Windows での BitLocker デバイスの暗号化の概要

[アーティクル]
07/13/2022

適用対象

Windows 10
Windows 11
Windows Server 2016 以上

この記事では、BitLocker デバイス暗号化が Windows を実行しているデバイス上のデータを保護する方法について説明します。 BitLocker に関する一般的な概要と記事の一覧については、 BitLocker を参照してください。

出張の際は、組織の機密データも同時に移動することになります。機密データがどこに保存されているとしても、未承認のアクセスから保護する必要があります。 Windows には、Windows 2000 オペレーティングシステムの暗号化ファイルシステム以降、悪意のある攻撃者から保護する保存データ保護ソリューションを提供する点で長い歴史があります。最近では、BitLocker によってフルドライブとポータブルドライブの暗号化が提供されています。 Windows は、既存のオプションを改善し、新しい戦略を提供することで、データ保護を一貫して改善します。

表 2 に、特定のデータ保護に関する懸念事項と、Windows 11、Windows 10、Windows 7 での対処方法を示します。

表 2. Windows 11、Windows 10、Windows 7 のデータ保護

Windows 7	Windows 11とWindows 10
BitLocker を PIN と共に使用してスタートアップを保護する場合、キオスクなどの PC をリモートで再起動することはできません。	最新の Windows デバイスは、すぐに使用できる BitLocker デバイス暗号化で保護され、コールドブート攻撃から BitLocker 暗号化キーをシームレスに保護するための SSO をサポートしています。ネットワークロック解除により、内部ネットワークに接続されると PC が自動的に起動します。
BitLocker を有効にすると、プロビジョニングプロセスに数時間かかることがあります。	BitLocker の事前プロビジョニング、ハードドライブの暗号化、および使用領域のみの暗号化により、管理者は新しいコンピューターで BitLocker をすぐに有効にできるようになります。
BitLocker と自己暗号化ドライブ (SED) の使用はサポートされていません。	BitLocker では、暗号化されたハードドライブへの暗号化のオフロードがサポートされます。
管理者は、別個のツールを使って暗号化されたハードドライブを管理する必要があります。	BitLocker では、オンボード暗号化ハードウェアビルトインによる暗号化されたハードドライブがサポートされるため、管理者は使い慣れた BitLocker 管理ツールを使って管理できます。
新しいフラッシュドライブの暗号化に、20 分以上かかる場合があります。	BitLocker To Go の空き領域のみの暗号化を使用すると、ユーザーはリムーバブルデータドライブを数秒で暗号化できます。
システム構成の変更が生じたとき、BitLocker により回復キーの入力がユーザーに求められることがあります。	BitLocker では、ディスクの破損が発生したとき、または PIN またはパスワードを紛失した場合にのみ、ユーザーが回復キーを入力する必要があります。
ユーザーは、PIN を入力して PC を起動し、パスワードを入力して Windows にサインインする必要があります。	最新の Windows デバイスは、すぐに使用できる BitLocker デバイス暗号化によってますます保護され、コールドブート攻撃から BitLocker 暗号化キーを保護するために SSO がサポートされています。

ドライブとファイルの暗号化の準備

最適な種類のセキュリティ対策は、実装時と使用時にユーザーに対して透過的です。セキュリティ機能が原因で遅延や困難が発生するたびに、ユーザーがセキュリティをバイパスしようとする可能性が高くなります。このような状況は、特にデータ保護に当てはまりますが、まさに組織が避けるべきシナリオです。ボリューム全体、リムーバブルデバイス、または個々のファイルの暗号化を計画しているかどうかに関係なく、Windows 11とWindows 10は、合理化された使用可能なソリューションを提供することでニーズを満たします。実際、事前にいくつかの手順を実行することで、データ暗号化の準備を行い、展開を迅速かつスムーズに行うことができます。

TPM の事前プロビジョニング

Windows 7 では、TPM の使用準備には次のような課題がありました。

BIOS で TPM を有効にできるため、他のユーザーは BIOS 設定に移動して有効にするか、ドライバーをインストールして Windows 内から有効にする必要があります。
TPM を有効にした場合、再起動が 1 回以上必要になることがあります。

基本的に、これはかなり面倒でした。 IT スタッフが新しい PC をプロビジョニングした場合はそのスタッフがこのすべてを処理しましたが、既にユーザーの手元にあるデバイスに BitLocker を追加する場合、そのユーザーが技術的な問題に取り組み、IT に問い合わせてサポートを受けたり、BitLocker をそのまま無効にしたりしていました。

Microsoft には、オペレーティングシステムが TPM を完全に管理できるようにするWindows 11とWindows 10にインストルメンテーションが含まれています。 BIOS にアクセスする必要はなく、再起動が必要なすべてのシナリオが排除されました。

ハードドライブの暗号化の展開

BitLocker は、システムドライブとデータドライブの両方など、ハードドライブ全体を暗号化できます。 BitLocker の事前プロビジョニングにより、BitLocker が有効な新しい PC のプロビジョニングに必要な時間を大幅に減らすことができます。 Windows 11とWindows 10を使用すると、管理者は Windows をインストールする前に、またはユーザーの操作なしで自動展開タスクシーケンスの一部として、Windows プレインストール環境内から BitLocker と TPM を有効にすることができます。使用済みディスク領域のみ暗号化とほとんど空のドライブ (Windows がまだインストールされていないため) と組み合わせると、BitLocker を有効にするのに数秒しかかかりません。

以前のバージョンの Windows では、管理者が Windows のインストール後に BitLocker を有効にする必要がありました。このプロセスは自動化できますが、BitLocker ではドライブ全体を暗号化する必要があります。プロセスは、ドライブのサイズとパフォーマンスに応じて数時間から 1 日以上かかる可能性があり、デプロイが遅れます。 Microsoft は、Windows 11とWindows 10の複数の機能を通じて、このプロセスを改善しました。

BitLocker によるデバイスの暗号化

Windows 8.1以降、Windows では、モダンスタンバイをサポートするデバイスで BitLocker デバイス暗号化が自動的に有効になります。 Windows 11とWindows 10では、Microsoft では、モダンスタンバイデバイスや、エディションまたはWindows 11を実行するデバイスなど、さまざまなデバイスで BitLocker デバイス暗号化をサポートWindows 10 Home提供しています。

Microsoft は、将来的にほとんどのデバイスがテスト要件を満たすと予想しています。これにより、BitLocker デバイスの暗号化が最新の Windows デバイス全体で普及します。 BitLocker デバイス暗号化は、デバイス全体のデータ暗号化を透過的に実装することで、システムをさらに保護します。

標準的な BitLocker 実装とは異なり、BitLocker デバイスの暗号化は自動的に有効になり、デバイスは常に保護されます。次の一覧に、このしくみを示します。

Windows 11またはWindows 10のクリーンインストールが完了し、すぐに使用できるエクスペリエンスが完了すると、コンピューターは最初に使用する準備が整います。この準備の一環として、BitLocker デバイス暗号化はオペレーティングシステムドライブで初期化され、コンピューター上の固定データドライブはクリアキーで初期化されます (これは、標準的な BitLocker 中断状態に相当します)。この状態では、Windows エクスプローラーにドライブに警告アイコンが表示されます。次の箇条書きで説明されているように、TPM 保護機能が作成され、回復キーがバックアップされると、黄色の警告アイコンが削除されます。
デバイスがドメインに参加していない場合は、デバイスに対する管理者特権が付与されている Microsoft アカウントが必要です。管理者が Microsoft アカウントを使ってサインインすると、クリアキーが削除され、回復キーがオンラインの Microsoft アカウントにアップロードされ、TPM 保護機能が作成されます。デバイスに回復キーが必要な場合、代替デバイスを使って回復キーアクセス URL に移動し、自分の Microsoft アカウント資格情報を使って回復キーを取得するように求めるガイドがユーザーに表示されます。
ユーザーがドメインアカウントを使用してサインインした場合、ユーザーがデバイスをドメインに参加し、回復キーが Active Directory Domain Services (AD DS) に正常にバックアップされるまで、クリアキーは削除されません。 [コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[BitLocker ドライブ暗号化]、[オペレーティングシステムドライブ] グループポリシー設定を有効にし、[AD DS にオペレーティングシステムドライブの回復情報が格納されるまで BitLocker を有効にしない] オプションをオンにします。この構成では、コンピューターがドメインに参加して、回復キーが AD DS にバックアップされ、TPM 保護機能が作成されて、クリアキーが削除されると、回復パスワードが自動的に作成されます。
ドメインアカウントを使ったサインインと同様、ユーザーがデバイスで Azure AD アカウントにログオンすると、クリアキーが削除されます。上の箇条書きで説明したように、ユーザーが Azure AD で認証されると、回復パスワードが自動的に作成されます。次に、回復キーが Azure AD にバックアップされて、TPM 保護機能が作成され、クリアキーが削除します。

Microsoft では、BitLocker デバイス暗号化をサポートするすべてのシステムで BitLocker デバイス暗号化を有効にすることをお勧めしますが、次のレジストリ設定を変更することで、BitLocker デバイス暗号化の自動プロセスを防止できます。

サブキー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
値: PreventDeviceEncryption が True (1)
種類: REG_DWORD

管理者は、Microsoft BitLocker の管理と監視 (MBAM) を使用して、BitLocker デバイス暗号化が有効になっているドメイン参加済みデバイスを管理できます。この場合、BitLocker デバイスの暗号化により、追加の BitLocker オプションが自動的に使用できるようになります。変換や暗号化は必要なく、構成の変更が必要な場合は、設定された BitLocker ポリシー全体を MBAM が管理できます。

注意

BitLocker デバイス暗号化では、XTS-AES 128 ビット暗号化方法が使用されます。別の暗号化方法や暗号強度を使用する必要がある場合は、まずデバイスを構成して復号化する必要があります (既に暗号化されている場合)。その後、さまざまな BitLocker 設定を適用できます。

使用済みのディスク領域のみの暗号化

以前の Windows バージョンの BitLocker は、ボリューム上のすべてのバイトを暗号化するため、ドライブの暗号化に長い時間がかかる可能性があります (データがない部分も含む)。ドライブを暗号化する最も安全な方法は、特にドライブに以前に移動または削除された機密データが含まれていた場合です。その場合、機密データのトレースは、未使用としてマークされたドライブの部分に残る可能性があります。しかし、データを書き込み時にのみ暗号化できる場合に新しいドライブを暗号化する理由はありません。暗号化時間を短縮するために、Windows 11およびWindows 10の BitLocker を使用すると、ユーザーは自分のデータだけを暗号化できます。ドライブ上のデータ量によっては、このオプションにより暗号化の時間を 99% 以上短縮できます。ただし、機密データが暗号化されていない状態で既に格納されている可能性がある既存のボリューム上の使用済み領域のみを暗号化する場合は注意してください。ただし、これらのセクターは、新しい暗号化されたデータによって上書きされるまでディスク回復ツールを使用して回復できるためです。これに対し、まったく新しいボリューム上の使用済み領域のみを暗号化すると、ディスクに書き込まれるすべての新しいデータが暗号化されるため、セキュリティリスクを伴わずにデプロイ時間を大幅に短縮できます。

暗号化されたハードドライブのサポート

SED は何年も前から使用可能でしたが、以前のバージョンの Windows では、ドライブに重要なキー管理機能がなかったため使用がサポートされていませんでした。 Microsoft は、ストレージベンダーと協力してハードウェア機能を強化してきたため、BitLocker では暗号化されたハードドライブと呼ばれる次世代の SED がサポートされるようになりました。暗号化されたハードドライブには、ドライブ上のデータを暗号化するオンボードの暗号化機能が備わっているため、暗号化計算を PC のプロセッサからドライブ自体にオフロードし、目的に特化された専用ハードウェアを使ってドライブを迅速に暗号化することにより、ドライブとシステムの両方のパフォーマンスが向上します。 Windows 11またはWindows 10でドライブ全体の暗号化を使用する予定がある場合は、ハードドライブの製造元とモデルを調査して、暗号化されたハードドライブのいずれかがセキュリティと予算の要件を満たしているかどうかを判断することをお勧めします。暗号化されたハードドライブについて詳しくは、「暗号化されたハードドライブ」をご覧ください。

プリブート情報保護

ほとんどのセキュリティ制御と同様に、情報保護の効果的な実装では、使いやすさとセキュリティが考慮されます。通常、ユーザーはシンプルなセキュリティエクスペリエンスを好みます。実際、セキュリティソリューションが透過的になればなるほど、ユーザーが従う可能性が高くなります。コンピューターの状態やユーザーの意図に関係なく、組織が PC 上の情報を保護することが重要です。この保護は、ユーザーに煩雑にしないでください。望ましくない一般的な状況の 1 つは、プレブート中にユーザーに入力を求められた後、Windows サインイン中にもう一度入力を求められた場合です。ユーザーに入力を複数回求めることは避ける必要があります。 Windows 11とWindows 10では、最新のデバイスのプレブート環境や、堅牢な情報保護構成が整っている場合でも、古いデバイスでも真の SSO エクスペリエンスを実現できます。分離された TPM は、BitLocker の暗号化キーを保存時でも安全に保護ことができ、オペレーティングシステムドライブを安全にロック解除することができます。キーが使用中のためメモリ内にあるときは、ハードウェアと Windows 機能を組み合わせるとキーをセキュリティで保護し、コールドブート攻撃による未承認のアクセスを防ぐことができます。 PIN ベースのロック解除などの他の対策は利用できますが、ユーザーフレンドリではありません。デバイスの構成によっては、キー保護に関して追加のセキュリティが提供されない場合があります。詳細については、「 BitLocker の対策」を参照してください。

パスワードと PIN の管理

システムドライブで BitLocker が有効になっており、PC に TPM が搭載されている場合、BitLocker がドライブをロック解除する前に PIN を入力をユーザーに求めることを選択できます。このような PIN 要件により、PC に物理的にアクセスできる攻撃者が Windows サインインにアクセスするのを防ぐことができます。これにより、攻撃者がユーザーデータやシステムファイルにアクセスしたり変更したりすることは事実上不可能になります。

スタートアップ時に PIN を要求すると、2 番目の認証要素 (2 番目の "知っている情報") として機能するため、セキュリティ機能として役立ちます。ただし、この構成にはいくらかコストがかかります。最も大きなコストのかかるものには、定期的な PIN の変更の要求があります。 Windows 7 および Windows Vista オペレーティングシステムで BitLocker を使っていた企業では、ユーザーが BitLocker の PIN またはパスワードを更新するとき、システム管理者に連絡する必要がありました。この要件により、管理コストが増加するだけでなく、ユーザーは BitLocker PIN またはパスワードを定期的に変更する必要がなくなりました。 Windows 11ユーザーとWindows 10 ユーザーは、管理者の資格情報なしで BitLocker PIN とパスワードを自分で更新できます。この機能によりサポートコストが削減されるだけでなく、ユーザーが PIN とパスワードをより頻繁に変更するようになるため、セキュリティも向上します。さらに、モダンスタンバイデバイスにはスタートアップ用の PIN は必要ありません。これらは頻繁に起動せず、システムの攻撃面をさらに軽減するその他の軽減策を備えるように設計されています。スタートアップセキュリティのしくみと、Windows 11とWindows 10が提供する対策の詳細については、「起動前の攻撃から BitLocker を保護する」を参照してください。

ネットワークロック解除の構成

組織によって、地域に固有のデータセキュリティ要件があります。これは、価値の高いデータが PC に保存されている環境ではよくあります。ネットワーク環境では、重要なデータ保護が提供され、必須の認証が強制される場合があります。そのため、ポリシーでは、これらの PC は建物から離れてはいけない、または企業ネットワークから切断すべきでないと規定されています。物理的なセキュリティロックやジオフェンスなどの安全対策は、このポリシーを事後対応型コントロールとして強制するのに役立つことがあります。これ以外に、PC が企業ネットワークに接続されているときのみデータアクセスを許可する予防型のセキュリティコントロールが必要です。

ネットワークロック解除により、Windows 展開サービスが実行されているワイヤード (有線) 企業ネットワークに接続されたときに、BitLocker で保護されている PC を自動的に起動できるようになります。 PC が企業ネットワークに接続されていない場合は常に、ユーザーが PIN を入力してドライブのロックを解除する必要があります (PIN ベースのロック解除が有効になっている場合)。ネットワークロック解除には、次のインフラストラクチャが必要です。

動的ホスト構成プロトコル (DHCP) をサポートする Unified Extensible Firmware Interface (UEFI) ファームウェアバージョン 2.3.1 以降がインストールされたクライアント PC。
Windows 展開サービスの役割を持つ少なくともWindows Server 2012を実行しているサーバー
DHCP サーバーの役割がインストールされたサーバー

ネットワークロック解除機能を構成する方法の詳細については、「 BitLocker: ネットワークロック解除を有効にする方法」を参照してください。

Microsoft BitLocker の管理と監視

Microsoft Desktop 最適化パックの一部である Microsoft BitLocker の管理と監視 (MBAM) により、BitLocker と BitLocker To Go の管理とサポートが容易になります。最新バージョンの MBAM 2.5 Service Pack 1 には、次の主な機能があります。

管理者は、企業全体のクライアントコンピューター上のボリュームを暗号化するプロセスを自動化できます。
セキュリティ担当者は、個々のコンピューターまたは企業全体の準拠状態をすばやく判断できます。
Microsoft Endpoint Configuration Managerを使用して、一元的なレポートとハードウェア管理を提供します。
ヘルプデスクの負荷を軽減し、BitLocker 回復要求によりエンドユーザーをサポートします。
エンドユーザーは、セルフサービスポータルを使って、暗号化されたデバイスを自分で回復できます。
セキュリティ担当者は、回復キー情報へのアクセスを簡単に監査できます。
企業データの保護を保証することにより、Windows Enterprise ユーザーがどこにいても作業を継続できるようにします。
社内に設定した BitLocker 暗号化のポリシーオプションを強制します。
Microsoft Endpoint Configuration Managerなどの既存の管理ツールと統合します。
IT がカスタマイズ可能な回復ユーザーエクスペリエンスを提供します。
Windows 11とWindows 10をサポートします。

重要

企業は MBAM を使用して、メインストリームサポートが 2019 年 7 月に終了するまで、または 2026 年 4 月まで延長サポートを受けられるまで、オンプレミスにドメイン参加している BitLocker を使用してクライアントコンピューターを管理できます。

今後、MBAM の機能はConfiguration Managerに組み込まれる予定です。詳細については、「Configuration Manager テクニカルプレビューバージョン 1909 の機能」を参照してください。

Configuration Managerを使用していない企業は、管理と監視のために、Microsoft エンドポイントマネージャーの Azure AD とMicrosoft Intuneの組み込み機能を使用できます。詳細については、「Intuneを使用したデバイス暗号化の監視」を参照してください。