Windows での BitLocker デバイスの暗号化の概要

適用対象

  • Windows 10
  • Windows 11
  • Windows Server 2016以上

このトピックでは、BitLocker デバイス暗号化を使用して、デバイスを実行しているデバイス上のデータを保護する方法Windows。 BitLocker に関する一般的な概要とトピックの一覧については 、「BitLocker」を参照してください

出張の際は、組織の機密データも同時に移動することになります。 機密データがどこに保存されているとしても、未承認のアクセスから保護する必要があります。 Windows には、Windows 2000 オペレーティング システムの暗号化ファイル システム以降、悪意のある攻撃者から保護する保存データ保護ソリューションを提供する点で長い歴史があります。 最近では、BitLocker はフル ドライブとポータブル ドライブの暗号化を提供しました。 Windows では、既存のオプションを強化し、新しい方法を提供することで、データ保護が向上し続けています。

表 2 に、特定のデータ保護に関する懸念事項と、Windows 11、Windows 10、および Windows 7 で対処する方法を示します。

表 2. 11、Windows、および 7 のWindows 10保護Windows保護

Windows 7 Windows 11 および Windows 10
BitLocker を使って PIN によってスタートアップを保護している場合、キオスクなどの PC をリモートで再起動することができません。 最新Windowsデバイスは、BitLocker デバイス暗号化によってますます保護され、コールド ブート攻撃から BitLocker 暗号化キーをシームレスに保護するために SSO をサポートしています。

ネットワーク ロック解除により、内部ネットワークに接続されると PC が自動的に起動します。
BitLocker を有効にすると、プロビジョニング プロセスに数時間かかることがあります。 BitLocker の事前プロビジョニング、ハード ドライブの暗号化、および使用領域のみの暗号化により、管理者は新しいコンピューターで BitLocker をすぐに有効にできるようになります。
自己暗号化ドライブ (SED) では、BitLocker の使用はサポートされていません。 BitLocker では、暗号化されたハード ドライブへの暗号化のオフロードがサポートされます。
管理者は、別個のツールを使って暗号化されたハード ドライブを管理する必要があります。 BitLocker では、オンボード暗号化ハードウェア ビルトインによる暗号化されたハード ドライブがサポートされるため、管理者は使い慣れた BitLocker 管理ツールを使って管理できます。
新しいフラッシュ ドライブの暗号化に、20 分以上かかる場合があります。 BitLocker To Go で使用されるスペースのみ暗号化を使用すると、ユーザーはリムーバブル データ ドライブを数秒で暗号化できます。
システム構成の変更が生じたとき、BitLocker により回復キーの入力がユーザーに求められることがあります。 BitLocker では、ディスクの破損が発生したときや、PIN またはパスワードを紛失したときのみ、回復キーの入力がユーザーに求められます。
ユーザーは、PIN を入力して PC を起動し、パスワードを入力して Windows にサインインする必要があります。 最新Windowsデバイスは、BitLocker デバイス暗号化でますます保護され、コールド ブート攻撃から BitLocker 暗号化キーを保護するために SSO をサポートしています。

ドライブとファイルの暗号化の準備

理想的な種類のセキュリティ対策とは、実装および使用中もユーザーに対して透過的な対策です。 セキュリティ機能が原因で遅延や問題が発生する可能性は常にあるため、ユーザーがセキュリティをバイパスしようとする可能性は高くなります。 このような状況は、特にデータ保護に当てはまりますが、まさに組織が避けるべきシナリオです。 ボリューム全体、リムーバブル デバイス、または個々のファイルの暗号化を計画している場合でも、Windows 11 および Windows 10 は、合理化された使い方のできるソリューションを提供することでニーズを満たします。 実際、事前にいくつかの手順を実行することで、データ暗号化の準備を行い、展開を迅速かつスムーズに行うことができます。

TPM の事前プロビジョニング

Windows 7 では、TPM の使用準備には次のような課題がありました。

  • BIOS で TPM を有効にできるため、他のユーザーは BIOS 設定に移動して有効にするか、ドライバーをインストールして Windows 内から有効にする必要があります。
  • TPM を有効にした場合、再起動が 1 回以上必要になることがあります。

基本的に、これはかなり面倒でした。 IT スタッフが新しい PC をプロビジョニングした場合はそのスタッフがこのすべてを処理しましたが、既にユーザーの手元にあるデバイスに BitLocker を追加する場合、そのユーザーが技術的な問題に取り組み、IT に問い合わせてサポートを受けたり、BitLocker をそのまま無効にしたりしていました。

Microsoft には、オペレーティング システムWindows TPM をWindows 10するためのインストルメンテーションが 11 と 11 に含まれています。 BIOS にアクセスする必要はなく、再起動が必要なシナリオはすべてなくなりました。

ハード ドライブの暗号化の展開

BitLocker は、システム ドライブとデータ ドライブの両方など、ハード ドライブ全体を暗号化できます。 BitLocker の事前プロビジョニングにより、BitLocker が有効な新しい PC のプロビジョニングに必要な時間を大幅に減らすことができます。 Windows 11 と Windows 10 を使用すると、管理者は Windows をインストールする前に、またはユーザーの操作を行わずに自動展開タスク シーケンスの一部として、Windows プレインストール環境内から BitLocker と TPM を有効にできます。 使用済みのディスク領域のみの暗号化と、大部分が空のドライブ (Windows がまだインストールされていないため) を組み合わせた場合、BitLocker の有効化には数秒しかかかりません。 以前のバージョンの Windows では、管理者が Windows のインストール後に BitLocker を有効にする必要がありました。 このプロセスは自動化できましたが、BitLocker はドライブ全体を暗号化する必要がありました。このプロセスには、ドライブのサイズとパフォーマンスに応じて数時間から 1 日以上かかったため、展開が大幅に遅れることがありました。 Microsoft は、11 および 11 の複数の機能を使用してこのWindows改善Windows 10。

BitLocker デバイスの暗号化

この手順Windows 8.1、Windowsスタンバイをサポートするデバイスで BitLocker デバイスの暗号化を自動的に有効にします。 Windows 11 および Windows 10 では、Microsoft は、モダン スタンバイデバイスや Windows 10 Home エディションまたは Windows 11 を実行するデバイスなど、より広範なデバイスで BitLocker デバイス暗号化のサポートを提供しています。

Microsoft は、将来のほとんどのデバイスがテスト要件に合格すると予想しています。これにより、BitLocker デバイスの暗号化は最新のデバイス間でWindowsされます。 BitLocker デバイス暗号化は、デバイス全体のデータ暗号化を透過的に実装することで、システムをさらに保護します。

BitLocker の標準的な実装とは異なり、BitLocker デバイスの暗号化は自動的に有効になっているので、デバイスは常に保護されます。 次の一覧に、このしくみを示します。

  • 11 または Windows Windows 10 のクリーン インストールが完了し、アウトオブボックス エクスペリエンスが終了すると、コンピューターは最初に使用する準備が完了します。 この準備の一環として、BitLocker デバイスの暗号化は、オペレーティング システム ドライブ上で初期化され、コンピューター上の固定データ ドライブがクリア キーで初期化されます (これは、標準の BitLocker 中断状態と同じです)。 この状態では、エクスプローラーに警告アイコンが表示Windowsされます。 次の箇条書きで説明したように、TPM プロテクターが作成され、回復キーがバックアップされると、黄色の警告アイコンが削除されます。
  • デバイスがドメインに参加していない場合、デバイスで管理者特権を与えられている Microsoft アカウントが必要です。 管理者が Microsoft アカウントを使ってサインインすると、クリア キーが削除され、回復キーがオンラインの Microsoft アカウントにアップロードされ、TPM 保護機能が作成されます。 デバイスに回復キーが必要な場合、代替デバイスを使って回復キー アクセス URL に移動し、自分の Microsoft アカウント資格情報を使って回復キーを取得するように求めるガイドがユーザーに表示されます。
  • ユーザーがドメイン アカウントを使ってサインインした場合、ユーザーがデバイスをドメインに参加させて、回復キーが Active Directory ドメイン サービス (AD DS) に正常にバックアップされるまでクリア キーは削除されません。 [コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[BitLocker ドライブ暗号化]、[オペレーティング システム ドライブ] グループ ポリシー設定を有効にし、[AD DS にオペレーティング システム ドライブの回復情報が格納されるまで BitLocker を有効にしない] オプションをオンにします。 この構成では、コンピューターがドメインに参加して、回復キーが AD DS にバックアップされ、TPM 保護機能が作成されて、クリア キーが削除されると、回復パスワードが自動的に作成されます。
  • ドメイン アカウントを使ったサインインと同様、ユーザーがデバイスで Azure AD アカウントにログオンすると、クリア キーが削除されます。 上の箇条書きで説明したように、ユーザーが Azure AD で認証されると、回復パスワードが自動的に作成されます。 次に、回復キーが Azure AD にバックアップされて、TPM 保護機能が作成され、クリア キーが削除します。

Microsoft では、BitLocker デバイスの暗号化をサポートする任意のシステムで有効にすることを推奨していますが、次のレジストリ設定を変更すると、BitLocker デバイスの自動暗号化プロセスを防止できます。

  • サブキー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
  • : PreventDeviceEncryption が True (1)
  • 種類: REG_DWORD

管理者は、Microsoft BitLocker 管理と監視 (MBAM) を使用して BitLocker デバイスの暗号化が有効になっているドメインに参加しているデバイスを管理できます。 この場合、BitLocker デバイスの暗号化によって、追加の BitLocker オプションが自動的に使用可能になります。 変換や暗号化は必要なく、構成の変更が必要な場合は、設定された BitLocker ポリシー全体を MBAM が管理できます。

注意

BitLocker デバイスの暗号化では、XTS-AES 128 ビット暗号化方法が使用されます。 別の暗号化方法や暗号強度を使用する必要がある場合は、デバイスを最初に構成して復号化する必要があります (既に暗号化されている場合)。 その後、異なる BitLocker 設定を適用できます。

使用済みのディスク領域のみの暗号化

以前のバージョンの Windows の BitLocker は、ボリューム上のすべてのバイトを暗号化していたため (データのない部分を含む)、ドライブの暗号化に時間がかかることがありました。 ドライブが移動または削除された機密データが以前に含まれている場合は特に、ドライブを暗号化する最も安全な方法です。 その場合、機密データのトレースは、未使用としてマークされたドライブの一部に残る可能性があります。 しかし、データを書き込み時にのみ暗号化できる場合に新しいドライブを暗号化する理由はありません。 暗号化時間を短縮するために、BitLocker Windows 11 Windows 10データの暗号化を選択できます。 ドライブ上のデータ量によっては、このオプションにより暗号化の時間を 99% 以上短縮できます。 ただし、機密データが暗号化されていない状態で既に保存されている可能性がある既存のボリュームの使用済みの領域のみ暗号化する際は注意が必要です。新しい暗号化データによって上書きされるまで、ディスク回復ツールを使ってそれらのセンターを回復できるためです。 一方、まったく新しいボリューム上の使用済みの領域のみ暗号化すると、新しいデータがすべてディスクへの書き込み時に暗号化されるため、セキュリティ上のリスクを引き起こさずに展開時間を大幅に短縮できます。

暗号化されたハード ドライブのサポート

SED は何年も前から使用可能でしたが、以前のバージョンの Windows では、ドライブに重要なキー管理機能がなかったため使用がサポートされていませんでした。 Microsoft は、ストレージ ベンダーと協力してハードウェア機能を強化してきたため、BitLocker では暗号化されたハード ドライブと呼ばれる次世代の SED がサポートされるようになりました。 暗号化されたハード ドライブには、ドライブ上のデータを暗号化するオンボードの暗号化機能が備わっているため、暗号化計算を PC のプロセッサからドライブ自体にオフロードし、目的に特化された専用ハードウェアを使ってドライブを迅速に暗号化することにより、ドライブとシステムの両方のパフォーマンスが向上します。 Windows 11 または Windows 10 でドライブ全体の暗号化を使用する場合は、ハード ドライブの製造元とモデルを調査して、暗号化されたハード ドライブがセキュリティと予算の要件を満たすかどうかを判断してください。 暗号化されたハード ドライブについて詳しくは、「 暗号化されたハード ドライブ」をご覧ください。

プリブート情報保護

ほとんどのセキュリティ制御と同様に、情報保護の効果的な実装では、使いやすさとセキュリティが考慮されます。 通常、ユーザーはシンプルなセキュリティ エクスペリエンスを好みます。 実際、セキュリティ ソリューションが透過的になればなるほど、ユーザーが従う可能性が高くなります。 組織がコンピューターの状態やユーザーの意図に関係なく PC 上の情報を保護することは非常に重要です。 この保護がユーザーにとって面倒なものとならないようにする必要があります。 かつてはよく見られた好ましくない状況として、ユーザーがプリブート時に入力を求められ、Windows ログオン時に再び求められることがありました。 ユーザーに入力を複数回求めることは避ける必要があります。 Windows 11 および Windows 10 では、最新のデバイス上のプレブート環境や、堅牢な情報保護構成が設定されている古いデバイスでも、真の SSO エクスペリエンスを実現できます。 分離された TPM は、BitLocker の暗号化キーを保存時でも安全に保護ことができ、オペレーティング システム ドライブを安全にロック解除することができます。 キーが使用中のためメモリ内にあるときは、ハードウェアと Windows 機能を組み合わせるとキーをセキュリティで保護し、コールド ブート攻撃による未承認のアクセスを防ぐことができます。 PIN ベースのロック解除などの他の対策も使うことができますが、わかりやすいものではありません。デバイスの構成によっては、キー保護に関してセキュリティが強化されないことがあります。 詳細については 、「BitLocker の対策」を参照してください

パスワードと PIN の管理

システム ドライブで BitLocker が有効になっており、PC に TPM が搭載されている場合、BitLocker がドライブをロック解除する前に PIN を入力をユーザーに求めることを選択できます。 このような PIN の要求により、PC に物理的にアクセスできる攻撃者が Windows ログオンを表示することさえできないようにすることができます。この結果、攻撃者がユーザー データ ファイルやシステム ファイルにアクセスしたり、変更したりすることが事実上不可能になります。

スタートアップ時に PIN を要求すると、2 番目の認証要素 (2 番目の "知っている情報") として機能するため、セキュリティ機能として役立ちます。 ただし、この構成にはいくらかコストがかかります。 最も大きなコストのかかるものには、定期的な PIN の変更の要求があります。 Windows 7 および Windows Vista オペレーティング システムで BitLocker を使っていた企業では、ユーザーが BitLocker の PIN またはパスワードを更新するとき、システム管理者に連絡する必要がありました。 この要求により管理コストが増加しただけでなく、ユーザーが BitLocker の PIN またはパスワードを定期的に変更する意欲を低下させていました。 Windows 11 人Windows 10ユーザーは、管理者の資格情報を使用せずに、BitLocker PIN とパスワードを自身で更新できます。 この機能によりサポート コストが削減されるだけでなく、ユーザーが PIN とパスワードをより頻繁に変更するようになるため、セキュリティも向上します。 さらに、最新のスタンバイ デバイスでは、起動に PIN は必要とされません。起動頻度が低く、システムの攻撃表面をさらに小さくする他の軽減策を備えたデバイスです。 スタートアップ セキュリティのしくみと、11 および Windows 10 11 および Windowsが提供する対策の詳細については、「Protect BitLocker from pre-boot attacks」を参照してください

ネットワーク ロック解除の構成

組織によって、地域に固有のデータ セキュリティ要件があります。 これは、価値の高いデータが PC に保存されている環境ではよくあります。 ネットワーク環境が重要なデータ保護を提供し、必須の認証を強制している場合があります。そのため、それらの PC を建物から持ち去ったり、企業ネットワークから切断してはならないということがポリシーに示されています。 物理的なセキュリティ ロックやジオフェンスなどの安全対策は、このポリシーを事後対応型コントロールとして強制するのに役立つことがあります。 これ以外に、PC が企業ネットワークに接続されているときのみデータ アクセスを許可する予防型のセキュリティ コントロールが必要です。

ネットワーク ロック解除により、Windows 展開サービスが実行されているワイヤード (有線) 企業ネットワークに接続されたときに、BitLocker で保護されている PC を自動的に起動できるようになります。 PC が企業ネットワークに接続されていないときはいつでも、ユーザーはドライブをロック解除するために PIN を入力する必要があります (PIN ベースのロック解除が有効な場合)。 ネットワーク ロック解除には、次のインフラストラクチャが必要です。

  • 動的ホスト構成プロトコル (DHCP) をサポートする Unified Extensible Firmware Interface (UEFI) ファームウェア バージョン 2.3.1 以降がインストールされたクライアント PC。
  • 少なくとも展開サービスの役割Windows Server 2012をWindowsサーバー
  • DHCP サーバーの役割がインストールされたサーバー

ネットワーク ロック解除を構成する方法について詳しくは、「 BitLocker: ネットワーク ロック解除を有効にする方法」をご覧ください。

Microsoft BitLocker Administration and Monitoring

Microsoft Desktop Optimization Pack の一部である MBAM により、BitLocker および BitLocker To Go の管理とサポートが容易になります。 最新バージョンの MBAM 2.5 Service Pack 1 には、次の主な機能があります。

  • 管理者は、企業全体のクライアント コンピューター上のボリュームを暗号化するプロセスを自動化できます。
  • セキュリティ担当者は、個々のコンピューターまたは企業全体の準拠状態をすばやく判断できます。
  • Microsoft Microsoft Endpoint Configuration Manager を使用して、レポートとハードウェアの一元管理を提供します。
  • ヘルプ デスクの負荷を軽減し、BitLocker 回復要求によりエンド ユーザーをサポートします。
  • エンド ユーザーは、セルフ サービス ポータルを使って、暗号化されたデバイスを自分で回復できます。
  • セキュリティ担当者は、回復キー情報へのアクセスを簡単に監査できます。
  • 企業データの保護を保証することにより、Windows Enterprise ユーザーがどこにいても作業を継続できるようにします。
  • 社内に設定した BitLocker 暗号化のポリシー オプションを強制します。
  • 既存の管理ツール (Microsoft Endpoint Configuration Manager など) と統合します。
  • IT がカスタマイズ可能な回復ユーザー エクスペリエンスを提供します。
  • 11 Windowsと 11 をサポートWindows 10。

入手方法など、MBAM について詳しくは、MDOP TechCenter の Microsoft BitLocker Administration and Monitoring に関するページ をご覧ください。