BitLockerとデバイスの暗号化:有効化すべき?暗号化についての考察

Windows OSの「Pro版」に「BitLocker」というドライブの暗号化機能がありますが、一部のメーカー製PCでは、Windowsの「Home版」でも自動的にデバイスが暗号化されるケースがあります。暗号化が自動的に行われる条件としては、

  • メーカー製PCであること(※1)
  • マイクロソフトアカウントで運用していること (※2)
  • UEFIでセキュアブートが有効になっていること
  • intel第6世代以降、またはAMD RyzenシリーズのTPMに対応したCPU
  • 比較的新しいビルド(1803以降?)

などが関係しているようです。

しかしながら、これらの条件を満たしているにもかかわらず、暗号化がされていないPCもまた多数存在しています。現時点で「Home版」での暗号化の条件に関しては、不確定要素が多いです。

本日は「BitLocker・デバイスの暗号化」の取り扱いについて考察したいと思います。

追記

(※1):Windows 11 Home バージョン24H2から「TPMに対応したCPU」が搭載されたすべてのPCで、初期状態からデバイスの暗号化が自動的に有効化されるようです。
(※2):「マイクロソフトアカウントで運用していること」は条件外のようです。ローカルアカウントでも初期状態からデバイスの暗号化が有効になる機種を確認しました。


PR:おすすめAmazonリンク(※ページ内に広告が含まれます)

BitLockerとは?

BitLockerとは、Microsoftによって開発されたドライブの暗号化技術です。WindowsのOSに組み込まれており、データやファイルを保護するために使用されます。BitLocker を使用すると、SSDやHDDを暗号化できるので、デバイスの紛失や盗難などからデータを保護することができます。暗号化されたデータにアクセスするには、管理者権限を持つユーザーが48桁の回復キーを入力する必要があります。

BitLocker・デバイスの暗号化の状態を確認する方法

1.スタートメニューから「設定」を開き、左メニューの「プライバシーとセキュリティ」を選びます。

2.「プライバシーとセキュリティ」の中から「デバイスの暗号化」を選びます。
Windows Pro版の場合は「BitLocker ドライブ暗号化」を選びます。

※暗号化の条件を満たしていないPCでは、メニュー一覧に「デバイスの暗号化」の項目が表示されません。(現時点で「デバイスの暗号化」が表示されていない場合でも、今後Windowsのアップデートによって、突如現れる可能性もあります。)

3.「デバイスの暗号化」のスイッチが「オン」になっている場合は、暗号化が「有効」になっています。「無効」にしたい場合は、スイッチを「オフ」に切り替えてください。(オンオフの切り替えには少し時間がかかります)

BitLocker・デバイスの暗号化は有効にすべき?無効にすべき?

結論から言うと、個人利用PCでは、BitLockerやデバイスの暗号化は「無効」にして良いと思います。

BitLockerやデバイスの暗号化が「有効」になっているPCが故障した場合、データを救出するためには、まず48桁の「回復キー」を入力する必要があります。
もし、ここで48桁の「回復キー」が分からない場合は、データの救出をあきらめるしか方法がありません。また、PCを再度使える状態に戻すためには、一度SSDの中身を全て削除する必要があるので、データだけではなく、Windowsの環境もまた1から作り直しになります。

「データが外部に流出する」という僅かな可能性のために暗号化を「有効」にしておくよりも、「将来的にPCが故障する」ことを想定して、修理成功率を少しでも上げるために暗号化を「無効」にする方が良いと個人的には考えています。
暗号化を「有効」にするのか「無効」にするのか、この辺りは人それぞれ考え方が異なるので、何が正解ということはないと思いますが、PC初心者やパスワード管理が苦手な人、BitLocker が何なのかよく分からない人は、とりあえず暗号化を「無効」にしておく方が無難です。逆に「BitLockerの回復キー」や「マイクロソフトアカウントのパスワード」をきちんと管理できる人は暗号化を「有効」にしておく方が良いです。

本来、BitLockerを「有効」にしておくべきPCは、企業で機密情報や個人情報を取り扱っているようなPCで、尚且つ、パスワードや回復キーをきちんと把握しているシステム管理者がいるような場合です。しかし、現状のWindowsでは、使用者が全く無自覚のまま暗号化されたデータを扱っている可能性があり、いざデータを救出しようとしても「回復キー」が分からないために、所謂「詰み」の状態になる危険性をはらんでいます。大切な思い出の写真や仕事上の重要な書類が「回復キー」が分からないために消えてしまうことを防ぐには、前もって暗号化を「無効」にしておくことが最大の防御策だと言えます。

暗号化を「無効」にする場合は、代わりに「強力なパスワードの使用」「マルウェア対策」「ファイアウォールの有効化」「データの定期的なバックアップ」「アップデートの実施」など、総合的なセキュリティ対策を講じてデータを保護しましょう。

BitLocker・デバイスの暗号化の回復キーはどこにある?

BitLockerの回復キーはマイクロソフトアカウントに紐づけられているので、Webブラウザから「マイクロソフトアカウント」のページに行くと確認できます。48桁の回復キーを確認するためには、

  1. マイクロソフトアカウントに登録しているメールアドレス
  2. マイクロソフトアカウントのパスワード
  3. 登録しているメールアドレスのメールを受信できる環境(本人確認のため)

が必要になりますので、PCの故障に備えて事前にスマホやサブPCでメールを受信できる環境を整えておきましょう。

まとめ

メーカー製のPCの場合、Windowsの「Home版」でも初期状態から「デバイスの暗号化」が有効になっていることがあります。ご自身の使用環境に合わせて「有効」にするのか、「無効」にするのかを選びましょう。きちんとパスワード管理ができる人は「有効」、パスワード管理が苦手な人は「無効」、この辺りが一つの判断の目安になると思います。

[PR]おすすめAmazonリンク

最新記事

inserted by FC2 system