BitLocker でディスクを暗号化し、データを保護する方法

BitLocker でディスクを暗号化し、データを保護する方法

2024 年 5 月 1 日

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアが Microsoft のフルディスク暗号化ソリューションである BitLocker を有効化、構成、管理する方法をガイドすることを目的としています。保存データを保護することは、特に盗難や紛失の危険性があるラップトップやタブレットなどのモバイル デバイスにおいて、情報セキュリティの基本です。 BitLocker は、物理デバイスが侵害された場合に、不正なデータ アクセスのリスクを軽減するのに役立ちます [1]。

はじめに

従業員の流動性が高まり、機密情報を保存するデバイスが急増するにつれ、ディスク暗号化は不可欠なセキュリティ対策となっています。 Windows オペレーティング システムに組み込まれている BitLocker は、ボリューム全体を暗号化する堅牢な方法を提供し、正しい復号化キーがなければ誰でもデータを読み取ることができないようにします。これは、コンプライアンス要件を満たし、知的財産を保護するために非常に重要です[2]。

この実用的なガイドでは、さまざまなシナリオ (OS ドライブおよび固定/リムーバブル データ ドライブ) での BitLocker の有効化、回復キーの管理、暗号化ステータスの検証、企業環境への導入のベスト プラクティスについて説明します。読者がディスク暗号化を効果的に実装および管理し、保存データを保護し、組織のセキュリティ体制を強化できるように、段階的な手順、実際のコマンド、および説明が提供されます。

BitLocker を使用する理由

  • 保存データ保護: デバイスが盗難または紛失した場合でも、ハード ドライブに保存されているデータが不正アクセスから確実に保護されます。
  • コンプライアンス: データ暗号化を必要とする規制およびコンプライアンスの要件 (HIPAA、GDPR、LGPD など) を満たすのに役立ちます。
  • Windows との統合: Windows の不可欠な部分として、簡素化された管理エクスペリエンスと他の Microsoft ツールとの統合が提供されます。
  • 侵害防止: 代替オペレーティング システムを起動したり、ハード ドライブを取り外したりすることにより、攻撃者が機密データにアクセスするのを防ぎます。

前提条件

BitLocker を有効にして構成するには、次のものが必要です。

  1. Windows バージョン: BitLocker は、Windows 10 および 11 の Pro、Enterprise、および Education エディションで利用できます。Home エディションには、「Device Encryption」と呼ばれるより基本的なバージョンがあります [3]。
  2. TPM (トラステッド プラットフォーム モジュール): オペレーティング システムのドライブ暗号化には、TPM バージョン 1.2 以降を強くお勧めします (通常、自動アクティベーションには必須です)。 TPM は、暗号化キーを保存し、システムの整合性の検証に役立つマイクロチップです [4]。
  3. 管理者権限: デバイス上のローカル管理者権限を持つアカウント。
  4. 回復キー: BitLocker 回復キーを保存する安全な場所 ​​(Microsoft アカウント、ファイル、USB、または Azure AD/Active Directory)。

ステップバイステップ: BitLocker の有効化と構成

オペレーティング システム ドライブとデータ ドライブに対して BitLocker を有効にする方法について説明します。

1. TPM ステータスの確認

TPM が有効になっていて、特にオペレーティング システム ドライブに対して使用できる状態であることを確認することが重要です。

  1. 「Win + R」を押し、「tpm.msc」と入力して「Enter」を押します。
  2. [TPM 管理] ウィンドウで、TPM の「ステータス」と「バージョン」を確認します。 ※ステータスが「TPM を使用する準備ができました」になっていれば、次に進むことができます。
    • そうでない場合は、コンピューターの BIOS/UEFI で有効にする必要がある場合があります。

2. オペレーティング システム ドライブの BitLocker の有効化

これはラップトップまたはデスクトップを保護する最も一般的な方法です。

  1. コントロール パネルを開きます。
  2. システムとセキュリティ > BitLocker ドライブ暗号化 に移動します。

  3. 「オペレーティング システム ドライブ」セクションで、C: ドライブの BitLocker を有効にする をクリックします。

  4. BitLocker ウィザードが開始されます。回復キーをバックアップする方法を選択します。

    • Microsoft アカウントに保存: ホーム ユーザーに推奨します。キーはオンラインの Microsoft アカウントに保存されます。
    • ファイルに保存: キーをファイルに保存しますテキストの。必ず安全な場所に保管してください (例: 別の USB ドライブ、安全なネットワーク共有)。
    • 回復キーの印刷: キーを印刷します。物理的に安全な場所に保管してください。
    • 企業向けヒント: 企業環境では、一元管理のために GPO または Intune 経由で回復キーを Azure AD または Active Directory ドメイン サービス (AD DS) に自動的に保存する必要があります [5]。

  5. ドライブを暗号化する方法を選択します。

    • 使用中のディスク領域のみを暗号化: 最速で、新しいドライブまたは空のドライブに最適です。
    • ドライブ全体を暗号化: 速度は遅くなりますが、すべてのデータ (削除されたデータを含む) が確実に暗号化されます。既存のデータがあるドライブに推奨されます。

  6. 暗号化モードを選択します。

    • 新しい暗号化モード (XTS-AES): 固定ドライブに推奨されます。
    • 互換モード (AES-CBC): 古いシステムで使用できるリムーバブル ドライブ用。

  7. 設定を確認し、[暗号化の開始] をクリックします。

  8. BitLocker は暗号化プロセスを開始するために再起動する必要があります。再起動後、暗号化はバックグラウンドで続行されます。

3. データ ドライブの BitLocker の有効化 (固定およびリムーバブル)

プロセスは似ていますが、ロック解除オプションにいくつかの違いがあります。

  1. コントロール パネル > システムとセキュリティ > BitLocker ドライブ暗号化 を開きます。
  2. [固定データ ドライブ] または [リムーバブル ドライブ] セクションで、目的のドライブの [BitLocker を有効にする] をクリックします。

  3. ドライブのロックを解除する方法を選択します。

    • パスワードを使用してドライブのロックを解除する: ドライブにアクセスするためのパスワードを設定します。
    • スマート カードを使用してユニットのロックを解除します: スマート カードが必要です。
    • このマシンで自動的にロックを解除: 固定ドライブの場合、オペレーティング システムの起動時にドライブのロックを自動的に解除できます (OS ドライブも BitLocker で暗号化されている場合)。

  4. 回復キーをバックアップします (セクション 2 で説明されているオプションに従って)。

  5. 暗号化のタイプとモードを選択し、プロセスを開始します。

4. BitLocker 回復キーの管理

回復キーは、問題 (パスワードを忘れた場合、TPM 障害など) が発生した場合にデータにアクセスするために不可欠です。

  1. コントロール パネル > システムとセキュリティ > BitLocker ドライブ暗号化
  2. [回復キーを目的のドライブにバックアップ] をクリックします。

  3. ファイルに保存したり、印刷したり、Microsoft アカウントに再度保存したりできます。

  4. ステータスを確認してキー ID を取得するコマンド: コマンド プロンプト (管理者) を開き、次を実行します。 cmd 管理-bde -ステータス 「」 回復キー ID を取得するには:cmd 管理-bde -プロテクター C: -get 「」 「キー ID」を使用して、Azure AD または Active Directory で回復キーを見つけることができます。

検証とテスト

BitLocker がアクティブで正しく動作していることを検証することが重要です。

1. 暗号化ステータスの確認

  1. ファイル エクスプローラーを開きます。

  2. 暗号化されたドライブに鍵のアイコンが表示され、BitLocker がアクティブであることが示されます。

  3. コマンド プロンプト (管理者) を開き、「manage-bde -status」コマンドを実行します。

  4. 「変換ステータス」が「完全暗号化」、「保護ステータス」が「保護有効」であることを確認します。

2. 回復キーのテスト

  1. 回復状況をシミュレートします: テスト環境または用心して、BIOS/UEFI で TPM を一時的に無効にするか、ディスクを別のコンピューターに移動してみることができます。
  2. Windows を起動すると、BitLocker は回復モードに入り、回復キーを要求する必要があります。
  3. 保存した回復キーを入力して、機能するかどうかを確認します。

セキュリティのヒントとベスト プラクティス

  • 一元管理: エンタープライズ環境では、Microsoft Intune またはグループ ポリシー オブジェクト (GPO) を使用して、暗号化ポリシーの適用や回復キーの Azure AD または AD DS への自動バックアップなど、BitLocker を一元管理します [5]。
  • 安全なキーの保管: 暗号化されているのと同じディスクに回復キーを保管しないでください。パスワード保管庫など、別の安全な場所を使用します。暗号化された USB またはディレクトリ サービスから。
  • TPM は必須: セキュリティを強化し、BitLocker 管理を容易にするために、TPM 2.0 を搭載したデバイスを優先します。
  • プリブート PIN/パスワード: オペレーティング システム ドライブのセキュリティを強化するには、TPM に加えてプリブート PIN またはパスワードを設定することを検討してください。これにより、ユーザーは Windows が読み込まれる前に PIN を入力する必要があり、コールド ブート攻撃から保護されます。
  • リムーバブル ドライブの暗号化: 機密データが含まれる可能性のあるすべてのリムーバブル ドライブ (USB、外付け HD) の暗号化を奨励または要求します。
  • 定期的なレビュー: デバイスの暗号化ステータスと回復キーのアクセス可能性を定期的にチェックします。
  • ユーザー教育: BitLocker の重要性、回復キーの管理方法、問題が発生した場合の対処法についてユーザーを教育します。

一般的なトラブルシューティング

  • BitLocker がアクティブ化されない: TPM がアクティブ化されており、BIOS/UEFI で正しく構成されているかどうかを確認します。ディスクに EFI/UEFI システム パーティションがあることを確認してください (オペレーティング システム ドライブの場合)。アクティブ化を妨げている可能性があるグループ ポリシーを確認します。
  • 起動時に回復キーの要求: これは、ハードウェアに変更があった場合 (BIOS/UEFI アップデート、マザーボードの変更など)、または TPM が無効になっている場合に発生することがあります。回復キーを入力します。頻繁に発生する場合は、根本原因 (不安定な TPM、ハードウェアの問題など) を調査してください。
  • 回復キーの紛失: 回復キーを紛失し、アクセス可能な場所にバックアップがない場合、暗号化されたドライブ上のデータは回復できない可能性があります。このため、安全なバックアップが非常に重要です。
  • パフォーマンスの低下: リアルタイムの暗号化と復号化により、特に古いハードウェアではパフォーマンスが若干低下する可能性があります。ハードウェアがパフォーマンス要件を満たしていることを確認してください。
  • GPO/Intune の問題: BitLocker が GPO または Intune 経由で管理されており、問題がある場合は、ポリシーの適用、デバイス上のイベント ログ、およびキー バックアップのための Azure AD/AD DS への接続を確認してください。

結論

BitLocker を使用したディスク暗号化は、Windows デバイス上の保存データを保護するための強力かつ不可欠なツールです。 BitLocker を実装することにより、組織はハードウェアの盗難、紛失、または不適切な廃棄が発生した場合でも、機密情報を不正アクセスから確実に保護できます。 BitLocker の効果を最大限に高めるには、正しい構成、回復キーの安全な管理、ベスト プラクティスの順守が重要です。このガイドにより、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアは、環境内のデータ セキュリティを強化するための準備を整え、現在の要件に準拠したより堅牢なセキュリティ体制に貢献できます。

参考文献:

[1] Microsoft Learn。 BitLocker の概要。入手可能場所: https://learn.microsoft.com/pt-br/windows/security/operating-system-security/data-protection/bitlocker/bitlocker-overview [2] Microsoft Learn。 BitLocker 計画ガイド。入手可能場所: https://learn.microsoft.com/pt-br/windows/security/operating-system-security/data-protection/bitlocker/planning-guide [3] Microsoft Learn。 Windows でのデバイス暗号化。入手可能場所: [https://support.microsoft.com/pt-br/windows/cryptia-de-dispósito-no-windows-cf7e2b6f-3e70-4882-9532-18633605b7df] (https://support.microsoft.com/pt-br/windows/cryptia-de-dispósito-no-windows-cf7e2b6f-3e70-4882-9532-18633605b7df) [4] Microsoft Learn。 トラステッド プラットフォーム モジュール テクノロジーの概要。入手可能場所: https://learn.microsoft.com/en-us/windows/security/information-protection/tpm/tpm-overview [5] Microsoft Learn。 BitLocker 回復キーをバックアップします。入手可能場所: https://learn.microsoft.com/pt-br/windows/security/operating-system-security/data-protection/bitlocker/bitlocker-recovery-guide-plan#bitlocker-recovery-key-storage