BitLocker

適用対象:

  • Windows 10
  • Windows 11
  • Windows Server 2016 以上

この記事では、システム要件、実用的なアプリケーション、非推奨の機能の一覧など、BitLocker の概要について説明します。

BitLocker の概要

BitLocker ドライブ暗号化は、オペレーティング システムと統合されたデータ保護機能であり、コンピューターの紛失、盗難、または不適切な廃棄によるデータの盗難や漏洩の脅威を解決します。

BitLocker は、トラステッド プラットフォーム モジュール (TPM) バージョン 1.2 以降で使用する場合に最大限の保護を提供します。 TPM は、コンピューターの製造元によって多くの新しいコンピューターに搭載されているハードウェア コンポーネントです。 BitLocker と連携して、ユーザー データを保護し、システムがオフラインの間にコンピューターが改ざんされていないことを確認します。

TPM バージョン 1.2 以降のバージョンを持たないコンピューターでは、BitLocker を使用して Windows オペレーティング システム ドライブを暗号化できます。 ただし、この実装では、コンピューターを起動したり休止状態から再開したりするために、USB スタートアップ キーを挿入する必要があります。 Windows 8以降、オペレーティング システム ボリューム パスワードを使用して、TPM を使用しないコンピューター上のオペレーティング システム ボリュームを保護できます。 どちらのオプションでも、TPM を使用して BitLocker によって提供されるスタートアップ前のシステム整合性検証は提供されません。

TPM に加えて、BitLocker は、ユーザーが個人識別番号 (PIN) を提供するか、スタートアップ キーを含むリムーバブル デバイス (USB フラッシュ ドライブなど) を挿入するまで、通常のスタートアップ プロセスをロックするオプションを提供します。 これらの追加のセキュリティ対策により、多要素認証が提供され、正しい PIN またはスタートアップ キーが表示されるまで、コンピューターが休止状態から起動または再開されないという保証が提供されます。

実際の適用例

紛失または盗難にあったコンピューター上のデータは、ソフトウェア攻撃ツールの実行による未承認のアクセス、またはコンピューターのハード ディスクを別のコンピューターに転送することによる未承認のアクセスに対して脆弱です。 BitLocker は、ファイルとシステムの保護を強化することにより、不正なデータ アクセスを防止します。 BitLocker は、コンピューターを廃棄またはリサイクルするときにデータにアクセスできなくする場合にも役に立ちます。

リモート サーバー管理ツールには、BitLocker の管理に使用できる 2 つの追加ツールがあります。

  • BitLocker 回復パスワード ビューアー。 BitLocker 回復パスワード ビューアーを使用すると、Active Directory Domain Services (AD DS) にバックアップされた BitLocker ドライブ暗号化回復パスワードを見つけて表示できます。 このツールを使用すると、BitLocker を使用して暗号化されたドライブに格納されているデータを回復できます。 BitLocker 回復パスワード ビューアー ツールは、Active Directory ユーザーとコンピューター Microsoft 管理コンソール (MMC) のスナップインです。

    このツールを使用すると、コンピューター オブジェクトの [プロパティ ] ダイアログ ボックスを調べて、対応する BitLocker 回復パスワードを表示できます。 さらに、ドメイン コンテナーを右クリックすると、Active Directory フォレスト内のすべてのドメインにわたって BitLocker 回復パスワードを検索できます。 回復パスワードの表示は、ドメイン管理者またはドメイン管理者が委任したアクセス許可を持っている場合にのみ表示できます。

  • BitLocker ドライブ暗号化ツール。 BitLocker ドライブ暗号化ツールには、コマンド ライン ツール manage-bde および repair-bde と、Windows PowerShell 用の BitLocker コマンドレットが含まれます。 manage-bde コマンドレットと BitLocker コマンドレットの両方を使用して、BitLocker コントロール パネルを介して実行できる任意のタスクを実行でき、自動展開やその他のスクリプト シナリオに使用するのに適しています。 Repair-bde は、BitLocker で保護されたドライブを通常または回復コンソールを使用してロックを解除できないディザスター リカバリー シナリオに対して提供されます。

新機能と変更された機能

XTS-AES 暗号化アルゴリズムのサポートなど、Windows 用 BitLocker の新機能については、「Windows 10の新機能、IT 担当者向けバージョン 1507 および 1511: BitLocker」を参照してください。

システム要件

BitLocker のハードウェア要件は次のとおりです。

BitLocker が TPM によって提供されるシステム整合性チェックを使用するには、コンピューターに TPM 1.2 以降のバージョンが必要です。 コンピューターに TPM がない場合、BitLocker を有効にすると、USB フラッシュ ドライブなどのリムーバブル ドライブにスタートアップ キーを保存することが必須になります。

TPM を備えるコンピューターには、Trusted Computing Group (TCG) に準拠する BIOS または UEFI ファームウェアも必要です。 BIOS または UEFI ファームウェアは、オペレーティング システム起動前の信頼チェーンを確立し、TCG で規定された信頼性測定の静的なルートのサポートを含む必要があります。 TPM のないコンピューターでは、TCG 準拠のファームウェアは必要ありません。

システムの BIOS または UEFI ファームウェアは (コンピューターが TPM を備えていてもいなくても)、以前のオペレーティング システム環境での USB フラッシュ ドライブ上の小さいファイルの読み取りなど、USB 大容量記憶デバイス クラスをサポートする必要があります。

重要

Windows 7 では、TPM と USB フラッシュ ドライブなしで OS ドライブを暗号化できます。 この手順については、「今日のヒント: TPM または USB が不要の Bitlocker」を参照してください。

TPM 2.0 は、BIOS のレガシおよび互換性サポート モジュール (CSM) モードではサポートされていません。 TPM 2.0 を使用するデバイスでは、BIOS モードがネイティブ UEFI としてのみ構成されている必要があります。 従来のオプションと CSM オプションは無効にする必要があります。 セキュリティを強化するために、セキュリティで保護されたブート機能を有効にします。

レガシ モードでハードウェアにオペレーティング システムをインストールすると、BIOS モードが UEFI に変更されると OS の起動が停止します。 BIOS モードを変更する前に 、ツール MBR2GPT を 使用します。これにより、UEFI をサポートするために OS とディスクが準備されます。

ハード ディスクは、少なくとも 2 つのドライブにパーティション分割されている必要があります。

  • オペレーティング システム ドライブ (またはブート ドライブ) には、オペレーティング システムとそのサポート ファイルが含まれます。 NTFS ファイル システムでフォーマットされている必要があります。
  • システム ドライブには、ファームウェアがシステム ハードウェアを準備した後で Windows を読み込むために必要なファイルが含まれています。 このドライブでは BitLocker が有効になっていません。 BitLocker が動作するためには、システム ドライブは、暗号化されていてはならず、オペレーティング システム ドライブと異なっている必要があり、UEFI ベースのファームウェアを使用するコンピューターでは FAT32 ファイル システムで、BIOS ファームウェアを使用するコンピューターでは NTFS ファイル システムでフォーマットされている必要があります。 システム ドライブのサイズは約 350 MB にすることをお勧めします。 BitLocker を有効にすると、約 250 MB の空き領域が必要です。

新しいコンピューターにインストールすると、BitLocker に必要なパーティションが Windows によって自動的に作成されます。

暗号化の対象となるパーティションをアクティブ パーティションとしてマークすることはできません。 この要件は、オペレーティング システム ドライブ、固定データ ドライブ、リムーバブル データ ドライブに適用されます。

BitLocker オプション コンポーネントをサーバーにインストールする場合は、拡張ストレージ機能もインストールする必要があります。 拡張ストレージ機能は、ハードウェアで暗号化されたドライブをサポートするために使用されます。

このセクションの内容

記事 説明
Windows 10 での BitLocker デバイスの暗号化の概要 この記事では、Windows 10を実行しているデバイスで BitLocker デバイス暗号化がデータを保護する方法の概要について説明します。
BitLocker に関してよく寄せられる質問 (FAQ) この記事では、BitLocker の使用、アップグレード、展開、管理、およびキー管理ポリシーの要件に関してよく寄せられる質問に回答します。
BitLocker に向けた組織の準備: 計画とポリシー この記事では、BitLocker の展開を計画するために使用できる手順について説明します。
BitLocker の基本的な展開 この記事では、BitLocker 機能を使用してドライブの暗号化を通じてデータを保護する方法について説明します。
BitLocker: Windows Server に展開する方法 この記事では、Windows Server に BitLocker を展開する方法について説明します。
BitLocker: ネットワーク ロック解除を有効にする方法 この記事では、BitLocker ネットワーク ロック解除のしくみと構成方法について説明します。
BitLocker: BitLocker ドライブ暗号化ツールを使用して BitLocker を管理する この記事では、ツールを使用して BitLocker を管理する方法について説明します。
BitLocker: BitLocker 回復パスワード ビューアーの使用 この記事では、BitLocker 回復パスワード ビューアーを使用する方法について説明します。
BitLocker グループ ポリシー設定 この記事では、BitLocker の管理に使用される各グループ ポリシー設定の関数、場所、および効果について説明します。
BCD 設定と BitLocker この記事では、BitLocker で使用される BCD 設定について説明します。
BitLocker 回復ガイド この記事では、AD DS から BitLocker キーを回復する方法について説明します。
プリブート攻撃から BitLocker を保護する この詳細なガイドは、Windows 10、Windows 8.1、Windows 8、または Windows 7 を実行しているデバイスに対してプレブート認証を使用することが推奨される状況と、デバイスの構成から安全に省略できる状況を理解するのに役立ちます。
BitLocker のトラブルシューティング このガイドでは、BitLocker の問題のトラブルシューティングに役立つリソースと、いくつかの一般的な BitLocker の問題の解決策について説明します。
BitLocker でクラスターの共有ボリュームと記憶域ネットワークを保護する この記事では、BitLocker を使用して CSP と SAN を保護する方法について説明します。
Windows IoT Core でのセキュア ブートと BitLocker デバイスの暗号化の有効化 この記事では、Windows IoT Core で BitLocker を使用する方法について説明します