BitLocker の概要
この記事では、システム要件、実用的なアプリケーション、非推奨の機能のリストなど、BitLocker の概要について説明します。
BitLocker ドライブ暗号化は、オペレーティング システムと統合されたデータ保護機能であり、コンピューターの紛失、盗難、または不適切な廃棄によるデータの盗難や漏洩の脅威を解決します。
BitLocker は、トラステッド プラットフォーム モジュール (TPM) バージョン 1.2 以降で使用すると最大限の保護を実現します。 TPM は、コンピューターの製造元によって多くの新しいコンピューターに搭載されているハードウェア コンポーネントです。 BitLocker と連携してユーザー データを保護し、システムがオフラインのときにコンピューターが改ざんされていないことを確認します。
TPM バージョン 1.2 以降を持たないコンピューターでは、BitLocker を使用して引き続き Windows オペレーティング システム ドライブを暗号化できます。 ただし、この実装では、コンピューターを起動したり休止状態から再開したりするために、USB スタートアップ キーを挿入する必要があります。 Windows 8 以降、オペレーティング システム ボリュームのパスワードを使用して、TPM を使用しないコンピューター上のオペレーティング システム ボリュームを保護できます。 どちらのオプションでも、BitLocker と TPM で提供される起動前のシステム整合性検証は提供されません。
TPM に加えて、BitLocker では、ユーザーが個人識別番号 (PIN) を提供するか、スタートアップ キーを含む USB フラッシュ ドライブなどのリムーバブル デバイスを挿入するまで、通常のスタートアップ プロセスをロックするオプションが用意されています。 これらの追加のセキュリティ対策は、多要素認証を提供し、正しい PIN またはスタートアップ キーが提示されるまで、コンピューターが起動、または休止状態から再開されることがないよう保証します。
実際の適用例
紛失または盗難にあったコンピューター上のデータは、ソフトウェア攻撃ツールの実行による未承認のアクセス、またはコンピューターのハード ディスクを別のコンピューターに転送することによる未承認のアクセスに対して脆弱です。 BitLocker は、ファイルとシステムの保護を強化することにより、不正なデータ アクセスを防止します。 BitLocker は、コンピューターを廃棄またはリサイクルするときにデータにアクセスできなくする場合にも役に立ちます。
リモート サーバー管理ツールには、BitLocker の管理に使用できるツールが 2 つあります。
BitLocker 回復パスワード ビューアー。 BitLocker 回復パスワード ビューアーを使用すると、Active Directory Domain Services (AD DS) にバックアップされた BitLocker ドライブ暗号化回復パスワードを見つけて表示できます。 このツールを使用すると、BitLocker を使用して暗号化されたドライブに格納されているデータを回復するのに役立ちます。 BitLocker 回復パスワード ビューアー ツールは、Active Directory ユーザーとコンピューター Microsoft 管理コンソール (MMC) のスナップインです。
このツールを使用することによって、コンピューター オブジェクトの [プロパティ] ダイアログ ボックスで対応する BitLocker 回復パスワードを確認できます。 さらに、ドメイン コンテナーを右クリックすると、Active Directory フォレスト内のすべてのドメインで BitLocker 回復パスワードを検索できます。 回復パスワードの表示は、ドメイン管理者またはドメイン管理者による委任されたアクセス許可を持っている場合にのみ表示できます。
BitLocker ドライブ暗号化ツール。 BitLocker ドライブ暗号化ツールには、コマンド ライン ツール manage-bde および repair-bde と、Windows PowerShell 用の BitLocker コマンドレットが含まれます。 manage-bde と BitLocker コマンドレットはどちらも、BitLocker コントロール パネルを使用してできるすべてのタスクを実行するために使用でき、自動展開や他のスクリプト シナリオに使用するのに適しています。 repair-bde は、BitLocker で保護されたドライブを通常の手順で、または回復コンソールを使用してロック解除できない障害回復シナリオ用に提供されています。
Windows エディションとライセンスに関する要件
次の表に、BitLocker の有効化をサポートする Windows エディションを示します。
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| はい | はい | はい | はい |
BitLocker 有効化ライセンスの権利は、次のライセンスによって付与されます。
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| はい | ○ | ○ | はい | はい |
Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。
システム要件
BitLocker のハードウェア要件は次のとおりです。
BitLocker で TPM によって提供されるシステム整合性チェックを使用するには、コンピューターに TPM 1.2 以降のバージョンが必要です。 コンピューターに TPM がない場合、BitLocker を有効にすると、USB フラッシュ ドライブなどのリムーバブル ドライブにスタートアップ キーを保存することが必須になります。
TPM を備えるコンピューターには、Trusted Computing Group (TCG) に準拠する BIOS または UEFI ファームウェアも必要です。 BIOS または UEFI ファームウェアは、オペレーティング システム起動前の信頼チェーンを確立し、TCG で規定された信頼性測定の静的なルートのサポートを含む必要があります。 TPM を装備していないコンピューターには、TCG 準拠のファームウェアは必要ありません。
システムの BIOS または UEFI ファームウェアは (コンピューターが TPM を備えていてもいなくても)、以前のオペレーティング システム環境での USB フラッシュ ドライブ上の小さいファイルの読み取りなど、USB 大容量記憶デバイス クラスをサポートする必要があります。
重要
Windows 7 では、TPM と USB フラッシュ ドライブを使用せずに OS ドライブを暗号化できます。 この手順については、「今日のヒント: TPM または USB が不要の Bitlocker」を参照してください。
注
TPM 2.0 は、BIOS のレガシおよび互換性サポート モジュール (CSM) モードではサポートされていません。 TPM 2.0 を搭載したデバイスでは、BIOS モードをネイティブ UEFI としてのみ構成する必要があります。 従来のオプションと CSM オプションを無効にする必要があります。 セキュリティを強化するためにセキュア ブート機能を有効にします。
レガシ モードのハードウェアにインストールされているオペレーティング システムは、BIOS モードが UEFI に変更されると OS の起動を停止します。 UEFI をサポートするように OS とディスクを準備する BIOS モードを変更する前に、MBR2GPT ツールを使用します。
ハード ディスクは、少なくとも 2 つのドライブにパーティション分割されている必要があります。
- オペレーティング システム ドライブ (またはブート ドライブ) には、オペレーティング システムとそのサポート ファイルが含まれます。 NTFS ファイル システムでフォーマットされている必要があります。
- システム ドライブには、ファームウェアがシステム ハードウェアを準備した後で Windows を読み込むために必要なファイルが含まれています。 このドライブでは、BitLocker は有効になりません。 BitLocker が動作するためには、システム ドライブは、暗号化されていてはならず、オペレーティング システム ドライブと異なっている必要があり、UEFI ベースのファームウェアを使用するコンピューターでは FAT32 ファイル システムで、BIOS ファームウェアを使用するコンピューターでは NTFS ファイル システムでフォーマットされている必要があります。 システム ドライブのサイズは約 350 MB にすることをおすすめします。 BitLocker を有効にした後は、約 250 MB の空き領域が残ります。
新しいコンピューターにインストールすると、BitLocker に必要なパーティションが自動的に作成されます。
暗号化の対象となるパーティションをアクティブなパーティションとしてマークすることはできません。 この要件は、オペレーティング システム ドライブ、固定データ ドライブ、リムーバブル データ ドライブに適用されます。
BitLocker オプション コンポーネントをサーバーにインストールする場合は、拡張記憶域機能もインストールする必要があります。 拡張記憶域機能は、ハードウェアで暗号化されたドライブをサポートするために使用されます。
このセクションの内容
| 記事 | 説明 |
|---|---|
| Windows 10 での BitLocker デバイスの暗号化の概要 | この記事では、BitLocker デバイスの暗号化が Windows 10 を実行しているデバイス上のデータを保護する方法の概要について説明します。 |
| BitLocker に関してよく寄せられる質問 (FAQ) | この記事では、BitLocker の使用、アップグレード、展開、管理、およびキー管理ポリシーの要件に関してよく寄せられる質問に回答します。 |
| BitLocker に向けた組織の準備: 計画とポリシー | この記事では、BitLocker 展開の計画に使用できる手順について説明します。 |
| BitLocker の基本的な展開 | この記事では、BitLocker 機能を使用してドライブの暗号化を使用してデータを保護する方法について説明します。 |
| BitLocker: Windows Server に展開する方法 | この記事では、Windows Server に BitLocker を展開する方法について説明します。 |
| BitLocker: ネットワーク ロック解除を有効にする方法 | この記事では、BitLocker ネットワーク ロック解除のしくみと構成方法について説明します。 |
| BitLocker: BitLocker ドライブ暗号化ツールを使用して BitLocker を管理する | この記事では、ツールを使用して BitLocker を管理する方法について説明します。 |
| BitLocker: BitLocker 回復パスワード ビューアーの使用 | この記事では、BitLocker 回復パスワード ビューアーを使用する方法について説明します。 |
| BitLocker グループ ポリシー設定 | この記事では、BitLocker の管理に使用される各グループ ポリシー設定の機能、場所、および効果について説明します。 |
| BCD 設定と BitLocker | この記事では、BitLocker で使用される BCD 設定について説明します。 |
| BitLocker 回復ガイド | この記事では、AD DS から BitLocker キーを回復する方法について説明します。 |
| プリブート攻撃から BitLocker を保護する | この詳細ガイドでは、Windows 10、Windows 8.1、Windows 8、または Windows 7 が実行されているデバイスにプリブート認証の使用をお勧めする状況について、また、この認証をデバイスの構成から安全に省ける場合について、わかりやすく説明します。 |
| BitLocker のトラブルシューティング | このガイドでは、BitLocker の問題のトラブルシューティングに役立つリソースと、いくつかの一般的な BitLocker の問題の解決策について説明します。 |
| BitLocker でクラスターの共有ボリュームと記憶域ネットワークを保護する | この記事では、BitLocker を使用して CSV と SAN を保護する方法について説明します。 |
| Windows IoT Core でのセキュア ブートと BitLocker デバイスの暗号化の有効化 | この記事では、Windows IoT Core で BitLocker を使用する方法について説明します |