BitLocker キー管理に関する FAQ

適用対象:

  • Windows 10 以降
  • Windows Server 2016 以降

リムーバブル データ ドライブを認証またはロック解除するにはどうすればよいですか?

リムーバブル データ ドライブは、パスワードまたはスマート カードを使用してロックを解除できます。 SID 保護機能は、ユーザー ドメインの資格情報を使用してドライブのロックを解除するように構成することもできます。 暗号化が開始されると、特定のユーザー アカウントの特定のコンピューターでドライブのロックを自動的に解除することもできます。 システム管理者は、パスワードの複雑さや最小長の要件など、ユーザーが使用できるオプションを構成できます。 SID 保護機能を使用してロックを解除するには、 を使用します manage-bde.exe

Manage-bde.exe -protectors -add e: -sid <i>domain\username</i></code>

回復パスワード、回復キー、PIN、拡張 PIN、スタートアップ キーの違いを教えてください。

回復パスワード、回復キー、および PIN などの要素について説明している表については、「BitLocker のキーの保護機能」と「BitLocker 認証方法」をご覧ください。

回復パスワードと回復キーはどのように保管すればよいですか。

オペレーティング システム ドライブまたは固定データ ドライブの回復パスワードと回復キーは、フォルダーに保存したり、1 つ以上の USB デバイスに保存したり、Microsoft アカウントに保存したり、印刷したりできます。

リムーバブル データ ドライブの場合、回復パスワードと回復キーはフォルダーに保存したり、Microsoft アカウントに保存したり、印刷したりできます。 既定では、リムーバブル ドライブの回復キーはリムーバブル ドライブに格納できません。

ドメイン管理者は、回復パスワードを自動的に生成し、BitLocker で保護されたドライブのActive Directory Domain Services (AD DS) に格納するようにグループ ポリシーを構成することもできます。

TPM 認証方法のみを有効にしてある場合、ドライブの暗号化を解除せずに別の認証方法を追加できますか。

Manage-bde.exeコマンド ライン ツールを使用すると、TPM のみの認証モードを多要素認証モードに置き換えることができます。 たとえば、TPM 認証のみで BitLocker が有効になっていて、PIN 認証を追加する必要がある場合は、管理者特権のコマンド プロンプトから次のコマンドを使用し、 4 から 20 桁の数値 PIN を目的の数値 PIN に置き換えます。

manage-bde.exe -protectors -delete %systemdrive% -type tpm

manage-bde.exe -protectors -add %systemdrive% -tpmandpin <4-20 digit numeric PIN>

別の認証方法を検討する必要があるのはどのようなときですか。

Windows ハードウェア互換性プログラムの要件を満たしている新しいハードウェアでは、リスク緩和策としての PIN の重要度は低くなり、TPM のみの保護機能をデバイス ロックアウトなどのポリシーと組み合わせれば十分と考えられます。 たとえば、Surface ProとSurface Bookには攻撃する外部 DMA ポートがありません。 PIN が必要な古いハードウェアの場合は、文字や句読点などの数値以外の文字を許可する 拡張 PIN を 有効にし、リスク許容度とコンピューター上の TPM で使用できるハードウェアのハンマリング防止機能に基づいて PIN の長さを設定することをお勧めします。

回復情報を紛失した場合、BitLocker で保護されたデータは回復不能になるのですか。

BitLocker は、必要な認証がない場合は暗号化されたドライブを回復不能にするように設計されています。 回復モードでは、暗号化されたドライブのロックを解除するには回復パスワードまたは回復キーが必要です。

重要

回復情報を AD DS と共に、Microsoft アカウントまたは別の安全な場所に格納します。

スタートアップ キーとして使用されている USB フラッシュ ドライブを回復キーの保存にも使用できますか。

USB フラッシュ ドライブをスタートアップ キーと回復キーのストレージの両方として使用することは技術的には可能ですが、1 つの USB フラッシュ ドライブを使用して両方のキーを格納することはベスト プラクティスではありません。 起動キーを含む USB フラッシュ ドライブが紛失または盗難された場合、回復キーも失われます。 さらに、このキーを挿入すると、TPM 測定ファイルが変更された場合でも、回復キーからコンピューターが自動的に起動し、TPM のシステム整合性チェックが回避されます。

スタートアップ キーを複数の USB フラッシュ ドライブに保存できますか。

はい。コンピューターのスタートアップ キーは、複数の USB フラッシュ ドライブに保存できます。 BitLocker で保護されたドライブを右クリックし、[ BitLocker の管理 ] を選択すると、必要に応じて追加の USB フラッシュ ドライブに回復キーを保存するオプションが提供されます。

複数の (異なる) スタートアップ キーを同じ USB フラッシュ ドライブに保存できますか。

はい。異なるコンピューターの BitLocker スタートアップ キーを同じ USB フラッシュ ドライブに保存できます。

同じコンピューターに対して複数の (異なる) スタートアップ キーを生成できますか。

同じコンピューターに対して異なるスタートアップ キーを生成するには、スクリプトを使用します。 ただし、TPM を備えているコンピューターの場合は、異なるスタートアップ キーを作成すると、BitLocker は TPM のシステム整合性チェックを使用しなくなります。

PIN の複数の組み合わせを生成できますか。

複数の PIN の組み合わせを生成することはできません。

BitLocker ではどのような暗号化キーが使用されますか。 どのように連携しますか。

原データは、ボリューム全体の暗号化キーで暗号化された後、ボリューム マスター キーで暗号化されます。 ボリューム マスター キーは、認証 (つまり、キー プロテクターまたは TPM) と回復シナリオに応じて、いくつかの可能な方法のいずれかで暗号化されます。

暗号化キーはどこに保存されますか。

ボリューム全体の暗号化キーは、ボリューム マスター キーによって暗号化されて、暗号化されたドライブに保存されます。 ボリューム マスター キーは、適切なキー保護機能によって暗号化されて、暗号化されたドライブに保存されます。 BitLocker が中断された場合、ボリューム マスター キーの暗号化に使用されるクリア キーも、暗号化されたボリューム マスター キーと共に、暗号化されたドライブに保存されます。

このストレージ プロセスにより、BitLocker が無効になっていない限り、ボリューム マスター キーは暗号化されず、保護されます。 キーは、冗長性のためにドライブの他の 2 つの場所にも保存されます。 キーは、ブート マネージャーで読み取って処理できます。

PIN または 48 文字の回復パスワードを入力するのにファンクション キーを使用する必要があるのはなぜですか。

F1 ~ F10 キーは、すべてのコンピューターおよびすべての言語のプリブート環境で使用できる、ユニバーサルにマップされるスキャン コードです。 数値キー 0 から 9 は、すべてのキーボードのプレブート環境では使用できません。

拡張 PIN を使用する場合、ユーザーは、BitLocker のセットアップ プロセス中にオプションのシステム チェックを実行して、プリブート環境で PIN を正しく入力できることを確認する必要があります。

BitLocker はどのようにしてオペレーティング システム ドライブのロックを解除するための PIN を攻撃者が発見できないようにするのですか。

攻撃者がブルート フォース攻撃を実行することで、個人識別番号 (PIN) が検出される可能性があります。 ブルート フォース攻撃とは、正しい PIN が見つかるまで自動ツールで異なる PIN を試す方法です。 BitLocker で保護されたコンピューターの場合、この種類の攻撃 (辞書攻撃とも呼ばれます) では、攻撃者がコンピューターに物理的にアクセスできる必要があります。

TPM には、この種の攻撃を検出して対処する機能が組み込まれています。 製造元によって異なる PIN と攻撃の軽減策がサポートされる場合があるため、TPM の製造元に問い合わせて、コンピューターの TPM が PIN ブルート フォース攻撃を軽減する方法を確認してください。 TPM の製造元が決定されたら、製造元に問い合わせて TPM のベンダー固有の情報を収集します。 ほとんどの製造元は、PIN 認証失敗の回数を使用して、PIN インターフェイスのロックアウト時間を指数関数的に増やします。 ただし、失敗カウンターを減らしたりリセットしたりするタイミングと方法に関するポリシーは、製造元ごとに異なります。

TPM の製造元はどうすればわかりますか。

TPM の製造元は、Security Center>デバイス> セキュリティ セキュリティプロセッサの詳細Windows Defenderで確認できます。

TPM の辞書攻撃対策メカニズムはどのようにして評価できますか。

次の質問は、TPM の製造元に辞書攻撃軽減メカニズムの設計について質問するときに役立ちます。

  • 承認の試行が何回失敗すると、ロックアウトが発生しますか。
  • 試行失敗回数および他の関連パラメーターに基づいてロックアウトの時間を決定するためのアルゴリズムはどのようなものですか。
  • 失敗回数およびロックアウト時間が減らされたりリセットされたりするのは、どのような操作が行われたときですか。

PIN の長さと複雑さをグループ ポリシーで管理できますか。

できるものと、できないものがあります。 最小個人識別番号 (PIN) の長さは、[スタートアップ グループ ポリシーの最小 PIN 長の構成] 設定を使用して構成でき、[スタートアップグループ ポリシーの拡張 PIN を許可する] 設定を有効にすることで英数字 PIN の使用を許可します。 ただし、pin の複雑さは、グループ ポリシーを介して必要とすることはできません。

詳しくは、「 BitLocker グループ ポリシー設定」をご覧ください。