このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 8%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
BitLockerの回復キーを残さない運用は間違っていますよね?
とある会社のIT業務を請け負うことになりました。
以下に述べる、BitLockerの回復キーを残さない運用は間違っていますよね?
正したいのですが、その前に皆様の見解をお聞きしたいです。
こんな危ない業務を請け負うリスクを払拭したいです。
1TBの仮想ハードディスク(VHDX+BitLockerドライブ暗号化済み)が大量にあります。
おそらく100ファイル以上、つまり述べ100TB以上あります。
VHDXファイルのバックアップは取っています。
この仮想ハードディスクの用途は、データディスクであり、データアーカイブの目的で使用しています。
会社の業務で作成された映像データなので、暗号化から復号できなかったときの影響が甚大です。
BitLockerが回復キーを求めてきたときに死ぬとの理解です。回復キーを求めてくる条件の理解が追い付いていませんが。
会社のセキュリティポリシーで、BitLockerでドライブ暗号化したときにできる回復キーは、完全削除するよう求められており、そのように運用しています。
そのため、BitLockerのロック解除の手段は、パスワードのみとなっています。
このパスワードは複雑で厳重管理されています。
前任の担当者(別会社)が、ロック解除の手段をパスワードのみにすることで、運用の手間とセキュリティの向上を図ろうとしたものと推測されます。
ロックされた質問。 この質問は、Microsoft サポート コミュニティから移行されました。 役に立つかどうかに投票することはできますが、コメントの追加、質問への返信やフォローはできません。
そもそもBitlocker の回復キーと PIN・パスワードは目的が異なるものです。
> 回復キーは、専用PCのハードディスク上にPDFファイルとして保存したのち即削除する
よく分からないのですが、PDF ファイルを削除してしまって、回復キーが誰にも分からない状態にしているのでしょうか?
回復キーを求められる場合(ハードウェアの変更など)では回復キーが無ければ暗号化は解除できません。パスワードやPINは回復キーの代わりにはなりません。
なので
> ロック解除の手段をパスワードのみにすることで、運用の手間とセキュリティの向上を図ろう
には全然なっていません。間違った認識で間違った運用をしていると思います。
前任者のやり方を全否定できるなら話は別ですが、そうでないなら私なら仕事としてやりたくはないですね。
そのため、BitLockerのロック解除の手段は、パスワードのみとなっています。
上記の意味が判りません。もしかして、正常にサインイン出来る場合のみ、解除できるという意味ですか?
そのような運用だと、下記のような場合、どうするのでしょうか? データ消失となっても困らないのですか?
Windows 11更新でBitLocker暗号化キーを求められる不具合。不明だとデータ消失に - PC Watch
下記の DELL 場合は、一応は大丈夫そうですけど、Windows Update でファームウェア(BIOS)のアップデートが行われることもあり、回復キーの入力を求められるようになることもありそうです。
BitLockerが有効なDell製システムでのBIOSのアップデート
ハード障害で、PC のマザーボード交換とかになった場合も、同様に回復キーの入力が必要になります。キーがマザーボード上の TPM に保存されているので、マザーボードを交換したら失われます。TPM 無しの場合でも、マザーボード交換を検知したら、ディスク上に保存されていたキーを無効化したはずです。
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(204.8, 74%, 29%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EK1%3C/text%3E%3C/svg%3E)
紹介されているのは個人向け出、明らかに法人の仕事なので引き受けてもらえませんね。
Business Assist for Microsoft 365
こっちも小規模向けなので規模によってはもっと上のプランですね。
でも日本非対応でした。
とある会社のIT業務を請け負うことになりました。
ビジネスであれば、プレミアムサブスクリプションの利用をお勧めします。
正したいのですが、その前に皆様の見解をお聞きしたいです。
こんな危ない業務を請け負うリスクを払拭したいです。
ご自身が危ないと考えるのであれば、止めておくことお勧めします。
ここはユーザーコミュニティなので、ご期待に沿う様な見解は得られ難いと思います。
プレミアム ソフトウェア サポート オプション https://support.microsoft.com/ja-jp/topic/%E3%83%97%E3%83%AC%E3%83%9F%E3%82%A2%E3%83%A0-%E3%82%BD%E3%83%95%E3%83%88%E3%82%A6%E3%82%A7%E3%82%A2-%E3%82%B5%E3%83%9D%E3%83%BC%E3%83%88-%E3%82%AA%E3%83%97%E3%82%B7%E3%83%A7%E3%83%B3-27f783d4-ce63-463c-e765-7a6de4ae1084
(最近システムが変わったため、わかり難くなっています)
