パソコンのドライブのデータを暗号化し、盗難されてもデータをとりだせないようになっているのは良いことですが、残念なことに時々暗号化されたドライブを回復するキーとなる暗号数字が求められます。ユーザーがその回復キーを持っていないと、パソコンが使えなくなります。「自分は暗号化した覚えがない! 回復キーがあるなんて知らない!」と右往左往しても後の祭りです。皆様はそんなことのないように・・・。
BitLockerとは
ITに精通していない人は、「え? ビットロッカー? 地下鉄の駅においてあるアレのこと?」と思うかもしれません。BitLockerとは・・・
ノートパソコンをどこかに忘れたり盗まれたりしたとしても、あらかじめパソコン内部のドライブや、USBドライブなどを暗号化しておけば、たとえドライブを取り出して装置にかけたとしてもデータを盗み見することができないようにすることができます。そんな暗号化機能が BitLocker(ビットロッカー)といいます。
元来 Bitlocker は windows pro※ と 企業向け enterprise エディションが入っているパソコンのみに搭載されているものでしたが、windows10以降では、ある条件を満たした(多くは自作を除く殆どの店舗購入等の)PCでは、windows proだけでなく、windows home※のものでも、デバイスの暗号化に限定したBitlocker が使えるようになっているのです! しかも、パソコンの初期設定で microsoftアカウントの設定をした段階で、勝手に デバイス暗号化 機能がオンになってCドライブの暗号化を進めてしまうことなのです。
※ お持ちのパソコンに windows proが入っているのか、windows homeが入っているのかは、windowsの「設定 – システム – 詳細情報 または バージョン情報」で確認できます。
「デバイスの暗号化」 機能は、BitLocker 機能の一部です。ここで云う「デバイス」というのは、パソコン内蔵(場合によっては外部接続)のハードディスクドライブやSSD(場合によってはUSBメモリ)を指します。暗号化されたデバイスを回復するには、後述の「回復キー」が必要です。
Bitlocker のデメリット
- 不具合により回復キーの入力が求められる場合がある
- トラブルシューティングで例えばセーフモードにしようとしたとき、回復キーの入力が求められる場合がある
- その際に回復キーがわからないと、パソコンを初期化するしかない
- Bitlockerを有効にしたパソコンがあるにもかかわらず、何らかの理由でマイクロソフトアカウントをマイクロソフトのサイトを通して削除してしまうと、それまでに暗号化したデバイスのデータは永遠に復元できない
我々は、以下のような話も聞きます。windowsにあまり詳しくない、ましては BitLocker についてのことを知らない方にとっては、ちんぷんかんぷんですし不安になりますよね。
- windowsアップデートの後にパソコンを立ち上げたら、回復キーの入力が求められた話
- パソコンのBIOS(ファームウェア)を更新した後にパソコンを立ち上げたら、回復キーの入力が求められた話
- ハードディスクやSSD、システムファイルの破損によって、回復キーの入力が求められた話
- システムの復元を行うときに、回復キーの入力が求められた話
- Windows回復環境モードに入ったときに、回復キーの入力が求められた話
我々は、誤ってフォーマットを行ったり、システムファイルが壊れたり、HDDなどが壊れたりした場合のデータ復旧を行っていますが、その時でさえ(多くの場合64桁の)回復キーがわからないとお手上げになります。
データが消えてもいい、パソコンを初期化ができれば といっても初期化を行うとデータが消えてしまいます。インストールした貴重なアプリやドライバや設定が見事に消えます。大変なことです。
「回復キー」は万一のためにサササっと確認できるよう必ず大切に持っていましょう。「マイクロソフトアカウント と パスワード」については言うまでもありません。「パソコンを識別する名前(デバイス名)※」もわかっていなければなりません。
※デバイス名は、windows の「設定 – システム – 詳細情報 または バージョン情報」に記載してあります。自身で設定しない限り初期設定時に命名されます。
その他、Bitlocker にまつわるデメリットとして、こんなのもあるようです。
・windowsアプリによっては、Bitlocker を無効にしないと動作しないものがあるので、もしそれに当たった場合には、Bitlocker を無効にしなければならない。
Bitlocker 回復キーは、暗号化をオンにする度に再発行されるので、頻繁に暗号化オフオンを繰り返す人は、回復キーが複数マイクロソフトのサーバーに残っていることになります。(もちろん回復キーの入力が求められたとき、どの回復キーを使えばよいかは、求められた際に表示される回復キーの先頭8桁で分かるようになっています。
店舗で購入したPCでは デバイスの暗号化 機能が付いていることが多い
先ほども申したように、店舗等で購入したwindows10以降のPCでは、デバイスの暗号化に限定したBitlocker が使えるようになっています。
デバイスの暗号化機能の有効化は、購入したPCにマイクロソフトアカウントを設定した際に、ユーザーの意思にかかわらず勝手におこなわれ、それと同時に回復キーが自動的にマイクロソフトアカウントのサーバーにアップロードされる仕組みになっていることが多いです。
デバイスの暗号化機能を解除したければ、ユーザー自身が明示的に行わなければなりません。
ちなみに、自作のパソコンなどに22H2バージョンのwindowsをクリーンインストールした環境では、デバイスの暗号化機能が勝手に有効化されることはないと思われます。将来のバージョンはわかりませんが。
勝手に 「デバイスの暗号化 」がオンになっていないか確認する方法
設定 – プライバシーとセキュリティー を開き、右ペーンに「デバイスの暗号化」項目があるか確認します。
もし「デバイスの暗号化」項目があれば、 この機能がオンになっている可能性がありますので、さらに次の確認をしましょう。もしなければ、そのPCが windows home版であれば、デバイスの暗号化の機能はありません。windows pro版であっても、勝手にドライブのBitLockerが有効になることはありません。
「デバイスの暗号化」項目がある場合、そこをクリックすると、「デバイスの暗号化」スライドスイッチがありますので、それがオンになっているかどうかで確認できます。
デバイスの暗号化 機能を オンで使うか オフで使うか
個人的考えですが、今のノートPCのセキュリティは、マイクロソフト社やメーカーの推奨する設定がなされ、二段階認証がなされ、二段階認証に用いるスマホのセキュリティもしっかりしている限り、昔と比べてかなり堅牢だと思われます。例えばパソコンとスマホが一緒に盗まれ、両デバイスのPINやパスワードが他人に知られるなど不運なことがない限り、またPCのロック解除のパスワードを省略するような設定がされてない限り、中身が見られることはそんなにないと思われます。ただ、HDDやSSDを抜き取られたらその限りではないので、その時にデバイスの暗号化が役に立つと思います。
金銭や機密にかかわる情報が入っていなければ、個人で使用する限りはBitlocker デバイスの暗号化は必要でない気がします。
デバイスの暗号化機能をオフにする方法
「デバイスの暗号化」スライドスイッチをオフにします。
BitLocker回復キーの確認方法
ここではパソコン版の話をしています。スマホ版ではマイクロソフトアカウント画面レイアウトが異なっているので、下記のようにならないことがあるのをご承知ください
マイクロソフトアカウントにサインインし、画面上端のメニューで「デバイス」をクリックします。
するとそのマイクロソフトアカウントにアクセスしたことのあるPC一覧が表示されますので、今使っているPC名(デバイス名)を探して(畳まれていたら開き)、「詳細を見る」リンクをクリックします。
BitLocker データ保護 のカラムがあって、その中に「認証キーの管理」リンクがありますので、それをクリックします。
そうすると、すべてのPCの、過去に発行された Bitlocker回復キー(ユーザーが削除したものを除く) が表示されます。
6桁ごとに区切られた48桁の数字が並んでます。
ここに複数の回復キーが表示されている場合、対応するデバイス名で、キーIDの先頭8桁が合致する回復キーを入力してください。
