簡単にディスク暗号化を実現する「Bitlocker」の設定方法とは?

ITコンサル

セキュリティ対策の基礎基本、本日は「ディスク暗号化」の解説から、その設定方法まで具体的に解説していきます。Windows端末が前提になるため、Macの方は対象外です。間違ってMacユーザーの方がたどり着いてしまった場合は、Google先生に「Mac ディスク暗号化」で聞いてみてください(笑)

それでは本編をどうぞ。

そもそも「ディスク暗号化」とは?その役割は紛失時に役割を持つ

ディスク暗号化とは、簡単にいってしまえばハードディスクに入っているファイルではなく、ハードディスク自体を暗号化することです。

ディスク暗号化とは?

何故こんな設定が必要かと言えばPCが盗難されたとしても、ID/PWを設定しておけば容易にログインすることはできませんが、実はハードディスクを直接抜いて別の端末にさしてしまえば中身を容易に確認することが出来るのです。

だからこそ、その対策として登場のするのが「ディスク暗号化」なのです。

ディスク暗号化のイメージ

では、このディスク暗号化の対策はどのようにしたらいいのでしょうか?

その答えが今回ご紹介する「Bitlocker」です。Windows Pro(Homeは利用不可)であれば無料で使うことが出来ます。ただ、残念ながらWindows Homeでは使用することが出来ないため注意しましょう。

次からはBitlockerの設定方法について詳しくみていきましょう。

Bitlockerの設定は誰でも出来る!コマンドからでも画面からでも設定可能

Bitlockerの設定は2つあります。

・コマンドプロンプトから実行:全ての機能が利用可能、ただ慣れが必要
・Windowsの画面上から実行:簡単に設定することは出来るがオプション機能は利用不可

少し慣れが必要ですが、コマンドプロンプトの操作に慣れておくと他にも生かすことが出来るため、まずはコマンドプロンプトからの実行が出来るようになりましょう。

Bitlockerが設定されているか確認する

まず、Bitlockerが設定されているか確認します。コマンドプロンプトを起動し、以下のコマンドを実行します。

コマンド:manage-bde -status

BitLocker ドライブ暗号化: 構成ツール Version 10.0.18362
Copyright (C) 2013 Microsoft Corporation. All rights reserved. BitLocker ドライブ暗号化で保護可能な
 ディスク ボリューム:
 ボリューム C: []
 [OS ボリューム] サイズ: 297.99 GB
 BitLocker のバージョン: None
変換状態: 完全に暗号化が解除されました
 暗号化された割合: 0%
 暗号化の方法: なし
 保護状態: 保護はオフです
 ロック状態: ロック解除
 識別子フィールド: なし
 キーの保護機能: 見つかりません

ここで「完全に暗号化が解除されました」となっている場合、Bitlockerは設定されていません。
設定が完了している場合は「完全に暗号化されています」と表示されています。

企業の方であれば、リースしたPCなどを使用することもあるかと思いますが、その場合実はBitlockerの設定がされている場合もあります。その場合は以降の手順が不要になるため、しっかりと確認するようにしましょう。

BitLockerを有効化する

それでは、次にBitLockerをコマンドプロンプトから有効化していきます。

コマンド:manage-bde -on c: -RecoveryPassword -skiphardwaretest

BitLocker ドライブ暗号化: 構成ツール Version 10.0.17763
Copyright (C) 2013 Microsoft Corporation. All rights reserved.ボリューム C: [Windows]
[OS ボリューム]
追加されたキーの保護機能:数字パスワード:
ID: {5D5F562A-0000-XXXX-A271-B3AB6E6F33A1}
パスワード:
187627-XXXXXX-611765-248402-000000-421025-356741-669834TPM:
ID: {EFBC05A2-DCB0-0000-XXXX-D48A90BEE712}必要な操作:1。この数字の回復パスワードを、使用しているコンピューター
以外のセキュリティ保護された場所に保存してください:187627-XXXXXX-XXXXXX-XXXXXX-268840-421025-356741-669834データの消失を防ぐために、このパスワードを直ちに保存してください。
このパスワードで、暗号化ボリュームのロックを解除できます。
暗号化は現在実行中です。

ここで、以下オプションを2つ付けています。

※2つオプションをつけることで、コマンド1つですぐ暗号化を始めることが出来るためです。
RecoveryPassword:複号化方法として回復キーを発行
skiphardwaretest:暗号化前のハードウェアテストを省略

便利なオプションなので、是非そのまま使うようにしてください。
たったこれだけで「ディスク暗号化」が出来ますが、一応他にも便利なオプションがあるため掲載しておきます。

そして、絶対にパスワードをメモしてください!何なら紙で印刷しておくことが望ましいです。
もちろん取り扱い注意の紙になるため、最新の注意を払ってください。

その他のオプション利用について

例えば、情報システム担当であれば「複数台同時に実行する」などしたいケースもあると思います。その際は以下の様にオプションを表示してみてください。

コマンド:manage-bde -?

BitLocker ドライブ暗号化: 構成ツール Version 10.0.14393
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

manage-bde[.exe] -parameter [引数]

説明:
ディスク ボリュームに対する BitLocker ドライブ暗号化を構成します。

パラメーター一覧:
-status BitLocker 対応ボリュームに関する情報を指定します。
-on ボリュームを暗号化し、BitLocker 保護をオンにします。
-off ボリュームの暗号化を解除し、BitLocker 保護をオフにします。
-pause 暗号化、暗号化の解除、または空き領域のワイプを一時停止します。
-resume 暗号化、暗号化の解除、または空き領域のワイプを再開します。
…(以下省略)…

それでは、この中から良く使いそうなものをまとめておきます。

①別のPCでmanage-bdeコマンドを実行する

-cnオプションを付加するとネットワーク上の別PCを操作できます。

manage-bde -on c: –RecoveryPasswordskiphardwaretestcn “PCor IPアドレス

②暗号化済みボリュームの回復キーを表示する

暗号化時に表示された回復キーを控え忘れてしまった場合でもご安心を!

manage-bde -protectors -get C:

を実行すると回復キーを再表示させることができます。

③BitLockerで暗号化されたディスクをコマンドでロック解除する

たとえば暗号化されたディスクを別PCに接続したりUSBメモリからWidowsPEをブートさせた場合には そのままではロックされているため中のデータを読み出すことはできません。
そのような場合は上記有効化コマンド実行時に表示された回復キーを用いてロック解除を行う必要があります。

manage-bde -unlock “ボリューム名” recoverypassword回復キー”

まとめ

以上で、Bitlockerの設定の解説を終わります。

もちろん、セキュリティ対策としての優先度であれば「ディスク暗号化」よりも「ログインID/PWの設定」「ウィルス対策ソフトウェア」などやらなければいけないことは多々あります。

ただ、だからと言ってディスク暗号化をやらなくてもいい訳ではありません。むしろ見落としがちなところとして確実に対応するようにしましょう!

タイトルとURLをコピーしました