BitLockerでWindows 10のドライブを暗号化するには?

セキュリティ管理

165/55R15 BRIDGESTONE ブリヂストン NEXTRY ネクストリー Leyseen タワーバー F-XV レイシーン FX-V サマータイヤホイール4本セット DISK

本記事をご覧いただいている皆様の職場では、社外へのPCの持ち出しを許可されておりますでしょうか?PCの持ち出しを認めていない職場や十分なセキュリティ対策を施さないまま、従業員にPCの管理を任せてしまっている職場もあるのではないでしょうか?

政府が主導する働き方改革により、在宅勤務やテレワークといった社外での業務活動がより一層活発化すると予想されております。そのため、今までよりも、PCの情報漏えい対策が必要不可欠になってくると考えております。

今回の記事では、Windows 10に標準搭載されているBitLockerを使用して、ドライブを暗号化し、盗難・紛失による情報漏えいを防ぐ方法についてご紹介します。

本記事はWindows 10(1709)、Windows 2012で環境を構築し、記事を作成しています。今後内容が変更となる場合がありますので、予めご了承ください。

BitLockerとは?

BitLockerとは、Windowsに搭載されているドライブ暗号化機能の名称です。Windows 10のProエディションより上位エディションを選択すれば、標準搭載されています。ドライブを暗号化することによって、他のPCにディスクを接続されてもデータを読み取ることができなくなり、盗難・紛失時の情報漏えい対策として利用できます。

BitLockerを使用する場合の注意点

BitLockerは、企業にとって追加コストなしでドライブを暗号化できるため、非常に便利ですが、運用面・管理面では機能不足という状況です。そのため、以下に記載するような注意点を認識したのちに、自社内でBitLockerを採用しても問題ないかの検討が必要となりますのでご注意ください。

  1. 管理者権限アカウントで暗号化を無効化できてしまう
    Windowsの管理者権限アカウントでログインすると、いつでもドライブ暗号化を有効/無効にすることができます。そのため、エンドユーザーに管理者権限アカウントを付与しない運用が必要となります。

  2. ロックされずにログイン試行ができてしまう
    BitLockerには、TPM(Trusted Platform Module)というセキュリティチップの防御機構を使用していますが、回復パスワードの入力時、

    165/55R15 BRIDGESTONE ブリヂストン NEXTRY ネクストリー Leyseen F-XV レイシーン FX-V サマータイヤホイール4本セットアウトレット割引


    CRS ESSEX ローダウンブロック 25mm(1inch) ハイエース 200系 2004年8月~ 1~4型 北海道・沖縄・離島は要確認


    165/55R15 BRIDGESTONE ブリヂストン NEXTRY ネクストリー Leyseen F-XV レイシーン FX-V サマータイヤホイール4本セット clazzio シートカバー クラッツィオネオタイプ トヨタ SAI サイ 型式 AZK10 年式 H21/10- 定員 5人 ≪ 1列目電動シート車用 サイドエアバック付可 ≫※後方プリクラッシュセーフティ搭載車/快適温熱シート装備車不可

    ↓↓↓RSR RS-R ダウンサス マツダ カペラカーゴ GVFW 1/5~9/12 FF Ti2000 DOWN M611TWR リアのみ RS-R ローダウン サス;【USA在庫あり】 メンフィスシェード Memphis Shades ウインドシールド ファット 17インチ高 08年-17年 FXDF スモーク ME0434 HD店;【MI752】デイズ [H25/6-H27/10][B21W] ワイルドステッチ グレーxホワイト Bellezza ベレッツァ シートカバー, WinmaX STREET ATS 三菱 トレディア リアシュー用 【品番S6636】 型式A213A SE,スーパーサルーン 年式82.02-84.07, [KNIGHT SPORTS] ナイトスポーツ シングルクラッチキット センターフォースデュアルフリクション DFX RX-7 FD3S 5MT 沖縄・離島は要確認, MANARAY SPORT/EuroStream BV25 アルミホイール 1本 キャロル 25系 【13×4.0B 4-100 INSET43 ブラポリ/ダブル】, [Clazzio] クラッツィオ 平面マット ラバータイプ ステップワゴン リア用オプション RP1 / RP2 / RP3 / RP4 H27/5~ 8人乗 [8人乗り ※2列目6:4分割ペンチシート] ※代引不可 ※沖縄・北海道・離島は送料3564円(税込);【割引クーポン配布中】Clazzio/クラッツィオ Real Leather(リアルレザー) アルファード/ANH10W H14/5~H20/5 8人乗 カラーライトグレー【21ETC0261L】 CUSCO (クスコ) type MZ LSD リア 1way(1&2way) 品番:LSD 183 A スバル レガシィ ツーリングワゴン 型式:BP5 年式:2003.5~2009.5↓↓↓UVカット IRカット フィルム オリジナル 製 クリア リアドア フォルクスワーゲン アップ 5ドア H24/10~仕様変更 AACHY G541-40E 車種別 カット済み フィルム貼り 張替, (クーポン配布中) ACパフォーマンスライン アルミ メッキ (フロント) スモーク ELIMINATOR400 88-90 32173100S 【送料無料】(北海道・沖縄除く), brembo ブレンボ ブレーキディスク リア プレーン ジャガー / ダイムラー XJ8 / SOVEREIGN (X350/358) J72RA J72RB J72SA J72SB J80RA J80RB J80SA J80SB 03/05~10/05 09.B312.11 ブレーキディスクローター ブレーキローター ディスクローター 交換 車, エンドレス SSY フロント左右セット ブレーキパッド マークII/チェイサー/クレスタ JZX100 EP292 ENDLESS ブレーキパット【店頭受取対応商品】, 【S9900】 Artina アルティナ【MK21S パレット】アームレストボックス無し車用(H20.01~H21.09)[G/X/XS/T/TSグレード]ロイヤルカスタムシートカバー(1台分) ダイヤキルト


    ↓↓↓↓↓↓
    ↓↓↓↓↓↓

    テイン エンデュラプロ トヨタ ハイエース バン KDH200V/KDH205V/TRH200V/TRH216K用 リア (VSQ01-A1MS2)【純正形状】TEIN EnduraPro ショックアブソーバー 減衰力固定式, TOYO トーヨー GARIT ガリット G5 2018年製 スタッドレス スタッドレスタイヤ 175/70R14 WEDS ジョーカーシェイク ホイールセット 4本 14インチ 14 X 5.5 +38 4穴 100, zoom/ズーム 230kgf/mm^2 ダウンフォースHG 1台分 マツダ/MAZDA カペラ カーゴ・ワゴン GWER(F) FS-ZE H9/11~ 4WD 2.0L, YSS RACING リアショック Z366/350mm BLK/YEL CB750 (RC42) 《ワイエスエスレーシング 116-31139-12》, 【代引不可】K&N:K&N リプレイスメント エアフィルター SU-2599

    【送料無料】 205/40R17 17インチ TOPY トピー ドルフレン デルディオ 6.5J 6.50-17 YOKOHAMA ヨコハマ DNA エコス サマータイヤ ホイール4本セット;ピレリ PIRELLI P ZERO CORSA ピーゼロコルサ 20インチ サマー タイヤ 1本 305/30ZR20 103Y XL L:ランボルギーニ承認タイヤ 2572600 CRIMSON(クリムソン) CLUB LINEA L747 (クラブリネア L747) 20インチ 7.5J PCD:130 穴数:5 inset:2 DISK TYPE:HIGH カラー:SMB [ホイール1本単位]/H AP ラジエーター AT車用 参考純正品番:16400-5B530 トヨタ ダイナ・トヨエース LY131 3L A/T 1996年10月~1999年05月;17インチ サマータイヤ セット【適応車種:アコード(CL系)】WEDS レオニス グレイラ ベータ ブラック/ミラーカット 7.0Jx17ディレッツァ DZ102 215/45R17

    CUSCO (クスコ) ストラットバー Type ALC OS ホンダ アコード CL3 02.5 - タワーバー [342 535 AN];ディクセル プレーンディスクローターPD ニッサン セドリック/グロリア PY32 リア用

    、もしくはプリブート認証を設定した場合に、ログイン試行回数によるロック機能はありません。そのため、TPMの保護はかかりますが、時間があれば、不正なログイン試行が可能となります。

  3. 盗難・紛失時に本当に暗号化されていたか確認できない
    BitLockerは、通常ポリシーベースで暗号化を有効にするため、盗難・紛失が発覚した後に当該PCが暗号化されていたかどうかを確認する機能はありません。そのため ヨシムラ 769-294-2601 ヨシムラKEIHIN FCR-MJN39キャブレター デュアルスタックファンネル仕様 ブラックボディ GPZ900R、BitLockerで暗号化している場合は「暗号化されていたので情報漏えいの心配はない」と言い切れないので、定期的に暗号化ステータスを確認する等の工夫が必要です。

  4. 48桁の回復キーの運用が煩雑である
    BitLockerは、暗号化する際にパスワードを忘れた場合のために回復キーという48桁の数字が自動的に作成されます。この回復キーを1台ずつ管理する必要があるため、PCの管理台数が多くなってくると回復キーの管理が難しくなってきます。また、48桁を口頭で伝えるのは難しいですし、一度エンドユーザーに伝えた回復キーは安全ではないため、再作成するといった煩雑な運用も必要となってきます。

    また、土日・祝日・夜間にパスワードを忘れた場合に、48桁の回復キーを紙に印刷して持ち出しておくか、社外からActive Directoryサーバーにログインしなければならないというセキュリティ上の懸念点もあります。

  5. 1デバイスにつき、1パスワードしか管理できない
    BitLockerは1デバイスにつき、1パスワードしか管理できないため、共有PCを暗号化する場合、共有PCを使用するメンバー全員でパスワードを共有する必要がでてきます。一人が勝手にパスワードを変更した場合、他のメンバーはログインできなくなってしまいます。

  6. ハードウェア構成が変わると回復キーの入力が求められる
    USBメモリーを挿したり、着脱可能なキーボードをPC本体から切り離したりした場合、BitLockerがハードウェア構成の変更を検知し、エンドユーザーに回復キーの入力を要求することがあります。

  7. 技術的な問い合わせがフォーラム上でしかできない
    万が一、OSが起動しないといったトラブルに遭遇した場合、マイクロソフト社から十分なサポートが得られないため、自社解決する必要があります。さらに、回復キーまで損失してしまうとデータを復旧したい場合でもOSリカバリーしか手がなくなってしまいます。

暗号化を有効にする(小規模向け)

本手順では、手軽にBitLockerでドライブを暗号化する場合の手順について記載します。本手順は、暗号化方式がAES 128ビットで、回復キーをファイルで管理する手順となりますので、数台~数十台ぐらいの小規模向けとしています。もう少し台数が多い場合は、後述する中規模向けの手順を実施することを推奨します。

  1. Windows 10を起動し、管理者権限アカウントでログインする
    ※Microsoftアカウントは使っていない想定です。
  2. エクスプローラーを起動し、ドライブを表示させる
  3. 暗号化したいドライブを右クリックし、表示されたメニューより「BitLockerを有効にする」メニューをクリックする
  4. 回復キーのバックアップ方法を指定する画面が表示されるので、「ファイルに保存する」を選択し、<次へ>ボタンをクリックする(別の選択肢でもOK)

  5. PCにUSBメモリーや外付けハードディスクを接続し、保存場所を選択して<保存>ボタンをクリックする
  6. ドライブを暗号化する範囲の選択画面にて、該当する選択肢をクリックし、<次へ>ボタンをクリックする
    ※使用中のPCの場合は、必ず「ドライブ全体を暗号化する」を選択してください。
  7. 使用する暗号化モードを選ぶ画面にて、「新しい暗号化モード」を選択し、<次へ>ボタンをクリックする
    ※以前のバージョンのWindowsでリムーバブルドライブを使用する場合は、互換モードを選択してください。
  8. <暗号化の開始>ボタンをクリックし、暗号化を開始する
  9. 暗号化が完了したことを確認します。
     
    なお、コマンドプロンプトより「manage-bde -status」コマンドでも暗号化ステータスを確認することもできます。
    ※デフォルトでは、AES 128ビットで暗号化されます。

暗号化を有効にする(中規模向け)

本手順では、数十台以上のPCに対して、BitLockerでドライブを暗号化する場合の手順について記載します。本手順は、暗号化方式がAES 256ビットで、回復キーをActive Directoryに保存する手順となりますので、数十台以上の中規模向けとしています。Active Directoryは JB POWER(BITO R&D) JBパワー(ビトーR&D) ホイール本体 「MAGTAN (マグ鍛)」 マグネシウム鍛造ホイール [マグタン] JB3 F:3.50-17 R:6.00-17 カラー:シルバー GSX-R1100、Windows 2012 Serverを使用しております。OSが異なる場合、画面イメージが異なる場合がありますので予めご了承ください。

Active Directoryサーバー上に「BitLockerドライブ暗号化」の機能をインストールし、「Active Directory ユーザーとコンピューター」の管理コンソールから各PCの回復キーを閲覧できるようにします。また、グループポリシーを変更し、クライアントPCの暗号化方式・暗号強度等の設定を統一します。

BRIDGESTONE レイシーン サマータイヤホイール4本セット NEXTRY 165/55R15 F-XV サマータイヤホイール4本セット ネクストリー Leyseen ブリヂストン Leyseen FX-V

  1. Active Directoryサーバーに管理者権限アカウントでログインする
  2. サーバーマネージャーを起動し、「役割と機能の追加」をクリックする
  3. 機能の選択画面にて、「BitLockerドライブ暗号化」を選択し、<次へ>ボタンをクリックし、さらに<インストール>ボタンをクリックする
  4. インストール完了後、OS再起動を実施する
  5. スタートボタンより、「Active Directory ユーザーとコンピューター」をクリックし、任意のコンピューターをダブルクリックする
  6. プロパティ画面にて、「BitLocker回復」タブが表示されていることを確認する

グループポリシーの変更

  1. Active Directoryサーバーに管理者権限アカウントでログインする
  2. スタートボタンより [Projectμ] プロジェクトμ ブレーキパッド NS-C フロント用 アトレーワゴン S320G S330G 05/5~07/9 660cc 本州は送料無料 北海道は送料500円(税別) 沖縄・離島は送料1000円(税別)、「グループポリシーの管理」をクリックし、新しいグループポリシーオブジェクトを作成する
    ※既存のグループポリシーオブジェクトを編集しても良いです。
  3. 作成したグループポリシーオブジェクトを右クリックし、「編集」メニューをクリックする
  4. [コンピューターの構成]-[ポリシー]-[管理テンプレート]-[Windowsコンポーネント]-[BitLockerドライブ暗号化]を開く
  5. 「ドライブの暗号化方法と暗号強度を選択する」の項目をダブルクリックして開き、「有効」ラジオボタンを選択し、プルダウンメニューより「AES 256ビット」を選択し、ボタンをクリックする
  6. 次に、[コンピューターの構成]-[ポリシー]-[管理テンプレート]-[Windowsコンポーネント]-[BitLockerドライブ暗号化]-[オペレーティングシステムのドライブ]を開き、「BitLockerで保護されているオペレーティングシステムドライブの回復方法を選択する」の項目をダブルクリックして開く
  7. 「有効」ラジオボタンを選択し、「BitLockerセットアップウィザードの回復オプションを省略する」および「AD DSにオペレーティングシステムドライブの回復情報が格納されるまでBitLockerを有効にしない」にチェックをいれて、ボタンをクリックする

  8. BitLockerのOS起動前の認証(プリブート認証)を追加したい場合は、[コンピューターの構成]-[ポリシー]-[管理テンプレート]-[Windowsコンポーネント]-[BitLockerドライブ暗号化]-[オペレーティングシステムのドライブ]を開き、「スタートアップ時に追加の認証を要求する」の項目を有効にする

  9. 編集したグループポリシーオブジェクトをドメインにリンクさせる


ドライブの有効化

  1. Windows 10を起動し 【メーカー在庫あり】 (株)タンガロイ タンガロイ 旋削用溝入れ COAT 10個入り JTGR3100F HD、管理者権限アカウントでログインする
  2. コマンドプロンプトを起動し、「gpupdate /force」を実行し、グループポリシーを更新する
  3. エクスプローラーを起動し、ドライブを表示させる
  4. 暗号化したいドライブを右クリックし、表示されたメニューより「BitLockerを有効にする」メニューをクリックする
  5. ドライブを暗号化する範囲の選択画面にて、該当する選択肢をクリックし、<次へ>ボタンをクリックする
    ※使用中のPCの場合は、必ず「ドライブ全体を暗号化する」を選択してください。
  6. <暗号化の開始>ボタンをクリックし、暗号化を開始する
  7. 暗号化が完了したことを確認します。

    なお、コマンドプロンプトより「manage-bde -status」コマンドでも暗号化ステータスを確認することもできます。
    ※グループポリシーで指定したAES 256ビットで暗号化されます。
  8. Active Directoryサーバーに管理者権限アカウントでログインする
  9. スタートボタンより、「Active Directory ユーザーとコンピューター」をクリックし、暗号化を有効にしたコンピューターをダブルクリックする
  10. プロパティ画面にて、「BitLocker回復」タブ内に回復キーが表示されていることを確認する
    ※暗号化・復号化を繰り返すと、回復パスワードが複数表示されます。

暗号化を無効にする

  1. BitLockerで暗号化済みのWindows 10を起動し、管理者権限アカウントでログインする
    ※Microsoftアカウントは使っていない想定です。
  2. エクスプローラーを起動し、ドライブを表示させる
  3. 暗号化を解除したいドライブを選択して右クリックし、[BitLockerの管理]メニューをクリックする
  4. BitLockerドライブ暗号化画面が表示されるので、「BitLockerを無効にする」メニューをクリックする
  5. 確認画面が表示されるので、ボタンをクリックする
  6. 暗号化解除が完了した旨のダイアログが表示されることを確認し、<閉じる>ボタンをクリックする

まとめ

Windows 10に標準搭載されているBitLockerを使用して 、ドライブを暗号化する手順についてご紹介しましたが、いかがでしたでしょうか?

今回の記事では、暗号化する手順を中心にご紹介しましたが、パスワードを忘れた場合の対処手順、回復キーの再作成手順、OSが起動不可時のデータ復旧手順といったトラブルシューティングを含めて、いくつものシナリオを想定して、運用を設計しなければなりません。また、冒頭に記載した注意点も考慮する必要があり、運用面では面倒な部分が多いのが実態です。

その解決手段として、弊社では、「SecureDocマネージドサービス」というディスク暗号化サービスを提供しております。BitLockerでのドライブ暗号化管理における注意点・課題の多くを解決できる他、管理サーバーをクラウドサービスとして提供しているため、お客様の運用管理の手間も省くことができ、多くのお客様において弊社サービスをご利用いただいております。ご興味がありましたら 299MOSH/MOSH CAT アルミホイール 1本 ワゴンR/ワゴンRスティングレー 35/55系 【14×4.5J 4-100 INSET45 KuKu】、ぜひお問い合わせください。

関連サービス:SecureDocマネージドサービス