BitLocker に関してよく寄せられる質問 (FAQ)

適用対象:

  • Windows 10 以降
  • Windows Server 2016 以降

エンタープライズ環境で BitLocker の展開を自動化できますか。

はい。BitLocker と TPM の両方のデプロイと構成は、WMI または Windows PowerShell スクリプトを使用して自動化できます。 自動化を実装するために選択される方法は、環境によって異なります。 Manage-bde.exe を使用して、BitLocker をローカルまたはリモートで構成することもできます。 BitLocker WMI プロバイダーを使用するスクリプトの作成の詳細については、 BitLocker ドライブ暗号化プロバイダーに関するページを参照してください。 BitLocker ドライブ暗号化での Windows PowerShell コマンドレットの使用に関する詳細については、 Windows PowerShell での BitLocker コマンドレットに関するページを参照してください。

BitLocker でオペレーティング システム ドライブ以外も暗号化できますか。

はい、できます。

コンピューターで BitLocker を有効にすると、パフォーマンスに顕著な影響がありますか。

通常、パフォーマンスのオーバーヘッドは小さく、多くの場合、1 桁の割合で発生します。これは、操作する必要があるストレージ操作のスループットに対して相対的です。

BitLocker を有効にしたとき、最初の暗号化にはどれくらいの時間がかかりますか。

BitLocker 暗号化はバックグラウンドで行われますが、ユーザーはシステムの使用可能な状態のままで作業を続けますが、暗号化時間は、暗号化されているドライブの種類、ドライブのサイズ、ドライブの速度によって異なります。 大きなドライブを暗号化する場合は、ドライブが使用されていない時間帯に暗号化をスケジュールすることが必要になる場合があります。

BitLocker を有効にすると、BitLocker を設定してドライブ全体またはドライブ上の使用済み領域のみを暗号化することもできます。 新しいハード ドライブでは、使用領域のみを暗号化すると、ドライブ全体を暗号化するよりかなり時間を短縮できる可能性があります。 この暗号化オプションを選択すると、BitLocker はデータが保存されるときに自動的にデータを暗号化するので、暗号化されていないデータが格納されることはなくなります。

暗号化または暗号化解除が行われている間に、コンピューターの電源を切るとどうなりますか。

コンピューターの電源が切られるか、休止状態になると、BitLocker の暗号化および暗号化解除プロセスは、Windows が次に起動したときに、前回停止したところから処理を再開します。 BitLocker による暗号化または暗号化解除の再開は、電源が突然使用できない場合でも当てはまります。

BitLocker は、データを読み取るときと書き込むときに、ドライブ全体を一度に暗号化および暗号化解除するのですか。

いいえ。BitLocker は、データの読み取りと書き込み時にドライブ全体を暗号化および暗号化解除しません。 BitLocker で保護されたドライブ内の暗号化されたセクターは、システムの読み取り操作から要求されたときにのみ復号化されます。 ドライブに書き込まれるブロックは、システムが物理ディスクに書き込む前に暗号化されます。 BitLocker で保護されたドライブに暗号化されていないデータが格納されることはありません。

ネットワーク上のユーザーが暗号化されていないドライブにデータを保存できないようにするには、どうすればよいですか。

グループ ポリシー設定を構成して、BitLocker で保護されたコンピューターがデータを書き込む前に、データ ドライブを BitLocker で保護する必要があります。 詳しくは、「 BitLocker グループ ポリシー設定」をご覧ください。 これらのポリシー設定を有効にすると、BitLocker で保護されたオペレーティング システムは、BitLocker によって保護されていないデータ ドライブを読み取り専用としてマウントします。

使用済みディスク領域のみの暗号化とは

Windows 10の BitLocker を使用すると、ユーザーは自分のデータだけを暗号化できます。 ドライブを暗号化する最も安全な方法ではありませんが、このオプションを使用すると、暗号化する必要があるデータの量に応じて、暗号化時間を 99% 以上短縮できます。 詳細については、「 使用済みディスク領域のみの暗号化」を参照してください。

オペレーティング システム ドライブの整合性チェックが失敗するのはどのようなシステム変更のときですか。

次の種類のシステム変更では、整合性チェックが失敗し、保護されたオペレーティング システム ドライブを暗号化解除するための BitLocker キーを TPM がリリースしない可能性があります。

  • BitLocker で保護されたドライブを新しいコンピューターに移動する。
  • 新しい TPM を搭載する新しいマザーボードを取り付ける。
  • TPM を停止、無効化、またはクリアする。
  • ブート構成の設定を変更する。
  • BIOS、UEFI ファームウェア、マスター ブート レコード、ブート セクター、ブート マネージャー、オプション ROM、またはその他の初期ブート コンポーネントやブート構成データを変更する。

オペレーティング システム ドライブを起動しようとすると BitLocker が回復モードで開始する原因は何ですか。

BitLocker は多数の攻撃からコンピューターを保護するように設計されているため、BitLocker が回復モードで起動する理由は多数あります。 次に、例を示します。

  • BIOS 起動順序を変更したことによって、対象のハード ドライブよりも先に、別のドライブが起動されるようになった。
  • コンピューターに新しいカードを挿入するなど、ハードウェアの追加または削除。
  • ポータブル コンピューターのスマート バッテリを取り外した、装着した、または充電残量を完全に使い果たした。

BitLocker での回復は、USB フラッシュ ドライブに保存されている回復キーまたは回復パスワードから導出される暗号化キーを使用した、ボリューム マスター キーのコピーの暗号化解除で構成されます。 TPM は復旧シナリオには関係ないため、TPM がブート コンポーネントの検証に失敗した場合、誤動作が発生した場合、または削除された場合でも復旧できます。

BitLocker が PCR 7 へのバインドを妨げる可能性があるのは何ですか?

Windows より前に Windows OS 以外が起動した場合、またはセキュア ブートが無効になっているか、ハードウェアがサポートしていないためにデバイスで使用できない場合、BitLocker は PCR 7 へのバインドを禁止できます。

オペレーティング システム ドライブで BitLocker が有効になっている場合、同じコンピューター上のハード ディスクを入れ替えることはできますか。

はい。BitLocker が有効になっている場合は、同じコンピューターで複数のハード ディスクをスワップできますが、ハード ディスクが同じコンピューター上で BitLocker で保護されている場合に限られます。 BitLocker キーは、TPM とオペレーティング システム ドライブに固有です。 ディスク障害が発生した場合にバックアップ オペレーティング システムまたはデータ ドライブを準備する必要がある場合は、それらが正しい TPM と一致していることを確認してください。 また、オペレーティング システムごとに異なるハード ドライブを構成し、異なる認証方法 (TPM 専用のハード ドライブと TPM+PIN を使用するハード ドライブなど) で、競合を発生させずに BitLocker を有効にすることもできます。

ハード ディスクを別のコンピューターに装着した場合、BitLocker で保護されたドライブにアクセスできますか。

はい。ドライブがデータ ドライブの場合は、パスワードまたはスマート カードを使用して、BitLocker ドライブ暗号化コントロール パネル項目からロックを解除できます。 データ ドライブが自動ロック解除専用に構成されている場合は、回復キーを使用してロックを解除する必要があります。 暗号化されたハード ディスクは、データ回復エージェント (構成されている場合) または回復キーを使用してロックを解除できます。

ドライブを右クリックしたときに **BitLocker をオンにする** が使用できないのはなぜですか?

一部のドライブは BitLocker で暗号化できません。 ドライブがダイナミック ディスクであるか、ドライブがシステム パーティションとして指定されている場合、ドライブを暗号化できない理由には、ディスク サイズが不足していること、互換性のないファイル システムが含まれます。 既定では、システム ドライブ (またはシステム パーティション) は表示されません。 ただし、カスタム インストール プロセスのためにオペレーティング システムがインストールされたときに隠しドライブとして作成されていない場合は、そのドライブが表示される可能性がありますが、暗号化できません。

BitLocker ではどのような種類のディスク構成がサポートされていますか。

任意の数の内蔵固定データ ドライブを BitLocker で保護できます。 一部のバージョンでは、ATA ベースおよび SATA ベースの直接接続された記憶装置もサポートされます。