関連：削除されたファイルを復元する方法：究極のガイド

新しいPCにBitLockerを設定するには、使用するディスク領域を暗号化するだけでよく、より高速になります。以前から使用しているPCにBitLockerを設定する場合は、削除したファイルを復元できないように、ドライブ全体を暗号化します。

選択したら、[次へ]ボタンをクリックします。

ステップ5：暗号化モードの選択（windows 10のみ）

windows 10をお使いの場合、暗号化方式を選択する画面が追加されます。Windows 7またはWindows 8をお使いの場合は、次のステップに進んでください。

Windows 10では、新しい暗号化方式であるXTS-AESを導入し、Windows 7や8で使われていたAESと比較して、完全性とパフォーマンスが向上しています。暗号化するドライブがWindows 10 PCでのみ使用されることがわかっている場合は、先に進んで「新しい暗号化モード」オプションを選択してください。いずれ古いバージョンのWindowsでドライブを使用する必要があると思われる場合（リムーバブル・ドライブの場合は特に重要）、「互換モード」オプションを選択します。

どのオプションを選んでも（繰り返しますが、これらのオプションはシステムドライブと非システムドライブで同じです）、続行し、完了したら［次へ］ボタンをクリックし、次の画面で［暗号化の開始］ボタンをクリックします。

ステップ6: 仕上げ

暗号化処理は、ドライブのサイズ、暗号化するデータの量、利用可能な領域の暗号化を選択するかどうかによって、数秒から数分、あるいはそれ以上かかることがあります。

システムドライブを暗号化する場合、BitLockerシステムチェックの実行とシステムの再起動を促すメッセージが表示されます。このオプションが選択されていることを確認し、［続行］ボタンをクリックし、必要に応じてコンピュータを再起動します。Windowsは、コンピュータが初めてバックアップされた後、ドライブを暗号化します。

システムドライブやリムーバブルドライブ以外を暗号化する場合、Windowsを再起動する必要はなく、すぐに暗号化が開始されます。

暗号化するドライブの種類に関わらず、システムトレイのBitLockerドライブ暗号化アイコンでその進行状況を確認でき、ドライブが暗号化されている間もコンピュータを使い続けることができます......より遅いパフォーマンスとなります。

ドライブのロックを解除する

システムドライブが暗号化されている場合、そのロックを解除するかどうかは、選択した方法（およびコンピュータにTPMが搭載されているかどうか）によります。TPMを搭載し、ドライブの自動ロック解除を選択した場合は、特に違いはなく、通常通りWindowsを直接起動できます。他のロック解除方法を選択した場合は、Windowsが（パスワードの入力、USBドライブの接続などの方法で）ドライブのロックを解除するよう促します。

関連：BitLockerで暗号化されたドライブからファイルを復元する方法

ロック解除方法を紛失した（忘れた）場合は、プロンプト画面でEscapeキーを押して、リカバリーキーを入力してください。

非システムドライブやリムーバブルドライブを暗号化した場合、Windowsの起動後（リムーバブルドライブの場合はPCへの接続時）に初めてドライブにアクセスすると、ロックを解除するよう促されることがあります。パスワードまたは**スマートカードを入力すると、ドライブのロックが解除され、使用できるようになるはずです。

ファイルエクスプローラーでは、暗号化されたドライブはアイコンに金色の錠が表示されます（左）。ドライブのロックを解除すると（右側）、ロックがグレーになり、ロック解除と表示されます。

BitLocker コントロールパネルウィンドウから、パスワードの変更、BitLocker の終了、リカバリーキーのバックアップなど、ロックされたドライブを管理することができます。暗号化されたドライブを右クリックし、「BitLocker の管理」を選択すると、そのページに直接移動します。

すべての暗号化と同様に、BitLockerはいくつかのオーバーヘッドを追加します。マイクロソフトの公式BitLocker FAQには、"通常、単位割合のパフォーマンスオーバーヘッドを導入する "とあります。例えば、ビジネス文書でいっぱいのノートパソコンなど、機密データを扱うために暗号化が重要な場合、セキュリティの強化はパフォーマンスとのトレードオフに十分見合うものです。