BitLockerとは? 設定方法や注意点、管理方法を解説
テレワークの普及に伴い、業務用パソコンの持ち出しが増えたことで、情報漏洩対策の重要性が高まっています。その中で注目されているのが、Windowsに標準搭載されているBitLockerです。BitLockerを活用すると、業務端末に保存されたデータを暗号化できるため、万が一パソコンを紛失したり盗まれたりした場合でも情報の漏洩を防ぐことができます。では、BitLockerはどのようなデータを暗号化できて、どのように設定すればいいのでしょうか
本記事では、BitLockerが暗号化できる対象や、実際に有効化・無効化する際の設定方法のほか、企業における効率的な管理方法などを解説します。
BitLockerとは、Windowsに搭載されたデータ暗号化機能
BitLockerとは、Windowsに標準搭載されているデータの暗号化機能のことです。パソコンに保存されているデータを暗号化することで、万が一、端末の紛失・盗難があった際でも、第三者によるデータの読み取りを防ぐことができます。
BitLockerは、パソコンに搭載されているTPM(Trusted Platform Module)と呼ばれるセキュリティチップと連携することで、OSを起動する前にシステムの整合性を確認し、異常が検出された場合に自動的にロックをかける仕組みを備えています。これにより、不正な起動や改ざんからデータを保護することが可能です。
BitLockerは、Windows Vista以降のOSに搭載されており、主に下記のエディションで利用できます。個人向けのHomeエディションでは、BitLockerは使用できません。
- BitLockerが利用できるWindowsの主なエディション
-
- Windows Vista:Ultimate・Enterprise
- Windows 7:Ultimate・Enterprise
- Windows 8:Pro・Enterprise
- Windows 10:Pro・Enterprise・Education
- Windows 11:Pro・Enterprise・Education
BitLockerで暗号化できる対象
BitLockerは、Windowsに標準搭載されているにもかかわらず高機能で、暗号化できる対象は多岐にわたります。業務で用いるデータの情報漏洩リスクを最小限に抑えるためにも、どのような機器やメディアに対応しているのかを理解しておきましょう。
- BitLockerの主な暗号化の対象
-
- 内蔵HDD
- SSD
- 外付けHDD
- USBメモリ
内蔵されているメディアについては、Windowsの設定画面などからBitLockerを有効化することで、OSの起動ドライブを含むすべてのデータを暗号化できます。
一方、外付けHDDやUSBメモリといった外部ストレージの暗号化には、「BitLocker To Go」と呼ばれる専用の機能が利用可能です。BitLocker To Goでは、外部メディアが接続された際にパスワードなどでロック解除を行う仕組みによって、社外に持ち出したデータの安全性を確保します。営業職やフィールドエンジニアなど、社外へデータを持ち出して作業をすることが多い職種で安全に機密データを利用する場合などに、BitLocker To Goが有効です。
暗号化されたUSBメモリは、対応するWindows端末であれば特別なソフトを必要とせずに利用できるという点も、BitLocker To Goのメリットです。ただし、他のOSとの互換性に制限があるため、利用シーンには注意しなければなりません。持ち運びが可能なメディアは、取り扱いの不注意で紛失するリスクが高いため、BitLocker To Goを活用することで効果的な情報セキュリティ対策ができます。
- 併せて読みたい
BitLockerの必要性
企業における情報漏洩のリスクは年々高まっており、データの保護が重要な課題の1つとされる中、BitLockerはその課題を解決するための有効な手段として様々な企業で活用されています。
データを保護するためのセキュリティ対策としては、下記のような観点が求められます。
- データ保護に関する主なセキュリティ対策の観点
-
- データの定期的なバックアップ
- アクセス制限による不正アクセスの防止
- データの暗号化による情報漏洩のリスク軽減
このうちデータの暗号化は、紛失・盗難といった事態が発生した後に、情報漏洩の被害を最小限に抑えるために重要なセキュリティ対策です。データの暗号化のためには専用ツールの導入が必要になるケースもありますが、BitLockerが搭載されているパソコンであれば、別途ソフトウェアを購入することなく手軽にデータの暗号化を実施できます。
また、BitLockerはパソコンの内蔵メディアにもリムーバブルメディアにも対応しているため、業務に使用する様々な端末に対して一貫したセキュリティポリシーを適用することができます。テレワークなどで社外での端末の利用が増加している企業において、社内と同じレベルのセキュリティ対策を社外にある端末にも適用するための対策として、BitLockerは効果的です。
BitLockerの有効化手順
BitLockerを有効化したい場合は、下記の手順で設定を行います。なお、企業で社内端末全体に導入する場合は、ITを管理する部門で一括管理する体制を整えて設定するのがお勧めです。
- BitLockerの有効化の手順(Windows 10・11の場合)
-
- 「スタート」メニューから「すべてのアプリ」をクリックして「Windows ツール」を開く
- 「コントロールパネル」から「システムとセキュリティ」を開き「BitLockerドライブ暗号化」を選択する
- 「BitLockerを有効にする」とクリックすると、Microsoft アカウントへの保存やファイルへの保存といった回復キーのバックアップ方法の指定を求められるため、任意の方法を指定する
- 暗号化するドライブの範囲を「使用済みの領域のみの暗号化」と「ドライブ全体の暗号化」から選択する画面が表示されるため、任意の方法を選択する(新品のパソコンの場合は「使用済みの領域のみの暗号化」が、すでに使用しているパソコンの場合は「ドライブ全体の暗号化」が推奨されている)
- 暗号化モードについて「新しい暗号化モード」と「互換モード」のいずれかを選択する(内蔵メディアには「新しい暗号化モード」が、端末から取り外し可能なメディアには「互換モード」が推奨されている)
- 最終確認をしたら、暗号化処理が始まる(処理時間はドライブ容量や選択内容により異なる)
BitLockerの設定完了後は、パソコンが再起動し、暗号化の処理が進んでいきます。
BitLockerの無効化手順
BitLockerで一度暗号化を有効にしたドライブでも、状況に応じて無効化(暗号化の解除)を行うことが可能です。例えば、BitLockerを使わないセキュリティ運用に切り替える場合や、パソコンの譲渡・廃棄を行う場合には、暗号化を解除しておく必要があります。
Windows 10・11でBitLockerを無効化したい場合は、下記の手順で進めましょう。
- BitLockerの無効化の手順(Windows 10・11の場合)
-
- 「スタート」メニューから「すべてのアプリ」をクリックして「Windows ツール」を開く
- 「コントロールパネル」から「システムとセキュリティ」を開き「BitLockerドライブ暗号化」を選択する
- 「オペレーティング システム ドライブ」欄内の「BitLockerを無効にする」をクリックする
- 確認画面が表示されるため「BitLockerを無効にする」を選択する
上記の手順で進めると、データの暗号化の解除が始まります。処理時間はドライブの容量やパフォーマンスによって異なりますが、途中で電源が切れないように注意してください。
なお、業務用端末では、従業員が勝手にBitLockerを無効化しないよう、管理者の許可を必要とする社内ルールなどを設定しておくことも重要です。
BitLockerのメリット
BitLockerを利用することによる代表的なメリットとしては、下記の2点が挙げられます。うまく活用して、情報セキュリティ対策を強化しましょう。
パソコンの紛失・盗難時の情報漏洩を防止できる
BitLockerのメリットは、業務で使用しているパソコンが万が一紛失したり盗難に遭ったりした場合でも、BitLockerを有効化していれば、その中に保存されている顧客情報・機密情報の漏洩を防止できる点です。
BitLockerで暗号化されたハードディスクが他のパソコンに接続されたとしても、パスワードや回復キーがなければ、保存されたデータを読み取ることはできません。BitLockerはデータそのものの保護を実現するため、企業における情報漏洩対策として有効です。
標準搭載のため追加の費用負担がない
BitLockerは、一部のエディションに限定されているもののWindowsに標準搭載されており、別途暗号化専用ツールを購入する必要がない点もメリットといえます。対応したエディションを導入した端末があれば、情報漏洩対策のために追加のコストは必要ありません。
また、Windows OSの1つの機能として動作するため、他の専用ツールを導入する場合と比べて管理、運用の手間も減ります。
BitLockerの注意点
BitLockerは便利な暗号化ツールですが、適切に使わなければ業務に支障をきたす可能性があります。下記では、BitLockerを導入、運用する上で押さえておくべき注意点を紹介します。
回復キーの管理が不十分だと暗号化されたデータにアクセスできない
BitLockerの回復キーが適切に保存・管理されていなかった場合、システムにアクセスできなくなり、パソコンを初期化せざるを得なくなるケースがある点には注意が必要です。
BitLockerを有効にすると、トラブル発生時に必要となる回復キーが自動的に生成されます。この回復キーは、パソコンの起動でトラブルや不具合が発生したときに、入力を求められます。回復キーが見つからない場合、起動トラブルが発生しただけで業務用のデータにアクセスできなくなるため、データをすべて消去しなければならなくなる事態にもなりかねません。
このようなリスクを回避するためにも、回復キーは下記のような方法を導入して安全に管理するのがお勧めです。
- BitLockerの回復キーの管理方法
-
- IT部門での一元管理
- Microsoft アカウントなどへの保存
- 回復キーの定期的なバックアップ
管理権限のあるアカウントだとBitLockerを無効化できる
BitLockerは、管理者権限を持つユーザーであれば簡単に無効化したり、暗号化設定を変更したりすることができる点にも注意しなければなりません。全従業員に管理者権限を付与している場合、BitLockerの設定が意図せず無効にされてしまい、セキュリティポリシーが形骸化するリスクがあります。
この問題を防ぐには、下記のような対策が有効です。
- 意図しないBitLockerの設定変更を防ぐための対策
-
- 従業員用アカウントには管理者権限を付与しない
- 管理者アカウントへのアクセスを監視・制限する
- 社内ルールなどでBitLockerの設定変更を制限する
BitLockerを効果的に運用するためには、技術的な仕組みと社内ルールの両面からの対策が欠かせません。
BitLockerの効率的な管理方法
BitLockerを組織全体で運用していくためには、個々の端末ごとの回復キーを手動で管理するのではなく、システム的に一元管理する体制を整えることが重要です。特に大規模な企業では、数百台以上の端末が対象になることも珍しくないため、管理を効率化しなければ運用が破綻しかねません。
BitLockerの設定や回復キーの状況を効率的に管理するための代表的な手段としては、下記の2点が挙げられます。
Active Directoryの活用
Microsoftが提供するActive Directoryでは、BitLockerと連携させることで、社内端末の回復キーの管理を効率化できます。BitLockerの回復情報をActive Directoryに自動的に保存する設定が適用できるため、従業員が意図せず回復キーを紛失しても、管理者がActive Directoryから簡単に回復キーを取得できます。
IT資産管理ツールの活用
Active Directory以外にも、市販されているIT資産管理ツールを導入することで、BitLockerの回復キーや暗号化状態を一括で把握・管理することが可能です。例えば、BitLockerの暗号化設定の有無や回復キーの収集・集中管理機能が搭載されたツールもあります。
IT資産管理ツールには情報漏洩対策のための機能が搭載されたものもあるため、セキュリティを強化しながら管理者の負担を軽減したい場合には有効な手段となります。
- 併せて読みたい
BitLockerを有効に活用し、情報漏洩を防ごう
BitLockerは、Windowsに標準搭載されていながら高度なセキュリティ対策を実現できる機能です。ただし、BitLockerを安全に活用するには、回復キーを適切に管理しなければなりません。回復キーを紛失すると暗号化されたデータにアクセスできなくなり、業務に重大な支障が出るおそれもあります。そのため、IT管理部門による一元管理体制を整え、回復キーの保存先や復旧フローを明確にしておくことが重要です。
BitLocker以外にも情報漏洩対策を導入しながら、BitLockerの管理を効率化したい場合は、IT資産管理ツールの活用をお勧めします。例えば、インターコムの「MaLion」シリーズは、BitLockerの暗号化状況の把握や回復キーの取得機能を備えながら、さらにセキュリティポリシーに違反した端末の検知、ファイルアクセスの監視・制御といった機能も搭載されているため、BitLockerも含めた多層的な対策の導入が可能です。
これから情報漏洩対策を本格的に見直そうとしている場合は、BitLockerの活用と併せて、ぜひ「MaLion」シリーズの導入もご検討ください。
