Windows での BitLocker デバイスの暗号化の概要

適用対象

  • Windows 10
  • Windows 11
  • Windows Server 2016 以降

この記事では、BitLocker デバイス暗号化が Windows を実行しているデバイス上のデータを保護する方法について説明します。 BitLocker に関する一般的な概要と記事の一覧については、「 BitLocker」を参照してください。

出張の際は、組織の機密データも同時に移動することになります。 機密データがどこに保存されているとしても、未承認のアクセスから保護する必要があります。 Windows には、Windows 2000 オペレーティング システムの暗号化ファイル システム以降、悪意のある攻撃者から保護する保存データ保護ソリューションを提供する点で長い歴史があります。 最近では、BitLocker はフル ドライブとポータブル ドライブの暗号化を提供しました。 Windows では、既存のオプションを改善し、新しい戦略を提供することで、データ保護が一貫して向上します。

表 2 に、特定のデータ保護の問題と、Windows 11、Windows 10、および Windows 7 での対処方法を示します。

表 2. Windows 11、Windows 10、および Windows 7 のデータ保護

Windows 7 Windows 11とWindows 10
スタートアップを保護するために PIN と共に BitLocker を使用する場合、キオスクなどの PC をリモートで再起動することはできません。 最新の Windows デバイスは、BitLocker デバイス暗号化によってすぐに保護され、コールド ブート攻撃から BitLocker 暗号化キーをシームレスに保護するための SSO をサポートしています。

ネットワーク ロック解除により、内部ネットワークに接続されると PC が自動的に起動します。
BitLocker を有効にすると、プロビジョニング プロセスに数時間かかることがあります。 BitLocker の事前プロビジョニング、ハード ドライブの暗号化、および使用領域のみの暗号化により、管理者は新しいコンピューターで BitLocker をすぐに有効にできるようになります。
自己暗号化ドライブ (SED) での BitLocker の使用はサポートされません。 BitLocker では、暗号化されたハード ドライブへの暗号化のオフロードがサポートされます。
管理者は、別個のツールを使って暗号化されたハード ドライブを管理する必要があります。 BitLocker では、オンボード暗号化ハードウェア ビルトインによる暗号化されたハード ドライブがサポートされるため、管理者は使い慣れた BitLocker 管理ツールを使って管理できます。
新しいフラッシュ ドライブの暗号化に、20 分以上かかる場合があります。 BitLocker To Go で使用されるスペースのみの暗号化を使用すると、ユーザーはリムーバブル データ ドライブを数秒で暗号化できます。
システム構成の変更が生じたとき、BitLocker により回復キーの入力がユーザーに求められることがあります。 BitLocker では、ディスクの破損が発生した場合、または PIN またはパスワードが失われる場合にのみ、回復キーを入力する必要があります。
ユーザーは、PIN を入力して PC を起動し、パスワードを入力して Windows にサインインする必要があります。 最新の Windows デバイスは、BitLocker デバイス暗号化をすぐに使用して保護され、コールド ブート攻撃から BitLocker 暗号化キーを保護するのに役立つ SSO をサポートしています。

ドライブとファイルの暗号化の準備

最適な種類のセキュリティ対策は、実装時と使用時にユーザーに対して透過的です。 セキュリティ機能のために遅延や困難が発生する可能性があるたびに、ユーザーがセキュリティをバイパスしようとする可能性が高くなります。 このような状況は、特にデータ保護に当てはまりますが、まさに組織が避けるべきシナリオです。 ボリューム全体、リムーバブル デバイス、または個々のファイルの暗号化を計画している場合でも、Windows 11とWindows 10は、合理化された使用可能なソリューションを提供することで、ニーズを満たします。 実際、事前にいくつかの手順を実行することで、データ暗号化の準備を行い、展開を迅速かつスムーズに行うことができます。

TPM の事前プロビジョニング

Windows 7 では、TPM の使用準備には次のような課題がありました。

  • BIOS で TPM を有効にできるため、他のユーザーは BIOS 設定に移動して有効にするか、ドライバーをインストールして Windows 内から有効にする必要があります。
  • TPM を有効にした場合、再起動が 1 回以上必要になることがあります。

基本的には面倒でした。 IT スタッフが新しい PC をプロビジョニングしている場合は、このすべてを処理できますが、既にユーザーの手に入っているデバイスに BitLocker を追加する場合、それらのユーザーは技術的な課題に苦労し、IT をサポートに呼び出すか、BitLocker を無効のままにします。

Microsoft には、オペレーティング システムが TPM を完全に管理できるようにするWindows 11とWindows 10のインストルメンテーションが含まれています。 BIOS にアクセスする必要はなく、再起動を必要とするすべてのシナリオが排除されました。

ハード ドライブの暗号化の展開

BitLocker は、システム ドライブとデータ ドライブの両方など、ハード ドライブ全体を暗号化できます。 BitLocker の事前プロビジョニングにより、BitLocker が有効な新しい PC のプロビジョニングに必要な時間を大幅に減らすことができます。 Windows 11とWindows 10を使用すると、管理者は、Windows をインストールする前に、またはユーザー操作なしで自動展開タスク シーケンスの一部として、Windows プレインストール環境内から BitLocker と TPM をオンにすることができます。 使用済みディスク領域のみの暗号化と空のドライブ (Windows がまだインストールされていないため) と組み合わせると、BitLocker を有効にするには数秒しかかかりません。

以前のバージョンの Windows では、管理者が Windows のインストール後に BitLocker を有効にする必要がありました。 このプロセスは自動化できますが、BitLocker はドライブ全体を暗号化する必要があります。これは、ドライブのサイズとパフォーマンスに応じて数時間から 1 日以上かかる可能性があるプロセスであり、デプロイが遅延しました。 Microsoft では、Windows 11とWindows 10の複数の機能を使用して、このプロセスを改善しました。

BitLocker によるデバイスの暗号化

Windows 8.1以降、Windows では、モダン スタンバイをサポートするデバイスで BitLocker デバイス暗号化が自動的に有効になります。 Windows 11とWindows 10を使用すると、Microsoft は、モダン スタンバイデバイスやエディションまたはWindows 11を実行するデバイスなど、幅広いデバイスで BitLocker デバイス暗号化のサポートWindows 10 Home提供します。

Microsoft は、将来のほとんどのデバイスがテスト要件に合格することを期待しています。これにより、最新の Windows デバイス間で BitLocker デバイスの暗号化が普及します。 BitLocker デバイス暗号化は、デバイス全体のデータ暗号化を透過的に実装することで、システムをさらに保護します。

標準の BitLocker 実装とは異なり、BitLocker デバイスの暗号化は自動的に有効になるため、デバイスは常に保護されます。 次の一覧に、このしくみを示します。

  • Windows 11またはWindows 10のクリーン インストールが完了し、すぐに使えるエクスペリエンスが完了すると、コンピューターは最初の使用のために準備されます。 この準備の一環として、BitLocker デバイス暗号化はオペレーティング システム ドライブで初期化され、コンピューター上の固定データ ドライブはクリア キーで初期化されます (これは標準の BitLocker 中断状態と同等です)。 この状態では、Windows エクスプローラーに警告アイコンが表示されたドライブが表示されます。 次の箇条書きで説明するように、TPM 保護機能の作成後に黄色の警告アイコンが削除され、回復キーがバックアップされます。
  • デバイスがドメインに参加していない場合は、デバイスに対する管理特権が付与されている Microsoft アカウントが必要です。 管理者が Microsoft アカウントを使ってサインインすると、クリア キーが削除され、回復キーがオンラインの Microsoft アカウントにアップロードされ、TPM 保護機能が作成されます。 デバイスに回復キーが必要な場合、代替デバイスを使って回復キー アクセス URL に移動し、自分の Microsoft アカウント資格情報を使って回復キーを取得するように求めるガイドがユーザーに表示されます。
  • ユーザーがドメイン アカウントを使用してサインインする場合、ユーザーがデバイスをドメインに参加させ、回復キーが正常にActive Directory Domain Services (AD DS) にバックアップされるまで、クリア キーは削除されません。 [コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[BitLocker ドライブ暗号化]、[オペレーティング システム ドライブ] グループ ポリシー設定を有効にし、[AD DS にオペレーティング システム ドライブの回復情報が格納されるまで BitLocker を有効にしない] オプションをオンにします。 この構成では、コンピューターがドメインに参加して、回復キーが AD DS にバックアップされ、TPM 保護機能が作成されて、クリア キーが削除されると、回復パスワードが自動的に作成されます。
  • ドメイン アカウントでのサインインと同様に、ユーザーがデバイス上の Azure AD アカウントにサインインすると、クリア キーが削除されます。 上の箇条書きで説明したように、ユーザーが Azure AD で認証されると、回復パスワードが自動的に作成されます。 次に、回復キーが Azure AD にバックアップされて、TPM 保護機能が作成され、クリア キーが削除します。

Microsoft では、BitLocker デバイス暗号化をサポートするすべてのシステムで有効にすることをお勧めしますが、次のレジストリ設定を変更することで、BitLocker デバイス暗号化の自動プロセスを防止できます。

  • サブキー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
  • : PreventDeviceEncryption が True (1)
  • 種類: REG_DWORD

管理者は、Microsoft BitLocker の管理と監視 (MBAM) を使用して、BitLocker デバイス暗号化が有効になっているドメインに参加しているデバイスを管理できます。 この場合、BitLocker デバイスの暗号化により、追加の BitLocker オプションが自動的に使用できるようになります。 変換や暗号化は必要なく、構成の変更が必要な場合は、設定された BitLocker ポリシー全体を MBAM が管理できます。

注意

BitLocker デバイス暗号化では、XTS-AES 128 ビット暗号化方法が使用されます。 別の暗号化方法や暗号強度を使用する必要がある場合は、最初にデバイスを構成して復号化する必要があります (既に暗号化されている場合)。 その後、異なる BitLocker 設定を適用できます。

使用済みのディスク領域のみの暗号化

以前の Windows バージョンの BitLocker では、ボリューム上のすべてのバイト (データを持たない部分を含む) が暗号化されているため、ドライブの暗号化に長い時間がかかる可能性があります。 これは、ドライブを暗号化するための最も安全な方法です。特に、ドライブに以前に移動または削除された機密データが含まれていた場合。 その場合、機密データのトレースは、未使用としてマークされたドライブの一部に残る可能性があります。 しかし、書き込み中にデータを暗号化できるのに、なぜ新しいドライブを暗号化するのですか? 暗号化時間を短縮するために、Windows 11およびWindows 10の BitLocker を使用すると、ユーザーは自分のデータだけを暗号化することを選択できます。 ドライブ上のデータ量によっては、このオプションにより暗号化の時間を 99% 以上短縮できます。 ただし、機密データが暗号化されていない状態で既に格納されている可能性がある既存のボリュームの使用領域のみを暗号化する場合は注意してください。ただし、これらのセクターは、新しい暗号化されたデータによって上書きされるまでディスク回復ツールを使用して回復できるためです。 一方、まったく新しいボリューム上の使用領域のみを暗号化すると、ディスクに書き込まれるすべての新しいデータが暗号化されるため、セキュリティ リスクなしでデプロイ時間を大幅に短縮できます。

暗号化されたハード ドライブのサポート

SED は何年も前から使用可能でしたが、以前のバージョンの Windows では、ドライブに重要なキー管理機能がなかったため使用がサポートされていませんでした。 Microsoft は、ストレージ ベンダーと協力してハードウェア機能を強化してきたため、BitLocker では暗号化されたハード ドライブと呼ばれる次世代の SED がサポートされるようになりました。 暗号化されたハード ドライブには、ドライブ上のデータを暗号化するオンボードの暗号化機能が備わっているため、暗号化計算を PC のプロセッサからドライブ自体にオフロードし、目的に特化された専用ハードウェアを使ってドライブを迅速に暗号化することにより、ドライブとシステムの両方のパフォーマンスが向上します。 Windows 11またはWindows 10でドライブ全体の暗号化を使用する予定の場合は、ハード ドライブの製造元とモデルを調査して、暗号化されたハード ドライブのいずれかがセキュリティと予算の要件を満たしているかどうかを判断することをお勧めします。 暗号化されたハード ドライブについて詳しくは、「 暗号化されたハード ドライブ」をご覧ください。

プリブート情報保護

ほとんどのセキュリティ制御と同様に、情報保護の効果的な実装では、使いやすさとセキュリティが考慮されます。 通常、ユーザーはシンプルなセキュリティ エクスペリエンスを好みます。 実際、セキュリティ ソリューションが透過的になればなるほど、ユーザーが従う可能性が高くなります。 コンピューターの状態やユーザーの意図に関係なく、組織が PC 上の情報を保護することが重要です。 この保護は、ユーザーにとって煩雑になることはありません。 望ましくない以前の状況の 1 つは、ユーザーがプレブート中に入力を求められた後、Windows サインイン中に再び入力を求められる場合です。 ユーザーに入力を複数回求めることは避ける必要があります。 Windows 11とWindows 10を使用すると、最新のデバイスや、堅牢な情報保護構成が設定されている場合でも、場合によっては古いデバイスでもプレブート環境から真の SSO エクスペリエンスを実現できます。 分離された TPM は、BitLocker の暗号化キーを保存時でも安全に保護ことができ、オペレーティング システム ドライブを安全にロック解除することができます。 キーが使用中のためメモリ内にあるときは、ハードウェアと Windows 機能を組み合わせるとキーをセキュリティで保護し、コールド ブート攻撃による未承認のアクセスを防ぐことができます。 PIN ベースのロック解除などの他の対策は利用できますが、ユーザーフレンドリではありません。デバイスの構成によっては、キー保護に関して追加のセキュリティが提供されない場合があります。 詳細については、「 BitLocker の対策」を参照してください。

パスワードと PIN の管理

システム ドライブで BitLocker が有効になっており、PC に TPM が搭載されている場合、BitLocker がドライブをロック解除する前に PIN を入力をユーザーに求めることを選択できます。 このような PIN 要件により、PC への物理的なアクセス権を持つ攻撃者が Windows サインインにアクセスすることさえできなくなり、攻撃者がユーザー のデータやシステム ファイルにアクセスしたり、変更したりすることは事実上不可能になります。

スタートアップ時に PIN を要求すると、2 番目の認証要素 (2 番目の "知っている情報") として機能するため、セキュリティ機能として役立ちます。 ただし、この構成にはいくらかコストがかかります。 最も大きなコストのかかるものには、定期的な PIN の変更の要求があります。 Windows 7 および Windows Vista オペレーティング システムで BitLocker を使っていた企業では、ユーザーが BitLocker の PIN またはパスワードを更新するとき、システム管理者に連絡する必要がありました。 この要件により、管理コストが増加するだけでなく、ユーザーが BitLocker PIN またはパスワードを定期的に変更する意思が減りました。 Windows 11とWindows 10ユーザーは、管理者の資格情報を使用せずに、BitLocker PIN とパスワードを自分で更新できます。 この機能によりサポート コストが削減されるだけでなく、ユーザーが PIN とパスワードをより頻繁に変更するようになるため、セキュリティも向上します。 さらに、モダン スタンバイ デバイスでは、スタートアップに PIN は必要ありません。これらは、起動頻度が低く、システムの攻撃面をさらに減らす他の軽減策を実施するように設計されています。 スタートアップ セキュリティのしくみと、Windows 11とWindows 10が提供する対策の詳細については、「ブート前攻撃から BitLocker を保護する」を参照してください。

ネットワーク ロック解除の構成

組織によって、地域に固有のデータ セキュリティ要件があります。 これは、価値の高いデータが PC に保存されている環境ではよくあります。 ネットワーク環境は、重要なデータ保護を提供し、必須の認証を適用する場合があります。そのため、ポリシーでは、これらの PC が建物を離れたり、企業ネットワークから切断したりしてはならないと述べています。 物理的なセキュリティ ロックやジオフェンスなどの安全対策は、このポリシーを事後対応型コントロールとして強制するのに役立つことがあります。 これ以外に、PC が企業ネットワークに接続されているときのみデータ アクセスを許可する予防型のセキュリティ コントロールが必要です。

ネットワーク ロック解除により、Windows 展開サービスが実行されているワイヤード (有線) 企業ネットワークに接続されたときに、BitLocker で保護されている PC を自動的に起動できるようになります。 PC が企業ネットワークに接続されていない場合は、ユーザーが PIN を入力してドライブのロックを解除する必要があります (PIN ベースのロック解除が有効になっている場合)。 ネットワーク ロック解除には、次のインフラストラクチャが必要です。

  • 動的ホスト構成プロトコル (DHCP) をサポートする Unified Extensible Firmware Interface (UEFI) ファームウェア バージョン 2.3.1 以降がインストールされたクライアント PC。
  • Windows 展開サービスロールを使用して少なくともWindows Server 2012を実行しているサーバー
  • DHCP サーバーの役割がインストールされたサーバー

ネットワーク ロック解除機能を構成する方法の詳細については、「 BitLocker: ネットワーク ロック解除を有効にする方法」を参照してください。

Microsoft BitLocker の管理と監視

Microsoft Desktop Optimization Pack、Microsoft BitLocker 管理および監視 (MBAM) の一部により、BitLocker と BitLocker To Go の管理とサポートが容易になります。 最新バージョンの MBAM 2.5 Service Pack 1 には、次の主な機能があります。

  • 管理者は、企業全体のクライアント コンピューター上のボリュームを暗号化するプロセスを自動化できます。
  • セキュリティ担当者は、個々のコンピューターまたは企業全体の準拠状態をすばやく判断できます。
  • Microsoft Configuration Managerで一元的なレポートとハードウェア管理を提供します。
  • ヘルプ デスクの負荷を軽減し、BitLocker 回復要求によりエンド ユーザーをサポートします。
  • エンド ユーザーは、セルフ サービス ポータルを使って、暗号化されたデバイスを自分で回復できます。
  • セキュリティ担当者は、回復キー情報へのアクセスを簡単に監査できます。
  • 企業データの保護を保証することにより、Windows Enterprise ユーザーがどこにいても作業を継続できるようにします。
  • 社内に設定した BitLocker 暗号化のポリシー オプションを強制します。
  • Microsoft Configuration Manager などの既存の管理ツールと統合されます。
  • IT がカスタマイズ可能な回復ユーザー エクスペリエンスを提供します。
  • Windows 11とWindows 10をサポートします。

重要

企業は、MBAM を使用して、2019 年 7 月にメインストリーム サポートが終了するまで、オンプレミスでドメインに参加している BitLocker を使用してクライアント コンピューターを管理したり、2026 年 4 月まで延長サポートを受けたりすることができます。

今後、MBAM の機能がConfiguration Managerに組み込まれます。 詳細については、「Configuration Managerテクニカル プレビュー バージョン 1909 の機能」を参照してください。

Configuration Managerを使用していない企業は、Azure AD の組み込み機能とMicrosoft Intuneを使用して、管理と監視を行うことができます。 詳細については、「Intuneを使用したデバイス暗号化の監視」を参照してください。