BitLocker の概要と要件に関するよく寄せられる質問

適用対象

  • Windows 10

BitLocker のしくみ

オペレーティング システム ドライブでは BitLocker はどのように動作しますか

BitLocker を使用して、オペレーティング システム ドライブ上のすべてのユーザー ファイルとシステム ファイル (スワップ ファイルと休止ファイルを含みます) を暗号化し、初期ブート コンポーネントとブート構成データの整合性を確認することにより、なくしたり盗まれたりしたコンピューターのデータへの不正アクセスを減らすことができます。

固定データ ドライブおよびリムーバブル データ ドライブでは BitLocker はどのように動作しますか

BitLocker を使用して、データ ドライブの内容全体を暗号化できます。 グループ ポリシーを使用して、コンピューターがドライブにデータを書き込むにはドライブで BitLocker を有効にする必要があるように指定できます。 BitLocker ではデータ ドライブのさまざまなロック解除方法を構成でき、1 つのデータ ドライブが複数のロック解除方法をサポートします。

BitLocker は多要素認証をサポートしますか。

はい、BitLocker はオペレーティング システム ドライブに対する多要素認証をサポートしています。 TPM バージョン 1.2 以降のコンピューターで BitLocker を有効にした場合は、TPM 保護を使用して追加の認証を使用できます。

BitLocker に必要なハードウェアおよびソフトウェアを教えてください。

要件については、「システム要件」をご覧ください。

注意

動的ディスクは BitLocker ではサポートされていません。 コントロール パネルには、動的データ ボリュームが表示されません。 オペレーティング システム ボリュームは常にコントロール パネルに表示されます。動的ディスクかどうかに関係なく、動的ディスクの場合は BitLocker で保護できません。

パーティションが 2 つ必要なのはなぜですか。 これほど大きなシステム ドライブが必要なのはなぜですか。

BitLocker を実行するために 2 つのパーティションが必要になるのは、起動前の認証およびシステムの整合性の検証は、暗号化されたオペレーティング システム ドライブとは別のパーティションで行う必要があるためです。 この構成により、オペレーティング システムおよび暗号化されたドライブ内の情報を保護できます。

BitLocker はどのトラステッド プラットフォーム モジュール (TPM) をサポートしていますか。

BitLocker は TPM バージョン 1.2 以降をサポートします。 TPM 2.0 の BitLocker サポートには、デバイスの統合拡張ファームウェア インターフェイス (UEFI) が必要です。

注意

TPM 2.0 は、BIOS のレガシ モードと CSM モードではサポートされていません。 TPM 2.0 のデバイスでは、BIOS モードがネイティブ UEFI としてのみ構成されている必要があります。 従来のサポート モジュールと互換性サポート モジュール (CSM) オプションを無効にする必要があります。 セキュリティを強化するには、セキュア ブート機能を有効にします。

レガシー モードのハードウェアにインストールされているオペレーティング システムは、BIOS モードが UEFI に変更された場合、OS の起動を停止します。 UEFI をサポートするために OS とディスクを準備する BIOS モードを変更する前に、ツール MBR2GPT を使用します。

どうすればコンピューターに TPM が取り付けられていることを確認できますか。

バージョン 1803 Windows 10から、セキュリティ センター デバイス セキュリティ プロセッサの詳細で TPM Windows Defender > **** > 確認できます。 以前のバージョンのコンピューター Windows TPM MMC コンソール (tpm.msc) を開き、[状態] 見出しの下を確認します。 PowerShell で Get-TPM** を実行して、現在のコンピューターの TPM の詳細を取得することもできます。

TPM が取り付けられていないオペレーティング システム ドライブで BitLocker を使用できますか。

はい、BIOS または UEFI ファームウェアがブート環境で USB フラッシュ ドライブから読み取ることができる場合、TPM バージョン 1.2 以降がオペレーティング システム ドライブになくても BitLocker を有効にできます。 これは、コンピューターの TPM によって、またはそのコンピューターの BitLocker スタートアップ キーを含む USB フラッシュ ドライブによって、先に BitLocker 自体のボリューム マスター キーが解放されるまで、BitLocker は保護されたドライブをロック解除しないためです。 ただし、TPM が取り付けられていないコンピューターでは、BitLocker のもう 1 つの機能であるシステム整合性の検証は使用できません。 ブート プロセス中に USB デバイスから読み取る機能がコンピューターにあるかどうかを判断するには、BitLocker のセットアップ プロセスの一部として、BitLocker システム チェックを使用します。 このシステム チェックは、コンピューターが適切なタイミングで USB デバイスから正常に読み取れること、および BitLocker の他の要件をコンピューターが満たしていることを、テストして確認します。

コンピューターの BIOS で TPM をサポートするにはどうすればよいですか。

コンピューターの製造元に問い合わせて、Trusted Computing Group (TCG) に準拠し以下の要件を満たす BIOS または UEFI ブート ファームウェアを要求してください。

  • クライアント コンピューターの TCG 標準に準拠している。
  • 悪意のある BIOS またはブート ファームウェアがコンピューターにインストールされるのを防ぐセキュリティで保護された更新メカニズムを備えている。

BitLocker を使用するにはどのような資格情報が必要ですか。

オペレーティング システムおよび固定データ ドライブで BitLocker を有効または無効にしたり構成を変更したりするには、ローカルな Administrators グループのメンバーシップが必要です。 標準ユーザーは、リムーバブル データ ドライブでの BitLocker の有効化、無効化、または構成の変更が可能です。

BitLocker で保護されるコンピューターではどのようなブート順が推奨されますか。

CD/DVD ドライブや USB ドライブなどの他のドライブの前に、最初にハード ディスク ドライブを起動順序で使用するコンピューターのスタートアップ オプションを構成する必要があります。 普通ハード ディスクから起動していても、ハード ディスクが 1 番目になっていない場合は、ブートの間にリムーバブル メディアが検出されると、ブート順の変更が検出または想定される可能性があります。通常、ブート順は BitLocker によって検証されるシステム測定に影響を与え、ブート順を変更すると BitLocker 回復キーの入力を求められます。 同じ理由で、ドッキング ステーションを備えたラップトップを使用している場合は、ドッキングしているときも、していないときも、ハード ディスク ドライブがブート順で先頭になるようにしてください。