BitLockerについて|暗号化とデータ復旧
BitLockerとデータ復旧の暗号化
BitLockerとは、PCが不正にアクセスされた場合や盗難・紛失してしまった場合に、データの読み取りを防ぎ、情報漏洩を防ぐためのドライブ(ボリューム)暗号化機能です。Windows Vista 以降のPro、Enterprise、Education エディションで利用可能で、OSの標準機能である点、無料で利用できる点、専用のソフトなどをダウンロードしなくてもいい点が評価され、多くの法人・組織で利用されています。
Microsoft Surfaceなどメーカー製のPCの中には、一定の条件(TPM、セキュアブート、モダンスタンバイ(DMA保護)、250MBのWinRE用領域)を満たすパソコンでは、自動的にBitLockerが有効化されるものがあります。この場合、Windowsの出荷時状態ではBitLockerが中断(無効ではなく一時的な中断)というステータスとなっており、初期セットアップでMicrosoftアカウントなどを設定した際に正式に有効化され、同時に回復キーが自動的にアカウントにアップロードされる仕組みになっています。
強力な暗号化機能である反面、有効化しているにもかかわらず、万が一解除キー(回復キー)をなくしてしまうと所有者本人でさえ、データにアクセスできなくなってしまう点には注意が必要です。
Bitlockerの設定方法
画面最下部中央または左端のWindowsアイコンの右にある検索ボックス(または虫眼鏡アイコン)に「Bitlockerの管理」と打つと、Bitlockerの管理画面が出てきます。ここで各ドライブ(ボリューム)単位で有効になっているかどうかを確認することができます。
Bitlockerを有効にする
- 「Bitlockerドライブ暗号化」の画面で「BitLockerを有効にする」をクリックする
- 「回復キーのバックアップ方法を指定してください。」と表示されるので、確実に管理できる方法を選択し「次へ」を押す
- 「ドライブを暗号化する範囲の選択」または「ドライブ全体を暗号化する」を選択し、「次へ」を押す
- 「新しい暗号化モード(このデバイスの固定ドライブに最適)」または「互換モード(このデバイスから取り外すことができるドライブに最適)」を選択し、「次へ」を押す
- 「Bitlockerシステムチェックを実行する」にチェックを入れ、「暗号化の開始」を押す
- 数時間かかる場合もありますが、再起動まで完了すると暗号化設定が完了します
※職場などでパソコンが初期設定からBitlockerを使用している場合は、システム担当部署、キッティング事業者や総務部の管理者が復号キーを保管していることがありますので、ご確認ください。
OSの不具合やサインイン失敗が一定回数を超えた場合に、「使用できる状態に戻すには回復キーを入力してください」という画面が表示されることがあります。
マイクロソフトアカウントからの回復キーの取得方法
パソコンの初期セットアップ時に意識せずにBitLockerが設定されており、回復キーが不明、設定しているかわからない場合でも、マイクロソフトアカウントから回復キーを取得することが可能です。この状態になると、回復キーがなければデータを取り出しが不可能になりますので、回復キーは確実に保存してください。
マイクロソフトアカウントについて
マイクロソフト製品(WindowsやOffice)やサービス(OneDriveなど)を利用するために設定されているメールアドレスとパスワードです。これは、iPhoneやMacで使用するApple IDや、Androidで使用するGoogleアカウントと同様のものです。
Bitlockerを無効にする
あなたが管理者権限を持っている場合に限り、以下の手順でBitlockerを無効にすることができます。
- 「Bitlockerドライブ暗号化」の画面で「BitLockerを無効にする」をクリックする
- 「BitLockerを無効にする」ボタンを選択すると、無効化が開始されます。数十分から数時間かかる場合があります。
Bitlockerの回復キーを確認する
回復キーとは、以下のような48桁の数字のパスワードです。英数字32桁で表されるキーIDとセットで管理されています。
キーIDの例: 4906F01A-0E48-472E-8080-D8B5A3BA2751
回復キーの例: 081708-221111-497486-649176-266838-253022-680427-687962
パソコンの不具合などにより突然 BitLockerの「回復キー」を求められる画面が表示される場合があります。多くの場合、回復キーをそのまま入力すれば問題は解決できますが、万が一「回復キー」が不明な場合、見知らぬ第三者があなたの大切なデータには決してアクセスできないのと同様に、あなた自身も保存データへのアクセスはできません。
Microsoft / Azure AD / Active Directory アカウントをチェックする
BitLockerが特定の条件を満たし自動で有効化されている場合、あなたの、またはあなたの組織の管理するMicrosoftアカウント/Azure ADアカウント/Active Directoryアカウントに自動でアップロードされています。会社や学校など、組織がデバイスを管理している場合は、情報システム部門に連絡して回復キーを確認してください。大きな組織の場合、Microsoft Intuneなどのデバイス管理ソリューションを活用し、これらのキーを管理しているはずです。
Microsoftアカウントに保存されている場合の回復キーの確認方法はこちらです。
- https://account.microsoft.com/devices/recoverykeyにアクセスし、当該のパソコンで使用していたMicrosoftアカウントでログインします。
- 回復キーが複数登録されている場合は、デバイス名やキーID、キーのアップロード日を頼りに目的の「回復キー」を見つけてください。
- ※ パソコンを何度も初期化・リセットしている場合、回復キーが複数登録されていることがあります。
- ※ 目的の回復キーが見つからない場合、ログインするMicrosoftアカウントが間違っている場合があります。別アカウントでログインを試してみてください。
ファイルとして任意の場所に保存している回復キーを探す
回復キーをファイルとして保存していた場合、デフォルトでは「BitLocker 回復キー 4906F01A-0E48-472E-8080-D8B5A3BA2751.txt(例)」という名前で保存されているはずです。任意の場合を探してみてください。
プリントアウトして保存している回復キーを探す
プリントアウトしている場合は、任意の場所に保管しているはずですので思い当たる場所を確認してください。
回復キー取得のための関連URL
- Microsoft公式サイト
- WindowsでBitLocker回復キーを検索する
- dynabook公式サイト
- ダイナブック他のPCまたはスマートフォンからデバイスの暗号化の回復キーを確認する方法
- 富士通公式サイト
- 富士通Q&A – [Windows 10] デバイスの暗号化の回復キー(BitLocker 回復キー)を取得する方法を教えてください
- ASUS公式サイト
- トラブルシューティング – 回復キーの確認方法
回復キーが見つからない場合
何らかの事情で回復キーが求められ、回復キーを探しても最終的に見つからなかった場合、原則として解除は不可能で暗号化ドライブのデータは永久に失われます。これは暗号化の正しい仕様であり、あるべき状態です。
データ復旧ソフトや事業者によっては、BitLockerで暗号化されたドライブにも対応可能、事例ありと謳っているものありますが、注意して確認する必要があります。作業手順内に「回復キーを入力するように」とさらっと記載されていたり、事業者の復旧事例にも「回復キーの入力、またはWindowsへのサインインを実施して解除した」旨が記載されていたりします。利用を検討している場合「サインインできない」こと、「回復キーがないこと」を明確に伝え、それでも復旧できるかどうかを事前に確認してから利用すべきです。
また、トラブルの状況次第では特殊な方法で解決が図れる場合もありますが、現実的な金額や期間とはならない点には留意しておく必要があります。