Windowsの「BitLocker」「EFS」「ATAパスワードロック」の使い方を解説。それぞれのメリットやデメリットなど

   2021/01/22

この記事のURLをコピーする

普段使っているパソコンのSSDやHDDにセキュリティ対策をしていない場合、物理的に取り外して他のパソコンに接続すると簡単にアクセスできます。

自宅で自分のメインPCとサブPC間でハードディスクを移動するには問題ないのですが、仮にパソコンが盗難に遭ったり紛失した時はどうでしょう?

場合によっては悪意のある第三者にハードディスクの中身を見られてアクセスされることになります。これは考えるまでもなくセキュリティリスクが非常に高くなります。

こう言った最悪のケースに備えて、Windowsの機能でできる3つのハードディスクセキュリティ対策を解説します。




事前準備

Windowsの機能でSSDやHDDにセキュリティ対策する前に、念の為イメージディスクのバッアップを実行しておくことをおすすめします。

その理由は、万が一パスワードを忘れたり、暗号化キーを削除してしまった時に備える為です。特に大事なデータはUSBフラッシュメモリーや外付けのハードディスクにバックアップしておきます。

Windows10の場合、「システムの復元」と「イメージディスクのバックアップ」両方を実行しておけば安心です。

やり方はこちらにWindows10で説明しています。



ドライブを丸ごと暗号化できる「BitLocker」

Windowsにはドライブを丸ごと暗号化できる「BitLocker」と言う機能があります。

よく似た名称で「BitLocker To Go」がありますが、 BitLocker To GoはUSBフラッシュメモリーなどのリムーバブルデータドライブを暗号化できる機能です。

BitLockerを使えるWindowsは以下の通りです。

  • Windows 10 Professional以上のエディション
  • Windows 8.1 Professional以上のエディション
  • Windows 7 Ultimate及びEnterprise
  • Windows Vista Ultimate及びEnterprise
  • Windows Server

BitLockerを使いたい場合は、Windows 10 Proを買うのがいいと思います。私もWindows7からProを使っていますが、ハッキリ言ってProを買っておけばほとんどの機能が使えます。HomeとProのバージョン比較はMicrosoft.com Windows 10 Home と Pro の違い から確認できます。

created by Rinker
マイクロソフト
¥25,800 (2021/01/25 18:06:34時点 Amazon調べ-詳細)

BitLockerのメリット

「BitLocker」のメリットはいくつかあります。

  • パーティションおよびドライブ全体を簡単に暗号化できる
  • 暗号化したハードディスクを物理的に取り外して他のパソコンに接続してもロックがかかる
  • TPM(トラステッドプラットフォームモジュール)*と呼ばれるセキュリティチップセットに暗号化キーが格納されるので堅牢(PINコードも設定可能)
  • 暗号化アルゴリズムはWindows10バーション1511以降はXTS-AES*が採用される
  • 復号の際のパスワードを自動ロック解除できる機能があるので運用面で楽
*TPMとは?
TPM(Trusted Platform Module)とは、コンピューターのセキュリティとプライバシーを強化する暗号化モジュールのことでマザーボードに搭載されている。セキュリティ機能として暗号化と復号化によるデータの保護、認証資格情報の保護、およびシステムで実行されているソフトウェアの証明などがある。
*XTS-AESとは?
AES(Advanced Encryption Standard)は、データのブロック長を128ビットで暗号化するブロックアルゴリズム。鍵長は128ビット、192ビット、256ビットの3種類が存在する。2020年の現時点ではAES 256ビットが最も強固とされている。ブロックアルゴリズムの動作モードとして電子コードブック(ECB)や暗号ブロック連鎖(CBC)が存在する。CBCはECBのセキュリティ上の弱点に対処し、ポータブル暗号化フラッシュドライブでよく使用される一般的なモードの1つ。XTSはEBCよりも更に強力なデータ保護を備えた最新の動作モード。

BitLockerの主な用途としては、ハードディスクの盗難や紛失に備えてデータを保護する目的で使います。



BitLockerのデメリットと注意点

「BitLocker」は簡単にドライブを丸ごと暗号化できる反面、運用するにあたりデメリットや注意点がいくつかあります。

  • ドライブに読み書きする都度、暗号化と復号化のプロセスが実行されるので速度が遅くなる
  • TPMを搭載しないパソコンの場合、追加認証でUSBキーを発行するかパスワードを設定することになるが、TPMに比べてセキュリティ保護は弱くなる
  • ログイン試行回数によるロック機能がない
  • 1台のPCに1つのパスワードと1つの回復キーしか発行できない為、PCを共有している場合に管理が大変になる

TPMが搭載されていないパソコンでも、追加認証することで他のパソコンに接続してもUSBキーやパスワードがないとアクセスできない為、ハードディスクの盗難や紛失に備えるには充分と言われています。ただし、パスワードの場合は最低12文字以上、大小文字、数字、記号を組み合わせた複雑なパスワードが推奨されます。

・Microsoft.com 強力なパスワードを作成して使用する

BitLockerを有効にする

BitLockerを有効にするには、まず管理者権限でログインする必要があります。

キーボードショートカットの + Eでエクスプローラーを起動します。

暗号化したいドライブを選択して右クリックメニューから「BitLockerを有効にする」をクリックします。

CドライブはTPMが搭載されていないパソコンの場合、下画像のような警告が表示されます。

TPM非搭載の場合、そのままではCドライブを暗号化できない

警告が表示された場合はキーボードショートカットの + Rでコマンドプロンプトを起動した後にgpedit.mscと入力してグループポリシーエディターを起動します。

左メニューから、下のように進みます。

  • コンピューターの構成
    • 管理用テンプレート
      • Windowsコンポーネント
        • BitLockerドライブ暗号化
          • オペレーティングシステムのドライブ

「スタートアップ時に追加の認証を要求する」をクリックします。

「有効」を選択して「OK」をクリックします。

これでTPM非搭載のパソコンでもBitLocker追加認証が設定できるようになります。

再びドライブの上で右クリックして「BitLockerを有効にする」をクリックします。

「USBフラッシュドライブを挿入する」と言う項目が追加されていますが、今回は「パスワードを入力する」を選択します。

パスワードを入力します。入力できたら「次へ」をクリックします。

パスワードは大文字小文字記号などを混ぜてできるだけ長いパスワードが望ましい

ロック解除のパスワードを忘れた時の為に回復キーをバックアップしておきます。

回復キーとは?
システムのロックを解除するために使用できる48桁の数値パスワード。

回復キーを任意の方法でバックアップします。バッアップできたら「次へ」をクリック。

ドライブを暗号化する範囲を選択します。ハードディスクの容量によっては時間がかかりますが、ドライブを丸ごと暗号化したい場合は「ドライブ全体を暗号化する」を選択します。選択したら「次へ」をクリック。

次の画面では、『暗号化するドライブを固定ドライブとして使うか』『取り外し可能なリムーバブルメディアとして使うか』により選択が変わります。Cドライブの場合は通常、固定ドライブを選択します。

通常システムドライブの場合は固定モードを選択する

固定ドライブとして使う場合

Windowsのバージョン1511以降で固定ドライブとして使う場合は「新しい暗号化ドライブ」を選択します。

リムーバブルドライブとして使う場合

Windowsのバージョン1511より前のバージョンでリムーバルメディアとして使う場合は「互換モード」を選択します。

Windowsバージョンの確認方法

キーボードショートカットの + Rでファイルを指定して実行にcmdと入力してコマンドプロンプトを起動します。

コマンドプロンプトでwinverと入力してEnterキーを押すとお使いのWindowsバーションが確認できます。最新バージョンにするにはWindows Updateで更新プログラムをインストールする必要があります。

🔎クリックで拡大

バージョンを確認する

BitLockerで暗号化する準備ができたら「続行」をクリックします。

Cドライブの場合、再起動を求められますので起動しているアプリケーションを全て終了させてから「今すぐ再起動する」をクリックします。

再起動するとパスワードを求められますので入力するとWindowsログイン画面へ移行します。※この画面でキーボードのEscを押すとBitLockerを回復する為にログイン画面へ移行しますが、ドライブは暗号化されません。

Windowsにログインするとドライブが暗号化されて鍵のアイコンが表示されます。

右クリックメニューから「BitLockerの管理」をクリックするとドライブが暗号化されているのが確認できます。

コマンドプロンプトでも下のコマンドで全てのドライブの暗号化ステータスを確認できます。

  • manage-bde -status

リムーバルメディアを暗号化した場合は、USBフラッシュメモリーやハードディスクを一旦取り外して再接続するとドライブがロックされます。

ハードディスクを取り外して再接続するとロックがかかる

ドライブにアクセスするとロック解除のパスワード入力画面が表示されます。パスワードを入力するとドライブにアクセスできるようになります。

ロック解除のパスワードを忘れた場合

パスワード入力画面の「その他のオプション」をクリックすると「回復キーを入力する」と言う項目があるのでそこから回復キーを使ってロック解除することができます。

万が一パスワードを忘れた場合は回復キーを使う

パスワードなしで暗号化ドライブを使う

この設定をするとセキュリティ保護は弱くなりますが、パソコンを使う人が決まっている場合はパスワードを入力せずにアクセスできます。

パスワード入力画面の「その他のオプション」からパスワードを入力して「このPCで自動的にロックを解除する」にチェックを入れると設定できます。

セキュリティ的にはおすすめできない

自動ロック解除を無効にする

パスワードなしで暗号化ドライブを利用していたけど、やっぱり元に戻したい場合は、ドライブを選択して右クリックメニューから「BitLockerの管理」をクリックします。

「自動ロック解除の無効化」をクリックするとパスワードなしで無効化することができます。

BitLockerを無効にする

ドライブの暗号化を解除したい場合は、BitLockerを無効にします。ドライブを選択して右クリックメニューから「BitLockerの管理」をクリックします。

「BitLockerを無効にする」をクリックします。

ドライブの暗号化が解除される

パラメーターが間違っています。と表示される場合

新しいドライブを暗号化した後にアクセスすると「パラメーターが間違っています」と表示されてアクセスできないことがあります。

この原因は、まずドライブのファイルシステムにおける整合性が取れていないケースが考えられます。WindowsにはNTFS、exFAT、FAT32と言ったフォーマット形式がありますが、フォーマット形式はNTFSで記録されているのになぜかラベルはexFATになっているケースなどです。

特に新しいハードディスクを指定した形式でフォーマットせずに暗号化すると、システムがファイルシステムを把握できないので「パラメーターが間違っています」と返してきます。

なのでまずはドライブのラベルを確認します。

ドライブの上で右クリックメニューから「プロパティ」をクリックしてファイルシステムを確認します。

次にディスクにエラーがないかをコマンドプロンプトで確認します。 + Rでファイルを指定して実行にcmdと入力してコマンドプロンプトを起動します。

以下のコマンドを入力してEnterキーを押します。〇の部分はエラーチェックするドライブ文字を入力します。

  • chkdsk ○: /r

🔎クリックで拡大

途中でエラーチェックするドライブを使用していない場合はyを入力してEnterキーを押します。※ディスクが使用中の場合はnを入力して次回再起動時のエラーチェック許可をスケジュールしてください。

🔎クリックで拡大

エラーチェックが開始されて結果が表示されます。結果に問題がなければOKです。

🔎クリックで拡大

問題がある場合は結果に表示されている操作を実行してください。

ドライブのファイルシステムが問題の場合は、ドライブにあるファイルをバックアップした上でフォーマットすると確実です。※フォーマットするとドライブ内のファイルは全て削除されますので必ずバックアップをとってから実行してください。



EFSでフォルダやファイルを暗号化する

Windows2000から用意されているWindows機能にEFSがあります。

EFSとはEncrypting File Systemの略で、暗号化ファイルシステムのことです。

BitLockerがドライブおよびパーティション単位で暗号化するのに対し、EFSはフォルダやファイル単位で暗号化できます。

EFSのメリット

EFSにもメリットがあります。

  • 「重要なファイルだけを暗号化する」と言った融通が利く
  • 暗号化アルゴリズムはWindows Server 2003、Windows Vista以降でAES 256ビットが採用されている
  • 証明書をインストールすることで他のパソコンでも暗号化したファイルを扱える

主な用途としては、重要なファイルだけを暗号化して保護する目的で使われます。

EFSのデメリットと注意点

EFSにはいくつかのデメリットや注意点があります。

  • システムファイルなど暗号化できないファイルがある
  • EFSの復号化キーが同じOS内に保存される
  • ファイルに読み書きする都度、暗号化と復号化のプロセスが実行されるので速度が遅くなる
  • クリーンインストール時にはキー値が変わるのでパスワードを忘れるとファイルにアクセスできなくなる
  • 管理者権限でログインされたらパスワードなしでファイルを開ける
  • フォルダやファイル単位なので暗号化したかどうかを把握しておく必要がある

EFSで暗号化する前に、管理者はサインインオプションを生体認証にするなどの見直しを検討することをおすすめします。

また、パソコンのアップグレードやクリーンインストールの際には、一旦EFSを無効化して実行するようにします。そうすれば、ドライブを移動した時にも証明書をインストールしてパスワードを入力してと言った面倒なプロセスでファイルにアクセスする必要がなくなります。

EFSを有効にする

ファイルやフォルダを選択して右クリックメニューから「プロパティ」をクリックして「詳細設定」をクリックします。

「内容を暗号化してデータをセキュリティで保護する」にチェックを入れます。

前の画面に戻るので「OK」をクリックします。

「変更をこのフォルダー、サブフォルダーおよびファイルに適用する」を選択して「OK」をクリックします。

証明書のバッアップをとる

続いて証明書のバックアップをとり、暗号化されたファイルを更新します。

「コントロールパネル」→「ユーザーアカウント」→「ユーザーアカウント」と進み、左メニューにある「ファイル暗号化証明書の管理」をクリックします。

「次へ」をクリック。

「今すぐ証明書とキーをバックアップする」の項目にバッアップの保存先を選択してパスワードを設定して「次へ」をクリックします。

暗号化したファイルの更新画面では、必ず暗号化したフォルダにチェックを入れて「次へ」をクリックします。

証明書の有効期限とバックアップ先を確認します。

EFSで暗号化したフォルダやファイルは、証明書を持つパソコン以外では開くことができなくなります。

EFSで暗号化したファイルをサブPCなどで開きたい場合は、バックアップした証明書をインストールすることで開けるようになります。ただし、インストールするには証明書を作成した時に設定したパスワードが必要になります。

他のパソコンに証明書をインストールする場合はパスワードが必要になる




ATAパスワードロックを有効にする

ATAパスワードロックはハードディスクパスワードとも呼ばれ、ハードウェアレべルでハードディスク自体にパスワードを設定できます。

パソコンは起動時に接続されているハードウェアが正常に動作するのを認識してからログイン画面へと移行します。

つまりATAパスワードを設定すると、ログイン画面が表示される前にパスワードを求められるようになります。

BitLockerやEFSはデータを暗号化している為、セキュリティ保護的には強い部類に入りますが、アクセス速度が遅くなると言うデメリットもあります。

ATAパスワードロックはハードディスクを暗号化するわけではないので、パスワードを設定しても通常の速度でアクセスが可能です。

また、ATAパスワードロックを設定するとハードディスクを盗難されて他のパソコンに接続しても正しいパスワードを入力しない限りアクセスできません。

ただし、パスワードを忘れると起動すらしないのでWindowsにログインできなくなります。万が一パスワードを忘れた場合はそのハードディスクの中身は諦めるしかありません。パスワードは絶対に忘れないよう厳重に保管しないといけません。

ATAパスワードは一見強力に見えますが、悪意のある第三者に盗難された場合、専用のパスワード解除ツールで解除される可能性もゼロではありませんので、過信は禁物です。

ATAパスワードロックの有効化

まず、BIOSを起動します。※BIOSはパソコンのハードウェアを制御するシステムなので、操作方法などをよく調べて設定しないと最悪パソコンが起動しなくなることもあります。面倒臭かったり分からない場合は無理に設定するのはやめておいた方がいいです。

パソコンの電源を入れてメーカーロゴが表示されている画面でキーボードのF2F12Deleteを何回か押していると表示されます。BIOSの起動方法はメーカーにより異なりますので、詳細はメーカーのHPで調べてください。

BIOSのメイン画面の「セキュリティ」に「ハードディスク保護」と言う項目が表示されていれば設定できます。

ATAパスワードが設定できないパソコンの場合

自作PCなどでATAパスワードロック機能がない場合は、ハードディスクにパスワードを設定できるHDDケースが販売されています。

下のような商品で、HDDケース自体にタッチパッドが搭載されていてパスワードを設定できます。価格はそれなりにしますが、ほぼ物理的にパスワードを設定できますのでこう言った商品を活用するのもアリかと思います。

あとがき

今回はWindows機能でできるハードディスクセキュリティ対策をご紹介しましたが、いずれも回復キーやパスワードの管理が大事になってきます。

重要なファイルにアクセスできなくなったのでは元も子もありません。

その辺りはご自身の裁量で支障がでない程度に設定してみてください。

  • このエントリーをはてなブックマークに追加
  • Pocket

関連記事