連載
» 2017年03月01日 05時00分 公開

超入門BitLocker:第2回 BitLocker To GoでUSBメモリやリムーバブルハードディスクを暗号化して保護する (2/2)

[打越浩幸,デジタルアドバンテージ]
前のページへ 1|2       

BitLockerドライブの管理

 BitLockerのドライブを管理するには、コントロールパネルの[システムとセキュリティ]の下にある[BitLockerドライブ暗号化]を使うか、エクスプローラで対象ドライブを右クリックして表示されるメニューから[BitLockerの管理]を選択する。すると次のような管理ツールが起動する。

BitLocker管理ツール BitLocker管理ツール
BitLockerのドライブに対して、パスワードを変更したり、回復キーをバックアップしたりできる。

 BitLockerのドライブに対して可能な操作は次の通りである。

操作 意味
回復キーのバックアップ 回復パスワード(数字パスワード)情報のバックアップ。テキストファイルとして保存したり、USBメモリやMicrosoftアカウントにコピーしたり、印刷したりできる
パスワードの変更 ロック解除用の文字列パスワードを変更する
パスワードの追加/削除 TPMやスマートカード、自動起動設定などによって、パスワード以外の認証手段が利用できる場合は、最初に付けたパスワードを削除できる
自動ロック解除の有効化/無効化 リムーバブルディスクをシステムに装着すると同時に自動的にロック解除させることができる。内蔵固定ディスクの場合は、OSボリュームがBitLockerで保護されている場合にのみ自動ロック解除が可能
BitLockerの有効化/無効化 BitLockerによる暗号化の開始や終了(元の非暗号化状態に戻す)
保護の中断/再開 バージョンアップなどのためにBitLockerによる保護を一時的に中断したり、再開したりする。中断させると、内部的にはクリアキーを設定している
スタートアップキーのコピー OSボリュームをBitLockerで暗号化する場合に利用するスタートアップキー(USBメモリ)のコピー(予備)を作成する
BitLocker管理ツールで利用できる主な操作

 いずれの操作も、対象となるBitLockerドライブのロックが解除されている状態でしか利用できない。もしパスワードを忘れたり、回復キー情報を紛失したりしてロックを解除できなくなった場合は、できることは残念ながらほとんど何もない。そのため、回復キー情報の管理にはくれぐれも気を付けていただきたい。

自動ロック解除機能

 「自動ロック解除」機能とは、PCにBitLockerドライブを接続したときに自動的にロックを解除して利用できるようにする機能である。最初の1回だけはパスワード入力などの作業が必要になるものの、以後は同じPCを使う限り、パスワードを入力する必要はない。

 自動ロック解除を有効にするには、最初のパスワード入力の画面で[その他のオプション]リンクをクリックして、[このPCで自動的にロックを解除する]というチェックボックスをオンにする。もしくはBitLockerの管理画面で[自動ロック解除の有効化]というリンクをクリックする。

 自動ロック解除は、各PCの各ユーザー単位で設定される機能である。異なるPCで使う場合や、別のユーザーがサインインしている場合は、またパスワード入力などの操作が必要になる。例えば自動ロック解除を有効にしたUSBメモリを入手したとしても、認証なしで中を見ることはできない。

BitLocker非サポートOSではどうなる?――Windows Vista編

 BitLockerは全てのWindows OSエディションでサポートされているわけではなく、下位エディションではBitLockerドライブを利用できないことになっている。だが相互運用性を確保するために、BitLockerドライブの読み出し機能だけはどのエディションでも利用できる。

 例えば以下は、Windows 7 Ultimateで作成したBitLockerのUSBメモリを、Windows Vista Home Premiumに読み込ませたところである。USBメモリには幾つかのファイルを保存してあったが、それらのファイルは見つからず、代わりにまったく別のファイルが多数入っている。

BitLocker非対応のOSでBitLockerディスクをアクセスする BitLocker非対応のOSでBitLockerディスクをアクセスする
BitLockerで暗号化したUSBメモリには、実際にはこのように保存されている。「BitLocker To Go リーダー」は、ファイルの読み出しのみが可能なBitLockerアプリケーション。データの受け渡しにはこれでも十分だろう。
  (1)BitLocker To Go リーダーの本体プログラム。ちなみにこのプログラム、Windows 10のBitLockerで作成されたものはバージョンが新し過ぎるのか、Windows Vista上ではエラーで起動できない。
  (2)「COV 0000.BL」や「COV 0000.ER」というファイルは、元のボリューム内のデータを暗号化したもの。約4GBごとに1つずつファイルが作られる(FATのファイルサイズ制限のため)。
  (3)BitLockerのロック解除用パスワードを入力すると、暗号化されたファイルを読み出せる。

 このUSBメモリをシステムにセットすると、「BitLocker To Go リーダー」というプログラム((3))が自動起動する。BitLockerドライブのパスワードを入力すると、次のように、BitLocker内のファイルを読み出すことができる。

BitLocker To Goリーダー BitLocker To Goリーダー
リムーバブルメディア内にある、BitLockerで暗号化されているファイルを読み出すためのツール。書き込みはできないが、データを取り出すことだけはできる。

BitLocker非サポートOSではどうなる?――Windows 7以降

 Windows 7以降のOSでも、HomeやBasic、(Windows 8/8.1の)無印などの下位エディションにはBitLocker機能はない。だがWindows Vistaの場合と違って、ロックされているBitLockerドライブアイコンをダブルクリックするとパスワードの入力画面が表示される。

 正しいパスワードを入力するとロックが解除され、上位エディションと同じように、そのまま内部のファイルにアクセスできる。ファイルを読み出すだけでなく、書き込むこともできるので、データの受け渡しや保存ならこれでも十分だろう。

 だがBitLockerドライブを作成したり、管理したりすることはできない。エクスプローラのBitLocker関連メニューや、コントロールパネルの「BitLockerドライブ暗号化」アプレットといった、GUIの管理ツールもない。コマンドラインのツールそのものはあるが、キー作成機能がないなど、機能にはかなり制限がある。なので、BitLockerドライブの作成やパスワードなどの管理/変更などは、最初に暗号化したPCで行うとよいだろう。

Windows 10 Home上でBitLockerドライブを使う Windows 10 Home上でBitLockerドライブを使う
上位エディションのWindows OSで作成したBitLockerドライブをWindows 10 Homeでアクセスしているところ。
  (1)実行しているのはWindows 10 Home。
  (2)BitLockerドライブ(USBメモリ)を接続後、ダブルクリックするとパスワードの入力画面が表示されるので入力する。回復キー(後述)でロックを解除することも上位エディションと同様にできる。
  (3)USBメモリの内容。ファイルの読み書きも可能。

回復キーを使ったロックの解除

 回復キーとは、BitLockerドライブ作成ウィザードの最初の段階で作成される、BitLockerドライブのロックを解除するための暗号鍵の1つだ。以下に回復キーの例を示す。

※回復キーファイルの中はこのようなテキストファイルになっている
BitLocker ドライブ暗号化の回復キー

これが適切な回復キーであることを確認するには、次の ID の先頭と、PC に表示されている ID 値とを比較してください。

ID:

04D6062D-24E8-4161-815E-0FBC423A6659

上記の ID が PC に表示されている ID と一致する場合は、次のキーを使用してドライブのロックを解除します。

回復キー:

477180-356312-387816-597905-572616-305459-073315-108251

上記の ID が PC に表示されている ID と一致しない場合、ドライブのロックを解除するための適切なキーではありません。
別の回復キーを試してみるか、http://go.microsoft.com/fwlink/?LinkID=260589 で詳細を確認してください。



 最下行の「477180-……」が「回復キー」である。10進数で6桁の数字が8組ある。10進数になっているのは、人間が入力するときに間違えないようにするためだ(つまりこれは人が使うものということ)。ただのテキスト情報なので、テキストをどこかにコピーしておいてもよい。

 「回復キーID」とは、この回復キーを識別するためのID番号である。回復キーが必要な場合、システム側からはこのID(の一部)が提示されるので、ユーザーは、それに相当する「BitLocker回復キー」欄の情報を入力する。

 ユーザーがロック解除のためのパスワードを忘れてしまった場合、入力画面の下にある[その他のオプション]をクリックして次の画面を表示させる。

回復キーの入力 回復キーの入力
パスワードを忘れた場合は、回復キーを使えばロックを解除できる。
  (1)このリンクをクリックする。

 [回復キーを入力する]をクリックして、キーデータを入力する。

回復キーの入力画面 回復キーの入力画面
回復キーさえあれば、パスワードを忘れてもロックを解除できるが、あくまでも非常用の手段だ。
  (1)このID番号を元に、目的の回復キーを探すこと。
  (2)回復キーを入力する(ハイフンは入力不要)。

 成功するとロックが解除されるので(パスワードでも回復キーでも、どちらでロック解除しても違いはない)、BitLocker管理画面で新しいパスワードにリセットしておこう。

●Microsoftアカウント上に回復キーを保存する

 回復キー情報は手元に置いておくだけでなく、Microsoftアカウント上にも保存しておくことができる。Microsoftアカウントを常用しているなら、手元でファイルや書類にして保存しておくよりも便利で管理しやすいだろう。

Microsoftアカウントに保存されたBitLocker回復キー Microsoftアカウントに保存されたBitLocker回復キー
保存先として[Microsoftアカウントに保存]とすると、クラウド上に保存される。これはOneDriveのサイトだが、OneDriveのデータとは別の場所に隔離して保存されている。キーID情報を元に回復キーを見つけ、コピーしたり、手動で入力したりする。
  (1)固定ディスク用のBitLockerの回復キー情報。
  (2)BitLocker To Goの回復キー情報。


 今回はBitLocker To Goとリムーバブルメディアを例に挙げて、BitLockerドライブの基本的な使い方についてまとめてみた。次回はリムーバブルではない内蔵固定ディスクを対象にしてBitLockerを使ってみる。

→第3回「BitLockerで内蔵HDD/SSDを暗号化して保護する」へ

「超入門BitLocker」のインデックス

超入門BitLocker

前のページへ 1|2       

Copyright© Digital Advantage Corp. All Rights Reserved.

「Windows 7」サポート終了 対策ナビ

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。