Written by MashiNari
BitLockerの設定有無や回復キーの管理に工数がかかっている担当者必見!効率よく管理する方法をご紹介
目 次
BitLocker(ビットロッカー)とは、Microsoftが開発した、WindowsOSに標準搭載される「ドライブ暗号化機能」です。ハードディスクやUSBメモリなどのストレージに保存されるデータを、BitLockerで暗号化することで、万が一の紛失・盗難時にも情報漏洩を防止できます。
近年、テレワークやモバイルワークの普及に伴い、社外に持ち出される業務用端末が増加するなか、「デバイス紛失時の情報漏洩リスク」への対策は組織の必須課題です。BitLockerは追加コストなしで使えるうえ、設定も比較的シンプルで導入しやすく、セキュリティ効果の高いツールとして、多くの企業で活用されています。ただし、利用時は「回復キーの管理」や「ユーザー権限の設定」などに注意が必要です。
この記事では、BitLockerの基本機能から、使用可能なWindowsの種類、設定方法などをわかりやすく解説します。情報漏洩対策を強化したい企業担当者様は、ぜひご覧ください。
▼この記事を要約すると
- BitLockerとは、ハードディスクやUSBメモリなどのストレージデバイスに保存されている情報を暗号化する機能
- ハードディスク全体を暗号化する「フルディスク暗号化」と個々のファイルやフォルダを暗号化する「ファイルベースの暗号化」の2種類の機能がある
- BitLockerを利用する際は、「回復キーの管理」と「ログインパスワードの管理」に注意が必要
- 業務用端末の台数が多い場合は、Active Directoryのポリシーを利用して設定したり、IT資産管理ツールで管理すると効率的にBitLockerを活用できる
BitLockerとは
BitLocker(ビットロッカー)とは、Microsoftが開発したWindows標準のディスク暗号化機能で、Windows Vista以降のPro、Enterpriseエディションなどに搭載されています。主にPC内のデータを暗号化することで、情報漏洩を防止するセキュリティ機能として利用されます。
BitLockerでできること
BitLockerは、主に以下のような機能を備えています。
1. フルディスク暗号化(ドライブ全体の保護)
OSがインストールされたシステムドライブを含む、全体のディスクを暗号化します。これにより、PCが起動していない状態や、ドライブが他のデバイスに接続された場合でも、第三者による不正なアクセスを防ぐことが可能です。
2. 外部ストレージの暗号化(BitLocker To Go)
USBメモリや外付けHDDなど、リムーバブルメディアも暗号化できます。持ち運び中のデバイスが盗難・紛失した際の、情報漏洩対策として有効です。
3. TPMと連携したセキュアな起動
BitLockerは、PCに搭載されたTPM(Trusted Platform Module)チップと連携して、起動時の整合性チェックを行うことができます。改ざんや不正な起動を検知し、自動的にロックする仕組みにより、さらなるセキュリティ強化が図られます。
BitLockerで暗号化できる対象
BitLockerは以下のストレージに対応しています。
・内蔵ハードディスク/SSD
・外付けハードディスクやUSBメモリ
内蔵ストレージの暗号化には、通常のBitLockerを、外付けストレージには「BitLocker To Go」を使用します。
なぜ今、BitLockerが必要なのか?
テレワークやモバイルワークが一般化し、社外に持ち出される端末が増加しています。これに伴い、”物理的な端末の管理が行き届かない環境”が当たり前となった今、端末自体に保存された情報を守る仕組みが求められています。
また、BitLockerは「オフライン攻撃(OSを起動せずにストレージへ直接アクセス)」への対策として非常に有効で、マルウェアやEDRではカバーしきれないレイヤーの保護を実現します。
BitLockerが利用できるWindowsエディション
BitLockerが利用できるMicrosoftがサポートしているエディションは以下です。
・Windows Pro
・Windows Enterprise
・Windows Pro Education/SE
・Windows Education
またBitLockerが利用できるライセンスは以下です。
・Windows Pro/Pro Education/SE
・Windows Enterprise E3
・Windows Enterprise E5
・Windows Education A3
・Windows Education A5
2025年現在、個人向けの「Windows Home」エディションではBitLockerは利用できません。利用したい場合、Pro以上のエディションへのアップグレードが必要です。詳細はMicrosoftの公式ページをご確認ください。
参考:BitLocker の概要 – Windows Security | Microsoft Learn
BitLockerの設定方法(Windows 11 Proを例に解説)
ここでは、Windows 11 Pro環境でのBitLockerの有効化・無効化手順をわかりやすく解説します。
※記載の手順はOSのバージョンにより異なる場合があります。
BitLockerの有効化
1.スタートメニューから「設定」をクリック
2.設定画面から、「プライバシーとセキュリティ」をクリック
3.「デバイスの暗号化」をクリック
4.「BitLockerドライブ暗号化」をクリック
5.「オペレーティングシステムドライブ」項目の、「BitLockerを有効にする」をクリック
6.「回復キーのバックアップ方法を指定してください。」と表示されるため、任意のものを選択する
7.「回復キーのバックアップ方法を指定してください。」メニューの「次へ」をクリック
8.「ドライブを暗号化する範囲の選択」画面から、暗号化を行なう範囲を選択し、「次へ」をクリック
9.「使用する暗号化モードを選ぶ」で、任意の暗号化モードを選択して「次へ」をクリック
10.「このドライブを暗号化する準備ができましたか?」と表示されるので、「BitLockerシステムチェックを実行する」にチェックを入れ、「続行」をクリック
11.コンピューターの再起動を求められるため、再起動を行なう
暗号化が完了すると、ドライブアイコンに鍵マークが表示されます。
BitLockerの無効化
1.前述の「BitLockerの有効化」の1~4を実行する
2.画面右側の「BitLockerを無効にする」をクリック
3.「BitLockerを無効にする」ボタンをクリック
4.「BitLockerが暗号化の解除中です」と表示され、しばらくすると、BitLockerが無効化される
BitLockerを利用する際の注意点
BitLockerは強力なセキュリティ対策である一方、適切な運用管理を行わなければ逆に業務上のトラブルにつながる恐れもあります。以下のポイントに注意しましょう。
回復キーの管理について
BitLockerが有効な状態で、PCのトラブルや不具合が発生した場合、「BitLockerの回復キー」の入力を求められるケースがあります。
この回復キーを紛失すると、暗号化されたデータにアクセスできなくなる恐れがあります。
従業員個人による管理では、回復キーの紛失や保存忘れなどが懸念されるため、IT管理者により、一括して管理できる体制構築が理想です。
回復キーはどこで見つけられる?
回復キーが必要となった場合、BitLocker のアクティブ化時に行われた選択に応じて、以下の場所を探してみてください。
・BitLocker 回復キーが Microsoft アカウントにバックアップされている場合:別のデバイスからWebブラウザーを開き、https://aka.ms/myrecoverykeyに移動。Microsoft アカウントでサインインし、キーIDを見つけます。
・BitLocker がアクティブ化されたとき、回復キーが印刷されている可能性があります。
・職場や学校アカウントの場合、過去に職場や学校のメールアカウントでデバイスが組織にサインインしていれば、回復キーが組織の「Azure ADアカウント」に保存されている場合があります。
回復キーを紛失してしまったら?
デバイスがorganizationによって管理されている場合、IT部門にチェックすることで回復キーを取得しましょう。
BitLocker回復キーが見つからなかった場合、「Windows 回復オプション」を使用して、デバイスをリセットする必要があります。ただし、デバイスをリセットすると、すべてのファイルが削除されます。
ログインパスワードの管理
BitLockerは、管理者権限があるユーザーによって無効化できるため、従業員に管理者権限を与えない設定が推奨されます。
また、BitLockerが常に有効になっているかを管理者側で定期確認できる体制の構築も重要です。
BitLockerを適切に活用し、安全なデータ保護環境を整えましょう。
BitLockerを効率的に活用する方法
組織でBitLockerを導入する際は、人的ミスの防止や管理工数の削減を意識した運用が求められます。
Active Directoryを活用したBitLockerの設定
Active Directoryを活用し、BitLockerの一括設定やポリシー管理が可能です。全社展開や台数の多い環境では、ADとの連携により設定漏れを防ぎ、効率的な運用が実現できます。
IT資産管理ツールを活用したBitLockerの管理
BitLockerの回復キー管理や有効化状況のモニタリングには、IT資産管理ツールの導入が効果的です。
IT部門が一括で暗号化状況を把握でき、セキュリティインシデント発生時の対応力が向上します。
組織が保有する多数のデバイスでBitLockerを利用するのであれば、管理工数の削減やミスの防止を意識することが大切です。
LANSCOPEエンドポイントマネージャーでBitlockerを効率的に管理
OSのログインパスワードを強固にすることは、セキュリティ対策として基本的なポイントです。
しかし、それだけではストレージに直接アクセスされた場合に、保存されているデータを奪取される危険があります。
BitLockerによるデータの暗号化は、そのようなケースで特に有効なセキュリティ対策です。
追加コストを投じることなく実施できるメリットもあるため、Windows PCを利用の場合は実施することをおすすめします。
また、BitLockerを活用している環境を効率的に管理するためには、IT資産管理ツールの導入が効果的です。
クラウドIT資産管理・MDM「LANSCOPE エンドポイントマネージャー クラウド版」では、BitLockerの回復キーを取得し、PC毎にBitLockerが有効化されているかを管理画面から一覧で確認することができます。
また、デバイス紛失時にはデバイスから回復キーを削除し、デバイスを起動できないようにすることで、情報漏洩のリスクを削減できます。
これにより設定漏れや回復キーの管理漏れを無くし、万が一デバイスを紛失してしまった場合の情報漏洩を予防することが期待できます。
WindowsPCの紛失対策としてBitLockerを利用したはずが、新たに管理課題に直面している方にお勧めしたい管理方法!
おすすめ記事
