BitLockerでWindows 10のドライブを暗号化するには?

セキュリティ管理

【ベレッツァ GR-ボルト Bellezza】ジムニー STAR (4人乗) 等にお勧め ベーシックαシートカバー(パイピング変更無し) 型式等:JB23W 品番:S665

本記事をご覧いただいている皆様の職場では、社外へのPCの持ち出しを許可されておりますでしょうか?PCの持ち出しを認めていない職場や十分なセキュリティ対策を施さないまま、従業員にPCの管理を任せてしまっている職場もあるのではないでしょうか?

政府が主導する働き方改革により、在宅勤務やテレワークといった社外での業務活動がより一層活発化すると予想されております。そのため、今までよりも、PCの情報漏えい対策が必要不可欠になってくると考えております。

今回の記事では、Windows 10に標準搭載されているBitLockerを使用して、ドライブを暗号化し、盗難・紛失による情報漏えいを防ぐ方法についてご紹介します。

本記事はWindows 10(1709)、Windows 2012で環境を構築し、記事を作成しています。今後内容が変更となる場合がありますので、予めご了承ください。

BitLockerとは?

BitLockerとは、Windowsに搭載されているドライブ暗号化機能の名称です。Windows 10のProエディションより上位エディションを選択すれば、標準搭載されています。ドライブを暗号化することによって、他のPCにディスクを接続されてもデータを読み取ることができなくなり、盗難・紛失時の情報漏えい対策として利用できます。

BitLockerを使用する場合の注意点

BitLockerは、企業にとって追加コストなしでドライブを暗号化できるため、非常に便利ですが、運用面・管理面では機能不足という状況です。そのため、以下に記載するような注意点を認識したのちに、自社内でBitLockerを採用しても問題ないかの検討が必要となりますのでご注意ください。

  1. 管理者権限アカウントで暗号化を無効化できてしまう
    Windowsの管理者権限アカウントでログインすると、いつでもドライブ暗号化を有効/無効にすることができます。そのため、エンドユーザーに管理者権限アカウントを付与しない運用が必要となります。

  2. ロックされずにログイン試行ができてしまう
    BitLockerには、TPM(Trusted Platform Module)というセキュリティチップの防御機構を使用していますが、回復パスワードの入力時、

    【ベレッツァ Bellezza】ジムニー (4人乗) 等にお勧め ベーシックαシートカバー(パイピング変更無し) 型式等:JB23W 品番:S665





    メーカー希望小売価格はメーカーサイトに基づいて掲載しています


    詳細 品番 : S665
    車種 : ジムニー
    型式 : JB23W
    年式 : H12/4→H16/10
    -
    定員:4人乗り
    適合形状:XG / XL / ワイルドウインド / FIS(フリースタイルワールドカップリミテッド) / ランドベンチャー(全席布シート)
    ヘッドレスト枕型 / 後席 座面/背もたれ共に5:5分割

    3型/4型モデル用(車体番号JB23W-210001?JB23W-400000)

    適合不可:H10/10-H12/4の1型/2型モデル(車体番号JB23W-100000-210000)→シート形状異なる
    XC(前席ヘッドレストドーナツ型)
    XA(シート形状異なる)
    L/J2(2WD取付未確認)
    ランドベンチャーの前席のみコンビシート車(取付未確認)
    AZオフロード(マツダOEM/JB23M/ヘッドレストドーナツ型)

    -
    2列目ヘッドレスト有り車は背もたれに穴開け加工要


    型式等詳細:JB23W

    車種別商品は適合する車種・形式・年式・グレード等をご確認のうえ、注文時にご記入ください。
    ※商品内容の詳細、適合についてはメーカーへ直接お問合せご確認ください。
    ※メーカーHP等で品番内容を必ずご確認の上でお求めください。
    (現車確認できないため、当店では適合確認・保証は一切できません。ご注文されたメーカー品番での手配となります)

    メーカー側で予告無く仕様変更や生産終了の場合があります、予めご了承ください。
    画面上の色は実際のものと多少異なる場合があります。
    また参考画像はイメージであり、材質や色が実際の商品と異なっていたり、商品以外が表示されている場合があります。

    ■ご注文後、当店からのメールを必ずご確認ください。(※迷惑フィルタ等ご注意ください)
    ■メール問合せ時、当店から回答がない場合はお手数ですがお電話にて再度ご連絡ください。
    ■キャンセル・注文変更等はメーカー手配完了前まで、お電話でのみ受付可能です。
    ■お客様都合による返品・キャンセル等はできません。

    タイヤ太郎なら スズキ ジムニー用 対応品がお買得! 激安 & 格安品 【シートカバー】 bellezza ベレッツァ シート・カバー ( 座席カバー )。 人気の belezza ベレッツア がお買得! belleza ベレツァ のお求めは当店で! beleza ヴェレッツァ シート 一台分 (全席分 )。 berrezza 1台分 でお探しの方もコチラ。 品番により対応車種等が異なります。 basic α basicα ベーシックアルファ ベーシックアルファー ベイシックアルファ ベイシックアルファー ベーシックα ベーシック・α ベーシックαタイプ スズキ suzuki ジムニー jimny でお探しなら是非!


    、もしくはプリブート認証を設定した場合に、ログイン試行回数によるロック機能はありません。そのため、TPMの保護はかかりますが、時間があれば、不正なログイン試行が可能となります。

  3. 盗難・紛失時に本当に暗号化されていたか確認できない
    BitLockerは、通常ポリシーベースで暗号化を有効にするため、盗難・紛失が発覚した後に当該PCが暗号化されていたかどうかを確認する機能はありません。そのため フェデラル FEDERAL 595RS-R 215/45R17 87W XL 215/45-17 17インチ ハイグリップサマータイヤ 2本以上送料無料、BitLockerで暗号化している場合は「暗号化されていたので情報漏えいの心配はない」と言い切れないので、定期的に暗号化ステータスを確認する等の工夫が必要です。

  4. 48桁の回復キーの運用が煩雑である
    BitLockerは、暗号化する際にパスワードを忘れた場合のために回復キーという48桁の数字が自動的に作成されます。この回復キーを1台ずつ管理する必要があるため、PCの管理台数が多くなってくると回復キーの管理が難しくなってきます。また、48桁を口頭で伝えるのは難しいですし、一度エンドユーザーに伝えた回復キーは安全ではないため、再作成するといった煩雑な運用も必要となってきます。

    また、土日・祝日・夜間にパスワードを忘れた場合に、48桁の回復キーを紙に印刷して持ち出しておくか、社外からActive Directoryサーバーにログインしなければならないというセキュリティ上の懸念点もあります。

  5. 1デバイスにつき、1パスワードしか管理できない
    BitLockerは1デバイスにつき、1パスワードしか管理できないため、共有PCを暗号化する場合、共有PCを使用するメンバー全員でパスワードを共有する必要がでてきます。一人が勝手にパスワードを変更した場合、他のメンバーはログインできなくなってしまいます。

  6. ハードウェア構成が変わると回復キーの入力が求められる
    USBメモリーを挿したり、着脱可能なキーボードをPC本体から切り離したりした場合、BitLockerがハードウェア構成の変更を検知し、エンドユーザーに回復キーの入力を要求することがあります。

  7. 技術的な問い合わせがフォーラム上でしかできない
    万が一、OSが起動しないといったトラブルに遭遇した場合、マイクロソフト社から十分なサポートが得られないため、自社解決する必要があります。さらに、回復キーまで損失してしまうとデータを復旧したい場合でもOSリカバリーしか手がなくなってしまいます。

暗号化を有効にする(小規模向け)

本手順では、手軽にBitLockerでドライブを暗号化する場合の手順について記載します。本手順は、暗号化方式がAES 128ビットで、回復キーをファイルで管理する手順となりますので、数台~数十台ぐらいの小規模向けとしています。もう少し台数が多い場合は、後述する中規模向けの手順を実施することを推奨します。

  1. Windows 10を起動し、管理者権限アカウントでログインする
    ※Microsoftアカウントは使っていない想定です。
  2. エクスプローラーを起動し、ドライブを表示させる
  3. 暗号化したいドライブを右クリックし、表示されたメニューより「BitLockerを有効にする」メニューをクリックする
  4. 回復キーのバックアップ方法を指定する画面が表示されるので、「ファイルに保存する」を選択し、<次へ>ボタンをクリックする(別の選択肢でもOK)

  5. PCにUSBメモリーや外付けハードディスクを接続し、保存場所を選択して<保存>ボタンをクリックする
  6. ドライブを暗号化する範囲の選択画面にて、該当する選択肢をクリックし、<次へ>ボタンをクリックする
    ※使用中のPCの場合は、必ず「ドライブ全体を暗号化する」を選択してください。
  7. 使用する暗号化モードを選ぶ画面にて、「新しい暗号化モード」を選択し、<次へ>ボタンをクリックする
    ※以前のバージョンのWindowsでリムーバブルドライブを使用する場合は、互換モードを選択してください。
  8. <暗号化の開始>ボタンをクリックし、暗号化を開始する
  9. 暗号化が完了したことを確認します。
     
    なお、コマンドプロンプトより「manage-bde -status」コマンドでも暗号化ステータスを確認することもできます。
    ※デフォルトでは、AES 128ビットで暗号化されます。

暗号化を有効にする(中規模向け)

本手順では、数十台以上のPCに対して、BitLockerでドライブを暗号化する場合の手順について記載します。本手順は、暗号化方式がAES 256ビットで、回復キーをActive Directoryに保存する手順となりますので、数十台以上の中規模向けとしています。Active Directoryは [ESPELIR] エスペリア スーパーダウンサス リアのみ セレナ C25 H19/12~22/11 MR20DE 2WD 2.0L 後期型 20S / 20G ※代引不可 ※離島は送料別途、Windows 2012 Serverを使用しております。OSが異なる場合、画面イメージが異なる場合がありますので予めご了承ください。

Active Directoryサーバー上に「BitLockerドライブ暗号化」の機能をインストールし、「Active Directory ユーザーとコンピューター」の管理コンソールから各PCの回復キーを閲覧できるようにします。また、グループポリシーを変更し、クライアントPCの暗号化方式・暗号強度等の設定を統一します。

等にお勧め 【ベレッツァ Bellezza】ジムニー (4人乗) 型式等:JB23W 品番:S665 Bellezza】ジムニー 【ベレッツァ ベーシックαシートカバー(パイピング変更無し)

  1. Active Directoryサーバーに管理者権限アカウントでログインする
  2. サーバーマネージャーを起動し、「役割と機能の追加」をクリックする
  3. 機能の選択画面にて、「BitLockerドライブ暗号化」を選択し、<次へ>ボタンをクリックし、さらに<インストール>ボタンをクリックする
  4. インストール完了後、OS再起動を実施する
  5. スタートボタンより、「Active Directory ユーザーとコンピューター」をクリックし、任意のコンピューターをダブルクリックする
  6. プロパティ画面にて、「BitLocker回復」タブが表示されていることを確認する

グループポリシーの変更

  1. Active Directoryサーバーに管理者権限アカウントでログインする
  2. スタートボタンより エスコ ESCO 38x1.7mmx50m テープ 平織(PP製 濃灰) 000012087259 HD店、「グループポリシーの管理」をクリックし、新しいグループポリシーオブジェクトを作成する
    ※既存のグループポリシーオブジェクトを編集しても良いです。
  3. 作成したグループポリシーオブジェクトを右クリックし、「編集」メニューをクリックする
  4. [コンピューターの構成]-[ポリシー]-[管理テンプレート]-[Windowsコンポーネント]-[BitLockerドライブ暗号化]を開く
  5. 「ドライブの暗号化方法と暗号強度を選択する」の項目をダブルクリックして開き、「有効」ラジオボタンを選択し、プルダウンメニューより「AES 256ビット」を選択し、ボタンをクリックする
  6. 次に、[コンピューターの構成]-[ポリシー]-[管理テンプレート]-[Windowsコンポーネント]-[BitLockerドライブ暗号化]-[オペレーティングシステムのドライブ]を開き、「BitLockerで保護されているオペレーティングシステムドライブの回復方法を選択する」の項目をダブルクリックして開く
  7. 「有効」ラジオボタンを選択し、「BitLockerセットアップウィザードの回復オプションを省略する」および「AD DSにオペレーティングシステムドライブの回復情報が格納されるまでBitLockerを有効にしない」にチェックをいれて、ボタンをクリックする

  8. BitLockerのOS起動前の認証(プリブート認証)を追加したい場合は、[コンピューターの構成]-[ポリシー]-[管理テンプレート]-[Windowsコンポーネント]-[BitLockerドライブ暗号化]-[オペレーティングシステムのドライブ]を開き、「スタートアップ時に追加の認証を要求する」の項目を有効にする

  9. 編集したグループポリシーオブジェクトをドメインにリンクさせる


ドライブの有効化

  1. Windows 10を起動し アグラス レバーガード SLV/BLK/WHT YZF-R1/M 15-純正ハンドル用 《アグラス 301-276-SBKW》、管理者権限アカウントでログインする
  2. コマンドプロンプトを起動し、「gpupdate /force」を実行し、グループポリシーを更新する
  3. エクスプローラーを起動し、ドライブを表示させる
  4. 暗号化したいドライブを右クリックし、表示されたメニューより「BitLockerを有効にする」メニューをクリックする
  5. ドライブを暗号化する範囲の選択画面にて、該当する選択肢をクリックし、<次へ>ボタンをクリックする
    ※使用中のPCの場合は、必ず「ドライブ全体を暗号化する」を選択してください。
  6. <暗号化の開始>ボタンをクリックし、暗号化を開始する
  7. 暗号化が完了したことを確認します。

    なお、コマンドプロンプトより「manage-bde -status」コマンドでも暗号化ステータスを確認することもできます。
    ※グループポリシーで指定したAES 256ビットで暗号化されます。
  8. Active Directoryサーバーに管理者権限アカウントでログインする
  9. スタートボタンより、「Active Directory ユーザーとコンピューター」をクリックし、暗号化を有効にしたコンピューターをダブルクリックする
  10. プロパティ画面にて、「BitLocker回復」タブ内に回復キーが表示されていることを確認する
    ※暗号化・復号化を繰り返すと、回復パスワードが複数表示されます。

暗号化を無効にする

  1. BitLockerで暗号化済みのWindows 10を起動し、管理者権限アカウントでログインする
    ※Microsoftアカウントは使っていない想定です。
  2. エクスプローラーを起動し、ドライブを表示させる
  3. 暗号化を解除したいドライブを選択して右クリックし、[BitLockerの管理]メニューをクリックする
  4. BitLockerドライブ暗号化画面が表示されるので、「BitLockerを無効にする」メニューをクリックする
  5. 確認画面が表示されるので、ボタンをクリックする
  6. 暗号化解除が完了した旨のダイアログが表示されることを確認し、<閉じる>ボタンをクリックする

まとめ

Windows 10に標準搭載されているBitLockerを使用して 、ドライブを暗号化する手順についてご紹介しましたが、いかがでしたでしょうか?

今回の記事では、暗号化する手順を中心にご紹介しましたが、パスワードを忘れた場合の対処手順、回復キーの再作成手順、OSが起動不可時のデータ復旧手順といったトラブルシューティングを含めて、いくつものシナリオを想定して、運用を設計しなければなりません。また、冒頭に記載した注意点も考慮する必要があり、運用面では面倒な部分が多いのが実態です。

その解決手段として、弊社では、「SecureDocマネージドサービス」というディスク暗号化サービスを提供しております。BitLockerでのドライブ暗号化管理における注意点・課題の多くを解決できる他、管理サーバーをクラウドサービスとして提供しているため、お客様の運用管理の手間も省くことができ、多くのお客様において弊社サービスをご利用いただいております。ご興味がありましたら DAYTONA バックグリップ SKYWAVE 《デイトナ 63551》、ぜひお問い合わせください。

関連サービス:SecureDocマネージドサービス