Written by WizLANSCOPE編集部
BitLockerの設定有無や回復キーの管理に工数がかかっている担当者必見!効率よく管理する方法をご紹介
目 次
BitLocker(ビットロッカー)とは、Windows 10・11のOSに標準搭載されているドライブ暗号化機能です。
ハードディスクやUSBメモリなどのストレージに保存されるデータをBitLockerで暗号化することで、万が一デバイスを紛失・盗難した場合でも、情報漏洩を防止できます。
近年、テレワークをはじめとした新しい働き方の普及により、業務用PCや記憶媒体を社外へ持ち出される機会が増えています。その結果、「デバイス紛失時の情報漏洩リスク」への対応は、企業にとって喫緊の課題となっています。
こうした背景の中BitLockerは、Windows10・11を利用する企業にとっては、追加コスト不要で導入でき、さらに設定も比較的シンプル、セキュリティ効果の高いソリューションとして、多くの企業で活用されています。
本記事では「BitLocker」をテーマに、有効化・無効化する手順や注意点などを解説します。
▼本記事でわかること
- BitLockerの概要
- BitLockerを有効化/無効化する手順
- BitLocker利用時の注意点
「BitLockerで何ができるのか知りたい」「有効化・無効化の手順を知りたい」という方はぜひご一読ください。
BitLockerとは
BitLocker(ビットロッカー)とは、Microsoftが開発したディスク暗号化機能で、Windows Vista以降のPro、Enterpriseエディションなどに標準搭載されています。
BitLockerを有効化して、PC内のデータを暗号化しておくことで、万が一デバイスを紛失・盗難した場合でも、第三者による不正アクセスを防げ、情報漏洩のリスクを低減できます。
新型コロナウイルス感染症の流行をきっかけに、テレワークなどの新しい働き方が急速に普及し、業務用PCやUSBが社外に持ち出される機会が増えています。
こうした背景から、デバイス紛失時のセキュリティ対策が、これまで以上に重要視されており、デバイスに保存された情報を守る仕組みとして、 BitLockerの必要性が高まっています。
また、BitLockerは、オフライン攻撃(OSを起動せず、ストレージへ直接アクセスする攻撃)への対策として非常に有効です。
マルウェア対策ソフトやEDRではカバーしきれないレイヤーの保護ができる点も、 BitLockerの特徴と言えるでしょう。
BitLockerでできること
BitLockerは、主に以下のような機能を備えています。
| フルディスク暗号化 (ドライブ全体の保護) |
・OSがインストールされたシステムドライブを含む、ディスク全体を暗号化する ・PCの電源がオフの状態や、ドライブが他のデバイスに接続された場合でも、第三者による不正なアクセスを防止する |
|---|---|
| 外部ストレージの暗号化(BitLocker To Go) | ・USBメモリや外付けHDDなどの、リムーバブルメディアを暗号化する |
| TPMと連携したセキュアな起動 | ・PCに搭載されたTPM(Trusted Platform Module)チップと連携して、起動時の整合性チェックを行う ・改ざんや不正な挙動を検知し、自動的にロックする |
BitLockerが利用できるWindowsエディション
BitLockerが利用できる、Microsoftがサポートしているエディションは以下の通りです。
- Windows Pro
- Windows Enterprise
- Windows Pro Education/SE
- Windows Education
また、BitLockerが利用可能な主なライセンスは以下のとおりです。
- Windows Pro/Pro Education/SE
- Windows Enterprise E3
- Windows Enterprise E5
- Windows Education A3
- Windows Education A5
なお、2025年現在、個人向けのWindows Homeエディションでは、BitLockerを手動で有効化・管理する機能は提供されていません。
BitLockerを利用したい場合は、Pro以上のエディションへのアップグレードが必要となります。
エディションやライセンスの最新情報、アップグレード方法などについては、Microsoftの公式ページをご確認ください。
参考:BitLocker の概要 – Windows Security | Microsoft Learn
BitLockerを有効化(設定)する手順
Windows 11 Pro環境でBitLockerを有効化・設定する手順を解説します。
手順はOSのバージョンにより異なる場合があります。
- スタートメニューから「設定」をクリックし、設定画面を開く
- 設定画面のメニューから「プライバシーとセキュリティ」をクリックする
- 「デバイスの暗号化」をクリックする
- 「BitLockerドライブ暗号化」をクリックする
- 「オペレーティングシステムドライブ」の項目にある「BitLockerを有効にする」をクリックする
- 「回復キーのバックアップ方法を指定してください」と表示されるため、任意の方法を選択する
- バックアップ方法を選択し、「次へ」をクリックする
- 「ドライブを暗号化する範囲の選択」画面から、暗号化を行なう範囲を選択し、「次へ」をクリックする
- 「使用する暗号化モードを選ぶ」で任意の暗号化モードを選択して「次へ」をクリックする
- 「このドライブを暗号化する準備ができましたか?」と表示されるので、「BitLockerシステムチェックを実行する」にチェックを入れ、「続行」をクリックする
- コンピューターの再起動を求められるため、再起動を行う
暗号化が完了すると、ドライブアイコンに鍵マークが表示されます。
これで、BitLockerによる暗号化は有効化されています。
BitLockerを無効化する方法
次に、Windows 11 Pro環境でBitLockerを無効化する手順を解説します。
- 前述の「BitLockerの有効化」の1~4を実行する
- 画面右側の「BitLockerを無効にする」をクリックする
- 「BitLockerを無効にする」ボタンをクリックする
- 「BitLockerが暗号化の解除中です」と表示され、しばらくすると、BitLockerが無効化される
無効化の処理が行われている間も、PCの操作自体は可能です。
BitLockerを利用する際の注意点
BitLockerは強力なセキュリティ対策である一方で、運用面で注意すべきポイントも存在します。
- 設定変更には管理者の権限が必要
- 回復キーを紛失するとデータにアクセスできなくなる
導入後にトラブルにならないように、確認していきましょう。
設定変更には管理者の権限が必要
BitLockerの有効化・無効化の設定変更を行うには、管理者権限が必要です。
そのため、PCの利用者である従業員に管理者権限を付与している場合、意図せずBitLockerを無効化されてしまう恐れがあります。
この仕組みは、セキュリティ対策としてBitLockerを必須としている企業にとっては、大きなリスクとなります。
また、 BitLockerを一度無効化し、再び有効化すると、新しい回復キー(48桁の数字)が再発行されます。
回復キーを企業側で一元管理している場合、新たな回復キーが正しく登録・共有されていなければ、トラブル発生時にデータにアクセスできなくなる可能性があります。
そのため企業側で管理を行う場合は、原則として従業員に管理者権限を付与しない、回復キーの変更を検知できる仕組みを導入するなどの運用が求められます。
回復キーを紛失するとデータにアクセスできない
BitLockerが有効化されている状態で、以下のような事象が発生すると、セキュリティ保護のために回復キーの入力が求められる場合があります。
- システム異常やWindowsの起動トラブル
- TPMやストレージなどのハードウェア構成の変更
- Windowsログインパスワードの連続ミス
回復キーとは、BitLockerを有効化すると発行される48桁のランダムな数字です。
この回復キーを紛失してしまうと、データの復号ができず、ストレージ内の情報へアクセスできなくなってしまいます。
BitLockerには、「回復キーを後から再発行する」「管理者が強制的に解除する」といった手段が存在しません。
そのため、企業側は、回復キーの確実なバックアップを行ったり、個人任せにしない一元管理を行ったりといった運用が不可欠です。
BitLockerを効率的に活用する方法
BitLockerを効率的かつ安全に活用するには、「Active Directory」や「IT資産管理ツール」を用いた暗号化状況・回復キーの一元管理が欠かせません。
前述の通り、従業員個々のデバイスで、手動や個別管理を行なってしまうと、設定漏れや回復キーの紛失といったリスクが高まります。
ここでは、「Active Directory」や「IT資産管理ツール」が、 BitLockerの運用にどのように役立つかを解説します。
Active Directoryを活用したBitLockerの設定
Active Directoryとは、Windows Serverに備わっているディレクトリサービスで、ユーザーやデバイス、リソースを集中管理し、設定の変更や配布などを一元的に行うことができます。
このActive Directoryを活用することで、BitLockerの有効化を強制するポリシー設定や回復キーを自動保存する管理などが可能になります。
特に、全社展開や端末台数の多い環境では、 Active Directoryとの連携により、 BitLockerの設定漏れを防ぎ、効率的な運用が実現できます。
IT資産管理ツールを活用したBitLockerの管理
BitLockerの回復キー管理や有効化状況のモニタリングには、IT資産管理ツールの導入が効果的です。
IT資産管理ツールを活用することで、デバイスごとのBitLockerの設定状況を確認したり、回復キーの一元管理ができたりします。
これにより、IT部門は、前者の暗号化状況をリアルタイムに把握でき、デバイス紛失や盗難といったセキュリティインシデント発生時にも、迅速かつ的確な対応が行えるようになります。
BitLockerの効率的な管理を支援する「LANSCOPE エンドポイントマネージャークラウド版」
前述の通り、BitLockerの効率的に運用・管理には、IT資産管理ツールの導入が効果的です。
本記事では、クラウド型のIT資産管理・MDMツールである「LANSCOPE エンドポイントマネージャー クラウド版」について紹介します。
「LANSCOPE エンドポイントマネージャー クラウド版」では、以下のような機能を提供しています。
| BitLockerの回復キー管理 | ・デバイスごとに回復キーを取得・保存し、安全に管理できる |
|---|---|
| 暗号化状況の一元管理 | ・BitLockerが有効化されているデバイスを、管理画面上で一覧表示できる |
| 回復キーの遠隔削除 | ・ デバイス紛失時に回復キーをリモートで削除し、デバイスの起動を無効化できる |
「LANSCOPE エンドポイントマネージャー クラウド版」を活用することで、BitLockerの設定漏れや回復キーの管理漏れを防げ、企業・組織のセキュリティ体制の強化を目指せます。
詳細については、以下の製品ページをご参照ください
まとめ
本記事では「BitLocker」をテーマに、有効化・無効化の手順や注意点などを解説しました。
本記事のまとめ
- BitLockerとは、Microsoftが開発したディスク暗号化機能
- BitLockerを利用する際は、「設定変更には管理者の権限が必要」「回復キーを紛失するとデータにアクセスできない」といった点に留意し、運用方法を工夫することが重要
- BitLockerの効率的な管理・運用するには、「Active Directory」や「IT資産管理ツール」を活用し、暗号化状況を正しく把握したり、や回復キーを一元管理したりすることが重要
OSのログインパスワードを強固にすることは、セキュリティ対策として基本的なポイントです。
しかし、それだけではストレージに直接アクセスされた場合に、保存されているデータを奪取される危険があります。
「BitLockerによるデータの暗号化」は、こうしたオフライン環境での不正アクセスに対して特に有効なセキュリティ対策です。
追加コストをかけずに導入できるメリットもあるため、Windows PCを利用している環境では、積極的な導入が推奨されます。
なお、本記事で紹介した「LANSCOPE エンドポイントマネージャー クラウド版」では、BitLockerの回復キーを取得し、PCごとのBitLocker有効化状況を管理画面から一覧で確認するといった運用が可能です。
BitLockerを活用している環境を、より効率的かつ安全に管理したいとお考えの方は、ぜひ「LANSCOPE エンドポイントマネージャー クラウド版」の導入をご検討ください。
WindowsPCの紛失対策としてBitLockerを利用したはずが、新たに管理課題に直面している方にお勧めしたい管理方法!
おすすめ記事
