BitLocker キー管理についてよく寄せられる質問

適用対象

  • Windows 10

リムーバブルデータドライブを認証またはロック解除するにはどうすればよいですか?

リムーバブルデータドライブのロックを解除するには、パスワードまたはスマートカードを使うか、ドメインの資格情報を使ってドライブのロックを解除するように SID プロテクターを構成します。 暗号化を開始した後は、特定のコンピューターで特定のユーザーアカウントを使用して、ドライブのロックが自動的に解除されるようにすることもできます。 システム管理者は、ユーザーが使用できるオプションと、パスワードの複雑さと最小の長さの要件を構成できます。 SID の保護機能を使用してロックを解除するには、manage-bde を使用します。

Manage-bde -protectors -add e: -sid domain\username

回復パスワード、回復キー、PIN、拡張 PIN、スタートアップ キーの違いを教えてください。

回復パスワード、回復キー、および PIN などの要素について説明している表については、「BitLocker のキーの保護機能」と「BitLocker 認証方法」をご覧ください。

回復パスワードと回復キーはどのように保管すればよいですか。

オペレーティング システム ドライブまたは固定データ ドライブの回復パスワードと回復キーは、フォルダー、1 つ以上の USB デバイス、または Microsoft アカウントに保存したり、印刷したりできます。

リムーバブル データ ドライブの回復パスワードと回復キーは、フォルダーまたは Microsoft アカウントに保存したり、印刷したりできます。 既定では、リムーバブル ドライブの回復キーをリムーバブル ドライブに保存することはできません。

ドメイン管理者は、さらにグループポリシーを構成して、回復パスワードを自動的に生成し、BitLocker で保護されたドライブの Active Directory ドメインサービス (追加) に保存することができます。

TPM 認証方法のみを有効にしてある場合、ドライブの暗号化を解除せずに別の認証方法を追加できますか。

Manage-bde.exe コマンド ライン ツールを使用して、TPM のみの認証モードを多要素認証モードに変更できます。 たとえば、TPM 認証のみで BitLocker が有効になっている場合に、PIN 認証を追加するには、管理者特権のコマンド プロンプトから次のコマンドを使用します。なお、4-20 digit numeric PIN は使用する数値 PIN に置き換えてください。

manage-bde –protectors –delete %systemdrive% -type tpm

manage-bde –protectors –add %systemdrive% -tpmandpin 4-20 digit numeric PIN

別の認証方法を検討する必要があるのはどのようなときですか。

Windows ハードウェア互換性プログラムの要件を満たしている新しいハードウェアでは、リスク緩和策としての PIN の重要度は低くなり、TPM のみの保護機能をデバイス ロックアウトなどのポリシーと組み合わせれば十分と考えられます。 たとえば、Surface Pro や Surface Book には、攻撃対象となる外部 DMA ポートがありません。 PIN が必要となる古いハードウェアでは、英字や句読点などの数字以外の文字を使用できる拡張 PIN を有効にし、リスクの許容範囲とコンピューターの TPM から利用できるハードウェア ハンマリング対策機能に基づいて、PIN の長さを設定することをお勧めします。

回復情報を紛失した場合、BitLocker で保護されたデータは回復不能になるのですか。

BitLocker は、必要な認証がない場合は暗号化されたドライブを回復不能にするように設計されています。 回復モードでは、暗号化されたドライブのロックを解除するには回復パスワードまたは回復キーが必要です。

重要

Microsoft アカウントや他の安全な場所と共に、回復情報を追加で保存します。

スタートアップ キーとして使用されている USB フラッシュ ドライブを回復キーの保存にも使用できますか。

技術的には可能ですが、両方のキーを 1 つの USB フラッシュ ドライブに保存するのはよい方法ではありません。 スタートアップ キーを含む USB フラッシュ ドライブをなくしたり盗まれたりした場合、回復キーにもアクセスできなくなります。 さらに、このキーを挿入すると、TPM で測定されたファイルが変更されていた場合であっても、コンピューターは回復キーから自動的に起動し、TPM のシステム整合性チェックが回避されます。

スタートアップ キーを複数の USB フラッシュ ドライブに保存できますか。

はい、コンピューターのスタートアップ キーを複数の USB フラッシュ ドライブに保存できます。 BitLocker で保護されたドライブを右クリックし、 [BitLocker の管理] を選択すると、必要に応じて回復キーを複製するオプションが表示されます。

複数の (異なる) スタートアップ キーを同じ USB フラッシュ ドライブに保存できますか。

はい、異なるコンピューターの BitLocker スタートアップ キーを同じ USB フラッシュ ドライブに保存できます。

同じコンピューターに対して複数の (異なる) スタートアップ キーを生成できますか。

スクリプトを使用して、同じコンピューターに対する異なるスタートアップ キーを生成できます。 ただし、TPM を備えているコンピューターの場合は、異なるスタートアップ キーを作成すると、BitLocker は TPM のシステム整合性チェックを使用しなくなります。

PIN の複数の組み合わせを生成できますか。

PIN の複数の組み合わせを生成することはできません。

BitLocker ではどのような暗号化キーが使用されますか。 どのように連携しますか。

原データは、ボリューム全体の暗号化キーで暗号化された後、ボリューム マスター キーで暗号化されます。 ボリューム マスター キーはさらに、認証 (つまり、キー保護機能または TPM) および回復シナリオに応じた複数の可能な方法のいずれかで暗号化されます。

暗号化キーはどこに保存されますか。

ボリューム全体の暗号化キーは、ボリューム マスター キーによって暗号化されて、暗号化されたドライブに保存されます。 ボリューム マスター キーは、適切なキー保護機能によって暗号化されて、暗号化されたドライブに保存されます。 BitLocker が中断された場合、ボリューム マスター キーの暗号化に使用されるクリア キーも、暗号化されたボリューム マスター キーと共に、暗号化されたドライブに保存されます。

この保管プロセスにより、ボリューム マスター キーが暗号化されない状態で保存されることがなく、BitLocker を無効にしない限り保護されることが保証されます。 キーは、冗長性のためにドライブの他の 2 つの場所にも保存されます。 キーは、ブート マネージャーで読み取って処理できます。

PIN または 48 文字の回復パスワードを入力するのにファンクション キーを使用する必要があるのはなぜですか。

F1 ~ F10 キーは、すべてのコンピューターおよびすべての言語のプリブート環境で使用できる、ユニバーサルにマップされるスキャン コードです。 数値キー 0 ~ 9 は、すべてのキーボードのプリブート環境では使用できません。

拡張 PIN を使用する場合、ユーザーは、BitLocker のセットアップ プロセス中にオプションのシステム チェックを実行して、プリブート環境で PIN を正しく入力できることを確認する必要があります。

BitLocker はどのようにしてオペレーティング システム ドライブのロックを解除するための PIN を攻撃者が発見できないようにするのですか。

攻撃者はブルート フォース攻撃によって暗証番号 (PIN) を検出できます。 ブルート フォース攻撃とは、正しい PIN が見つかるまで自動ツールで異なる PIN を試す方法です。 BitLocker で保護されたコンピューターの場合、この種の攻撃 (辞書攻撃とも呼ばれます) を行うには攻撃者はコンピューターに物理的にアクセスする必要があります。

TPM には、この種の攻撃を検出して対処する機能が組み込まれています。 サポートされる PIN および攻撃対策は TPM の製造元によって異なる場合があるため、コンピューターの TPM が PIN ブルート フォース攻撃にどのように対処するかについては TPM の製造元に問い合わせてください。 TPM の製造元を確認した後、製造元に問い合わせて TPM のベンダー固有情報を収集してください。 ほとんどの製造元は、PIN 認証失敗の回数を使用して、PIN インターフェイスのロックアウト時間を指数関数的に増やします。 ただし、失敗カウンターを減らしたりリセットしたりするタイミングと方法に関するポリシーは、製造元ごとに異なります。

TPM の製造元はどうすればわかりますか。

Windows Defender セキュリティセンター > のデバイスセキュリティ > セキュリティプロセッサの詳細については、TPM の製造元を確認してください。

TPM の辞書攻撃対策メカニズムはどのようにして評価できますか。

辞書攻撃対策メカニズムの設計について TPM の製造元に問い合わせるときは、次のような質問が役に立ちます。

  • 承認の試行が何回失敗すると、ロックアウトが発生しますか。
  • 試行失敗回数および他の関連パラメーターに基づいてロックアウトの時間を決定するためのアルゴリズムはどのようなものですか。
  • 失敗回数およびロックアウト時間が減らされたりリセットされたりするのは、どのような操作が行われたときですか。

PIN の長さと複雑さをグループ ポリシーで管理できますか。

できるものと、できないものがあります。 暗証番号 (PIN) の最低限の長さは [スタートアップに対する PIN の長さの最小値を構成する] グループ ポリシー設定を使用して構成でき、英数字 PIN の使用は [スタートアップの拡張 PIN を許可する] グループ ポリシー設定で有効にできます。 ただし、PIN の複雑さをグループ ポリシーで要求することはできません。

詳しくは、「 BitLocker グループ ポリシー設定」をご覧ください。