BitLocker

適用対象

  • Windows 10

このトピックでは、システム要件、実際の適用例、推奨されなくなった機能の一覧など、BitLocker の概要を説明します。

BitLocker の概要

BitLocker ドライブ暗号化は、オペレーティング システムと統合されたデータ保護機能であり、コンピューターの紛失、盗難、または不適切な廃棄によるデータの盗難や漏洩の脅威を解決します。

BitLocker は、トラステッド プラットフォーム モジュール (TPM) バージョン 1.2 以降と共に使用することで、最大限の保護を提供します。 TPM は、コンピューターの製造元によって多くの新しいコンピューターに搭載されているハードウェア コンポーネントです。 BitLocker と連携してユーザー データを保護し、システムがオフラインになっていたとしてもコンピューターの改ざんを確実に防止します。

TPM バージョン 1.2 以降を備えていないコンピューターでも、Windows オペレーティング システム ドライブの暗号化に BitLocker を使用できます。 ただし、この実装では、コンピューターを起動したり、休止状態から再開したりするには、USB スタートアップ キーを挿入する必要があります。 Windows 8 以降では、オペレーティング システム ボリューム パスワードを使用して、TPM を装備していないコンピューターのオペレーティング システム ボリュームを保護できます。 どちらの方法も、TPM を装備した BitLocker による起動前のシステム整合性の検証は提供しません。

TPM に加えて、BitLocker には、ユーザーが暗証番号 (PIN) を入力したり、スタートアップ キーを含んだ、USB フラッシュ ドライブなどのリムーバブル デバイスを挿入するまでは、通常の起動プロセスをロックするオプションが用意されています。 これらの追加のセキュリティ対策は、多要素認証を提供し、正しい PIN またはスタートアップ キーが提示されるまで、コンピューターが起動、または休止状態から再開されることがないよう保証します。

実際の適用例

紛失または盗難にあったコンピューター上のデータは、ソフトウェア攻撃ツールの実行による未承認のアクセス、またはコンピューターのハード ディスクを別のコンピューターに転送することによる未承認のアクセスに対して脆弱です。 BitLocker は、ファイルとシステムの保護を強化することにより、不正なデータ アクセスを防止します。 BitLocker は、コンピューターを廃棄またはリサイクルするときにデータにアクセスできなくする場合にも役に立ちます。

リモート サーバー管理ツールには BitLocker の管理に使用できるツールが 2 つあります。

  • BitLocker 回復パスワード ビューアー。 BitLocker 回復パスワード ビューアーを使用すると、Active Directory ドメイン サービス (AD DS) にバックアップされている BitLocker ドライブ暗号化回復パスワードを検索して表示できます。 このツールを使用すると、BitLocker を使用して暗号化されたドライブに格納されているデータを回復するのに役立ちます。 BitLocker 回復パスワード ビューアー ツールは、Active Directory ユーザーとコンピューター Microsoft 管理コンソール (MMC) のスナップインです。 このツールを使用することによって、コンピューター オブジェクトの [プロパティ] ダイアログ ボックスで対応する BitLocker 回復パスワードを確認できます。 さらに、ドメイン コンテナーを右クリックして、Active Directory フォレスト内のすべてのドメインで BitLocker 回復パスワードを検索できます。 回復パスワードを表示するには、ドメイン管理者であるか、またはドメイン管理者によってアクセス許可を委任されている必要があります。

  • BitLocker ドライブ暗号化ツール。 BitLocker ドライブ暗号化ツールには、コマンド ライン ツール manage-bde および repair-bde と、Windows PowerShell 用の BitLocker コマンドレットが含まれます。 manage-bde と BitLocker コマンドレットはどちらも、BitLocker コントロール パネルを使用してできるすべてのタスクを実行するために使用でき、自動展開や他のスクリプト シナリオに使用するのに適しています。 repair-bde は、BitLocker で保護されたドライブを通常の手順で、または回復コンソールを使用してロック解除できない障害回復シナリオ用に提供されています。

新機能と変更された機能

XTS-AES 暗号化アルゴリズムのサポートなど、Windows 10 用 BitLocker の新機能については、「Windows 10 バージョン 1507 および 1511 の新機能」の「BitLocker」セクションをご覧ください。

システム要件

BitLocker のハードウェア要件は次のとおりです。

BitLocker がトラステッド プラットフォーム モジュール (TPM) によって提供されるシステム整合性チェックを使用するには、TPM 1.2 以降が必要です。 コンピューターが TPM を装備していない場合、BitLocker を有効にするには、スタートアップ キーを USB フラッシュ ドライブなどのリムーバブル デバイスに保存する必要があります。

TPM を備えるコンピューターには、Trusted Computing Group (TCG) に準拠する BIOS または UEFI ファームウェアも必要です。 BIOS または UEFI ファームウェアは、オペレーティング システム起動前の信頼チェーンを確立し、TCG で規定された信頼性測定の静的なルートのサポートを含む必要があります。 TPM を装備していないコンピューターには、TCG 準拠のファームウェアは必要ありません。

システムの BIOS または UEFI ファームウェアは (コンピューターが TPM を備えていてもいなくても)、以前のオペレーティング システム環境での USB フラッシュ ドライブ上の小さいファイルの読み取りなど、USB 大容量記憶デバイス クラスをサポートする必要があります。

ハード ディスクは、少なくとも 2 つのドライブにパーティション分割されている必要があります。

  • オペレーティング システム ドライブ (またはブート ドライブ) には、オペレーティング システムとそのサポート ファイルが含まれます。 NTFS ファイル システムでフォーマットされている必要があります。
  • システム ドライブには、ファームウェアがシステム ハードウェアを準備した後で Windows を読み込むために必要なファイルが含まれています。 このドライブでは、BitLocker は有効になりません。 BitLocker が動作するためには、システム ドライブは、暗号化されていてはならず、オペレーティング システム ドライブと異なっている必要があり、UEFI ベースのファームウェアを使用するコンピューターでは FAT32 ファイル システムで、BIOS ファームウェアを使用するコンピューターでは NTFS ファイル システムでフォーマットされている必要があります。 システム ドライブのサイズは 350 MB 程度にすることをお勧めします。 BitLocker を有効にした後は、約 250 MB の空き領域が残ります。

新しいコンピューターにインストールすると、Windows は BitLocker に必要なパーティションを自動的に作成します。

サーバーにオプション コンポーネントとして BitLocker をインストールする場合は、併せて拡張記憶域機能をインストールする必要があります。この機能は、ハードウェア暗号化ドライブをサポートするために使われます。

このセクションの内容

トピック 説明
Windows 10 での BitLocker デバイスの暗号化の概要 IT 担当者向けのこのトピックでは、BitLocker デバイスの暗号化によって Windows 10 を実行しているデバイス上のデータを保護する方法の概要を示します。
BitLocker に関してよく寄せられる質問 (FAQ) IT 担当者向けのこのトピックでは、BitLocker を使用、アップグレード、展開、および管理するための要件や、BitLocker の重要な管理ポリシーに関してよく寄せられる質問を掲載しています。
BitLocker に向けた組織の準備: 計画とポリシー IT 担当者向けのこのトピックでは、BitLocker の展開を計画する方法について説明します。
BitLocker の基本的な展開 IT 担当者向けのこのトピックでは、BitLocker 機能を使ってドライブ暗号化によりデータを保護する方法について説明します。
BitLocker: Windows Server 2012 以降に展開する方法 IT 担当者向けのこのトピックでは、BitLocker と Windows Server 2012 以降を展開する方法について説明します。
BitLocker: ネットワーク ロック解除を有効にする方法 IT 担当者向けのこのトピックでは、BitLocker ネットワーク ロック解除のしくみと、その構成方法について説明します。
BitLocker: BitLocker ドライブ暗号化ツールを使用して BitLocker を管理する IT 担当者向けのこのトピックでは、BitLocker を管理するためのツールの使用方法について説明します。
BitLocker: BitLocker 回復パスワード ビューアーの使用 IT 担当者向けのこのトピックでは、BitLocker 回復パスワード ビューアーの使用方法について説明します。
BitLocker グループ ポリシー設定 IT 担当者向けのこのトピックでは、BitLocker を管理するために使用される各グループ ポリシー設定の機能、場所、および効果について説明します。
BCD 設定と BitLocker IT 担当者向けのこのトピックでは、BitLocker で使われる BCD 設定について説明します。
BitLocker 回復ガイド IT 担当者向けのこのトピックでは、AD DS から BitLocker キーを回復する方法について説明します。
プリブート攻撃から BitLocker を保護する この詳しいガイドでは、Windows 10、Windows 8.1、Windows 8、または Windows 7 が実行されているデバイスにプリブート認証の使用をお勧めする状況について、また、この認証をデバイスの構成から安全に省ける場合について、わかりやすく説明します。
BitLocker でクラスターの共有ボリュームと記憶域ネットワークを保護する IT 担当者向けのこのトピックでは、BitLocker を使って CSV と SAN を保護する方法について説明します。
Windows 10 IoT Core でセキュア ブートと BitLocker デバイスの暗号化を有効にする このトピックでは、Windows 10 IoT Core で BitLocker を使用する方法について説明します。