ステップ バイ ステップ ガイド - Windows BitLocker ドライブ暗号化

更新日: 2007年4月

適用対象: Windows Server 2008, Windows Vista

このステップ バイ ステップ ガイドでは、テスト環境で Windows® BitLocker™ ドライブ暗号化を使用するのに必要な手順について説明します。テスト ラボ環境で、最初にこのガイドに記載されている手順を実行することをお勧めします。ステップ バイ ステップ ガイドは、付属のドキュメント (「その他の資料」に記載されているドキュメントなど) なしで Windows Vista® オペレーティング システムの機能を展開できるようには作成されていません。ドキュメントを単独で使用する場合はご注意ください。

BitLocker ドライブ暗号化とは

BitLocker ドライブ暗号化は、Windows Vista オペレーティング システムに不可欠の新しいセキュリティ機能で、コンピュータ上のオペレーティング システム、およびオペレーティング システム ボリューム上に格納されているデータを強力に保護します。BitLocker は、オペレーティング システムが動作していないときにコンピュータが改ざんされた場合にも、Windows Vista を実行しているコンピュータに保存されているデータの暗号化を確実に維持します。これは "オフライン攻撃"、つまり、インストールされているオペレーティング システムを無効化または回避するか、ハード ディスク ドライブを物理的に取り外してデータを個別に攻撃することで行われる攻撃からの保護に役立ちます。

BitLocker では、トラステッド プラットフォーム モジュール (TPM) を使用してデータ保護を強化し、ブート コンポーネントの初期段階での整合性を確保します。これは、Windows のボリューム全体を暗号化することによって盗難や無断閲覧からデータを保護するのに役立ちます。

BitLocker は、シームレスな操作をユーザーが体験できるように設計されています。また、互換性のある TPM マイクロチップと BIOS を搭載したシステム用に設計されています。互換性のある TPM は、バージョン 1.2 TPM と定義されています。互換性のある BIOS では、Trusted Computing Group が定める TPM と信頼性測定の静的ルートがサポートされている必要があります。TPM の仕様の詳細については、Trusted Computing Group の Web サイトの、TPM の仕様に関するセクション (http://go.microsoft.com/fwlink/?LinkId=72757) (英語の可能性あり) を参照してください。

TPM は、BitLocker と連携して、システムの起動時にシームレスな保護を提供できるようにします。これはユーザーには透過的で、ユーザー ログオンの操作性に変更はありません。ただし、TPM が見つからないかまたは変更された場合、または起動情報が変更された場合、BitLocker は回復モードになり、データに再度アクセスするには回復パスワードが必要になります。

BitLocker ドライブ暗号化の対象ユーザー

このガイドは、次のような方を対象としています。

  • 製品を評価する IT プランナーおよびアナリスト

  • セキュリティ アーキテクト

このガイドの内容

このガイドは、管理者が Windows Vista の BitLocker ドライブ暗号化機能を理解できるように作成されています。次のセクションでは、管理者がネットワーク内で BitLocker の構成と展開を開始するのに必要な基本的な情報と手順について説明します。

シナリオ 1 では、BitLocker ドライブ暗号化に必要な 2 つのパーティションを作成する手順について説明します。シナリオ 2 では、BitLocker と TPM を使用してドライブを暗号化する方法について説明します。シナリオ 3 では、BitLocker の拡張起動オプションの使用方法について説明します。シナリオ 4 では、ロックダウン後に暗号化されたデータにアクセスする方法、およびロックダウンの生成により BitLocker をテストする方法について説明します。シナリオ 5 では、BitLocker をオフにする手順を案内します。

noteメモ
このガイドで説明するシナリオでは、オペレーティング システム ボリュームで BitLocker ドライブ暗号化を使用します。オペレーティング システム ボリュームが暗号化されている場合は、BitLocker を使用して固定データ ボリュームを暗号化することもできます。

BitLocker ドライブ暗号化の要件

次の手順はテスト専用です。Microsoft Windows Server® 2008 または Windows Vista の機能の展開に使用する資料は、このガイドだけではありません。

ハードウェアとソフトウェアの要件

  • Windows Vista の最小要件を満たしているコンピュータ。

  • 有効になっている TPM マイクロチップ バージョン 1.2 (シナリオ 2 および 3)。

  • Trusted Computing Group (TCG) 互換の BIOS (シナリオ 2 および 3)。

  • システム ボリューム用に 1 つ、オペレーティング システムのボリューム用に 1 つの、合計 2 つの NTFS ドライブ パーティション。システム ボリュームのパーティションは少なくとも 1.5 GB 必要で、アクティブ パーティションとして設定されている必要があります (シナリオ 1)。

  • USB や CD ドライブではなく、最初にハード ディスク ドライブから起動する BIOS 設定。

noteメモ
USB フラシュ ドライブを含むテストでは、BIOS で起動時に USB フラシュ ドライブの読み取りをサポートする必要があります。

  • BitLocker が有効になっているときに、カーネル デバッガを実行しないことを強くお勧めします。このデバッガを使用すると、暗号化キーやその他の重要なデータにアクセスできるためです。ただし、BitLocker を有効にする前に、カーネル デバッグを有効にできます。BitLocker を有効にした後にカーネル デバッグを有効にすると、コンピュータを再起動するたびに、システムによって回復プロセスが自動的に起動されます。ブート デバッグ ("-bootdebug" オプションを指定したカーネル デバッグ) を有効にすると、コンピュータを再起動するたびに、システムによって回復プロセスが自動的に起動されます。

シナリオ 1: BitLocker ドライブ暗号化用にハード ディスクをパーティション化する

BitLocker が機能するには、ハード ディスク上に少なくとも 2 つのパーティションが必要です。最初のパーティションはシステム ボリュームで、このドキュメントでは、S というラベルが付けられています。このボリュームには、暗号化されていない領域にブート情報が格納されています。2 番目のパーティションはオペレーティング システム ボリュームで、このドキュメントでは、C というラベルが付けられています。このボリュームは暗号化されており、オペレーティング システムとユーザー データが格納されています。

これらのパーティションは、Windows Vista をインストールする前に作成する必要があります。

noteメモ
場合によっては、ボリュームに複数のパーティションが含まれていることがあります。このドキュメントでは、ボリュームとパーティションが機能的に同等な、シングル ボリュームについてのみ説明します。BitLocker は論理構造のボリュームで機能しますが、多くのディスク ツールは物理ディスク パーティションを対象にしています。

シナリオ 1 では、BitLocker に必要な 2 つのパーティションを作成する方法について説明します。この手順は、ディスク上のデータをバックアップ済みであることを前提としています。

noteメモ
データをバックアップ済みであること、および Windows Vista のプロダクト キーがあることを確認します。

noteメモ
シングル パーティション上に Windows Vista を既にインストールしている場合、BitLocker ドライブ準備ツールを使用して、BitLocker に必要なボリュームを構成できます。詳細については、http://support.microsoft.com/kb/930063 (英語の可能性あり) を参照してください。

BitLocker 用にオペレーティング システムのないディスクをパーティション化する

この手順では、製品 DVD からコンピュータを起動し、一連のコマンドを入力して次の操作を行います。

  • 1.5 GB の新しいプライマリ パーティションを作成します。

  • このパーティションをアクティブに設定します。

  • ディスクの残りの領域を使用して、2 番目のプライマリ パーティションを作成します。

  • 2 つの新しいパーティションを、Windows ボリュームとして使用できるようにフォーマットします。

  • Windows Vista を容量が大きなボリューム (ドライブ C) にインストールします。

noteメモ
BitLocker が正しく機能するには、2 番目のアクティブ パーティションを作成する必要があります。

実際のドライブ文字は、この例のドライブ文字と対応しない場合があります。この例では、オペレーティング システム ボリュームのラベルは C、システム ボリュームのラベルは S (System Volume を表す) になっています。また、システムに物理ハードディスク ドライブが 1 つだけ搭載されていることを前提としています。

BitLocker 用にオペレーティング システムのないディスクをパーティション化するには

  1. Windows Vista の製品 DVD からコンピュータを起動します。

  2. 初期の [Windows のインストール] 画面で、[インストールする言語]、[時刻と通貨の形式]、および [キーボード レイアウト] をクリックして、[次へ] をクリックします。

  3. 次の [Windows のインストール] 画面で、画面の右下にある [コンピュータの修復] をクリックします。

  4. [システム回復オプション] ダイアログ ボックスで、オペレーティング システムが選択されていないことを確認します。これを行うには、[オペレーティング システム] ボックスの一覧で、表示されている任意のエントリの下の空いている領域をクリックします。[次へ] をクリックします。

  5. 次の [システム回復オプション] ダイアログ ボックスで、[コマンド プロンプト] をクリックします。

  6. Diskpart を使用して、オペレーティング システム ボリュームのパーティションを作成します。コマンド プロンプトで、「diskpart」と入力し、Enter キーを押します。

  7. select disk 0」と入力します。

  8. clean」と入力して、既存のパーティション テーブルを消去します。

  9. create partition primary size=1500」と入力して、作成しているパーティションをプライマリ パーティションとして設定します。

  10. assign letter=S」と入力して、このパーティションに S 指定子を指定します。

  11. active」と入力して、新しいパーティションをアクティブ パーティションとして設定します。

  12. create partition primary」と入力して、別のプライマリ パーティションを作成します。Windows を、この容量が大きなパーティションにインストールします。

  13. assign letter=C」と入力して、このパーティションに C 指定子を指定します。

  14. list volume」と入力して、このディスク上のすべてのボリュームの一覧を表示します。各ボリューム、ボリューム番号、文字、ラベル、ファイル システム、種類、サイズ、状態、および情報の一覧が表示されます。2 つのボリュームがあり、各ボリュームに使用されているラベルが正しいことを確認します。

  15. exit」と入力して、Diskpart アプリケーションを終了します。

  16. format c: /y /q /fs:NTFS」と入力してボリューム C を正しくフォーマットします。

  17. format s: /y /q /fs:NTFS」と入力してボリューム S を正しくフォーマットします。

  18. exit」と入力して、コマンド プロンプトを終了します。

  19. [システム回復オプション] ウィンドウで、右上のウィンドウを閉じるアイコンを使用して (または Alt キーを押しながら F4 キーを押して) ウィンドウを閉じ、インストールのメイン画面に戻ります。[シャットダウン] または [再起動] をクリックしないでください。

  20. [今すぐインストール] をクリックして、Windows Vista のインストール プロセスを続行します。より大きなボリュームであるボリューム C (オペレーティング システム ボリューム) に、Windows Vista をインストールします。

シナリオ 2: BitLocker ドライブ暗号化をオンにする

シナリオ 2 では、TPM を装備したシステムで、BitLocker ドライブ暗号化の保護をオンにする手順の概要について説明します。ボリュームを暗号化したら、通常モードでコンピュータにログオンします。

BitLocker ドライブ暗号化をオンにするには、次の手順を実行します。

開始する前に

  • 管理者としてログオンする必要があります。

  • 回復パスワードを印刷するように、プリンタを構成できます。

BitLocker ドライブ暗号化をオンにするには

  1. [スタート] ボタンをクリックし、[コントロール パネル]、[セキュリティ]、[BitLocker ドライブ暗号化] の順にクリックします。

  2. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、提示された操作が要求したものであることを確認して、[続行] をクリックします。詳細については、このドキュメントで後述する「その他の資料」を参照してください。

  3. [BitLocker ドライブ暗号化] ページで、オペレーティング システム ボリューム上の [BitLocker をオンにする] をクリックします。

    TPM が初期化されていない場合、TPM セキュリティ ハードウェアの初期化ウィザードが表示されます。指示に従って TPM を初期化し、コンピュータを再起動します。

  4. [回復パスワードを保存する] ページに、次のオプションが表示されます。

    • [パスワードを USB ドライブに保存する]: パスワードを USB フラシュ ドライブに保存します。

    • [パスワードをフォルダに保存する]: パスワードをネットワーク ドライブまたは他の場所に保存します。

    • [パスワードを印刷する]: パスワードを印刷します。

    これらのオプションの 1 つまたは複数を使用して、回復パスワードを保存します。各オプションについて、オプションを選択し、ウィザードの手順に従って回復パスワードを保存または印刷する場所を設定します。

    回復パスワードの保存が完了したら、[次へ] をクリックします。

    Important重要
    暗号化されたドライブを別のコンピュータに移動したり、システム起動情報を変更したりする場合、回復パスワードが必要になります。このパスワードは非常に重要なため、安全な場所に保管されたパスワードの追加コピーを作成し、データへのアクセスを確保することをお勧めします。BitLocker がロック状態になった場合、ボリューム上の暗号化データをロック解除するには、回復パスワードが必要になります (「シナリオ 4: BitLocker ドライブ暗号化で保護されたデータを回復する」を参照してください)。この回復パスワードは、該当する特定の BitLocker 暗号化に一意となっています。このパスワードは、他の BitLocker 暗号化セッションから暗号化されたデータを回復するために使用することはできません。

    Important重要
    最大限のセキュリティを実現するため、回復パスワードはコンピュータと離れた場所に保管してください。

  5. [ボリュームの暗号化] ページで、[Bitlocker システム チェックを実行する] チェックボックスがオンになっていることを確認し、[続行] をクリックします。

    [今すぐ再起動する] をクリックして、コンピュータの再起動を確認します。コンピュータが再起動し、BitLocker によって、コンピュータが BitLocker 互換で暗号化するための準備ができていることが確認されます。それ以外の場合、問題について警告するエラー メッセージが表示されます。

  6. 暗号化の準備ができている場合、[暗号化を実行中です] ステータス バーが表示されます。ディスク ボリューム暗号化の現在の完了状態を監視するには、マウス カーソルを画面下部の通知領域にある [BitLocker ドライブ暗号化] アイコン上までドラッグします。 .

    この手順を完了すると、オペレーティング システム ボリュームが暗号化され、このボリュームに一意の回復パスワードが作成されます。次回のログオン時、表示上の変化はありません。TPM が変更されているかアクセスできない場合、主要なシステム ファイルが変更されている場合、または他のユーザーがディスクからコンピュータを起動してオペレーティング システムを回避しようとした場合、回復パスワードを入力するまで、コンピュータは回復モードに切り替わります。

シナリオ 3: BitLocker ドライブ暗号化の拡張起動オプションを有効にする

シナリオ 3 では、コンピュータのグループ ポリシー設定を変更し、TPM がなくても BitLocker ドライブ暗号化を有効にするか、または BitLocker の高度な起動オプション (PIN と共に TPM を使用するか、スタートアップ キーと共に TPM を使用する) の 1 つを有効にする手順を示します。

TPM 以外のシナリオでは、ユーザー自身を認証するために、起動キーを使用します。起動キーは、コンピュータの起動前にコンピュータに挿入される USB フラシュ ドライブにあります。このようなシナリオでは、オペレーティング システム起動前の環境 (起動時) で、コンピュータに USB フラシュ ドライブを読み取る BIOS がある必要があります。BIOS の確認は、BitLocker セットアップ ウィザードの最終段階近くのハードウェア テストで行うことができます。

高度なスタートアップ オプションと共に TPM を使用するシナリオでは、認証の 2 番目の要素 (PIN、または USB フラッシュ ドライブのスタートアップ キー) を標準の TPM 保護に追加できます。TPM で USB フラシュ ドライブを使用するには、オペレーティング システム起動前の環境 (起動時) で、コンピュータに USB フラシュ ドライブを読み取る BIOS がある必要があります。BIOS の確認は、BitLocker セットアップ ウィザードの最終段階近くのハードウェア テストで行うことができます。

はじめに

  • 管理者としてログオンしている必要があります。

  • データ ボリュームの回復パスワードを保存するには、USB フラシュ ドライブが必要です。

  • 回復パスワードとは別の起動キーを保存するために、2 つ目の USB フラシュ ドライブを使用することをお勧めします。

互換性のある TPM を装備していないコンピュータ上で BitLocker ドライブ暗号化をオンにするには

  1. [スタート] ボタンをクリックし、[検索の開始] ボックスに「gpedit.msc」と入力して、Enter キーを押します。

  2. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、提示された操作が要求したものであることを確認して、[続行] をクリックします。詳細については、後の「その他の資料」を参照してください。

  3. グループ ポリシー オブジェクト エディタのコンソール ツリーで、[ローカル コンピュータ ポリシー]、[管理用テンプレート]、[Windows コンポーネント] の順にクリックして、[BitLocker ドライブ暗号化] をダブルクリックします。

  4. [コントロール パネル セットアップ : 詳細なスタートアップ オプションを有効にする] をダブルクリックします。[コントロール パネル セットアップ : 詳細なスタートアップ オプションを有効にする] ダイアログ ボックスが表示されます。

  5. [有効] オプションをクリックして、[互換性のある TPM が装備されていない BitLocker を許可する] チェックボックスをオンにし、[OK] をクリックします。

    これで TPM の代わりに起動キーを使用できるように、ポリシー設定が変更されました。

  6. [グループ ポリシー オブジェクト エディタ] ウィンドウを閉じます。

  7. グループ ポリシーをすぐに適用するには、[スタート] ボタンをクリックし、[検索の開始] ボックスに「gpupdate.exe /force」と入力して、Enter キーを押します。プロセスの完了を待ちます。

  8. [スタート] ボタンをクリックし、[コントロール パネル]、[セキュリティ]、[BitLocker ドライブ暗号化] の順にクリックします。

  9. [ユーザー アカウント制御] メッセージが表示された場合は、表示された操作が要求どおりであることを確認し、[続行] をクリックします。詳細については、後の「その他の資料」を参照してください。

  10. [BitLocker ドライブ暗号化] ページで、オペレーティング システム ドライブの [BitLocker をオンにする] をクリックします。

  11. [BitLocker のスタートアップ設定を設定する] ページで、[毎回のスタートアップ時にスタートアップ USB キーを要求する] オプションをクリックします。これは TPM 以外の構成でのみ利用可能なオプションです。このキーは、コンピュータの起動前に毎回挿入する必要があります。

  12. コンピュータに USB フラシュ ドライブがまだ挿入されていない場合、フラシュ ドライブを挿入します。

  13. [スタートアップ キーの保存] ページで、USB フラシュ ドライブの場所をクリックして、[保存] をクリックします。

  14. [回復パスワードの保存] ページには、次のオプションが表示されます。

    • [パスワードを USB ドライブに保存する]。パスワードを USB フラッシュ ドライブに保存します。

    • [パスワードをフォルダに保存する]。パスワードをネットワーク ドライブまたはその他の場所に保存します。

    • [パスワードを印刷する]。パスワードを印刷します。

    これらのオプションの 1 つ以上を使用して、回復パスワードを保存します。オプションごとに、そのオプションを選択し、ウィザードの手順に従って、回復パスワードを保存または印刷する場所を設定します。

    回復パスワードの保存を終了したら、[次へ] をクリックします。

    Important重要
    暗号化されたドライブを別のコンピュータに移動するか、またはシステムのスタートアップ情報に変更を加えるときに、回復パスワードが必要になります。このパスワードは非常に重要なので、パスワードの追加のコピーを安全な場所に保存し、確実にデータにアクセスできるようにしておくことをお勧めします。BitLocker がロック状態になった場合、ボリューム上の暗号化データをロック解除するには、回復パスワードが必要になります (「シナリオ 4: BitLocker ドライブ暗号化で保護されたデータを回復する」を参照してください)。回復パスワードは、この特定の BitLocker 暗号化に固有のものです。このパスワードを使用して、他の BitLocker 暗号化セッションで暗号化されたデータを回復することはできません。

    Important重要
    最大限のセキュリティを実現するため、回復パスワードはコンピュータとは別の場所に保存してください。

  15. [選択したディスク ボリュームの暗号化] ページで、[Bitlocker システム チェックを実行する] チェック ボックスがオンになっていることを確認し、[続行] をクリックします。

    [今すぐ再起動する] をクリックして、コンピュータの再起動を確認します。コンピュータが再起動し、BitLocker によって、コンピュータが BitLocker 互換で暗号化するための準備ができていることが確認されます。それ以外の場合、暗号化の開始前に、問題について警告するエラー メッセージが表示されます。

  16. 暗号化の準備ができている場合、[暗号化を実行中です] ステータス バーが表示されます。ディスク ボリューム暗号化の現在の完了状態を監視するには、マウス カーソルを画面下部の通知領域にある [BitLocker ドライブ暗号化] アイコン上までドラッグするか、[暗号化] バルーンをクリックします。

    この手順を完了すると、オペレーティング システム ボリュームが暗号化され、該当するボリュームに一意の回復パスワードが作成されます。次にコンピュータの電源を入れる場合、USB フラシュ ドライブをコンピュータの USB ポートに接続する必要があります。接続していない場合、暗号化されたボリューム上のデータにアクセスできません。起動キーは、セキュリティを強化するためにコンピュータから離れた場所に保存してください。

    起動キーを含む USB フラシュ ドライブがない場合、データにアクセスするには、回復モードを使用して回復パスワードを入力する必要があります。

TPM と PIN または TPM と USB フラシュ ドライブ上の起動キーを使用して、BitLocker ドライブ暗号化をオンにするには

  1. [スタート] ボタンをクリックし、[検索の開始] ボックスに「gpedit.msc」と入力して、Enter キーを押します。

  2. [ユーザー アカウント制御] ダイアログ ボックスが表示された場合は、表示された操作が要求どおりであることを確認し、[続行] をクリックします。詳細については、後の「その他の資料」を参照してください。

  3. グループ ポリシー オブジェクト エディタのコンソール ツリーで、[ローカル コンピュータ ポリシー]、[管理用テンプレート]、[Windows コンポーネント] の順にクリックし、[BitLocker ドライブ暗号化] をダブルクリックします。

  4. [コントロール パネル セットアップ : 詳細なスタートアップ オプションを有効にする] をダブルクリックします。[コントロール パネル セットアップ : 詳細なスタートアップ オプションを有効にする] ダイアログ ボックスが表示されます。

  5. [有効] オプションをオンにします。TPM と PIN または TPM と起動キーの構成では、これ以上設定を変更する必要はありませんが、ユーザーによる起動キーまたは PIN の作成を要求または禁止することを選択できます。[OK] をクリックします。

  6. [スタート] ボタンをクリックし、[検索の開始] ボックスに「gpupdate.exe/force 」と入力して、Enter キーを押します。プロセスの完了を待ちます。

  7. [スタート] ボタンをクリックし、[コントロール パネル]、[セキュリティ]、[BitLocker ドライブ暗号化] の順にクリックします。

  8. [ユーザー アカウント制御] メッセージが表示された場合は、表示された操作が要求どおりであることを確認し、[続行] をクリックします。詳細については、後の「その他の資料」を参照してください。

  9. [BitLocker ドライブ暗号化] ページで、システム ボリューム上の [BitLocker をオンにする] をクリックします。

  10. [BitLocker のスタートアップ設定を設定する] ページで、必要な起動オプションを選択します。1 つのオプションのみ選択できます。

    • 追加のセキュリティ要件なし。

    • [毎回のスタートアップ時に PIN を要求する]: [スタートアップ PIN を設定する] ページが表示されます。PIN を入力して確認し、[暗証番号 (PIN) の設定] をクリックします。

    • [毎回のスタートアップ時にスタートアップ USB キーを要求する]: [スタートアップ キーの保存] ページが表示されます。USB フラシュ ドライブを挿入し、ドライブの場所を選択して、[保存] をクリックします。

    noteメモ
    Windows 上で実行される、画面読み取りソフトウェアなどの支援技術ソフトウェアは、BitLocker の起動画面を読み取れません。ブート マネージャの実行時に表示されるためです。ブート マネージャは、Windows の動作前に実行されるコードです。PIN または回復パスワードを入力する際に表示される画面、および BitLocker エラー メッセージもこれに含まれます。

  11. [回復パスワードの保存] ページには、次のオプションが表示されます。

    • [パスワードを USB ドライブに保存する]。パスワードを USB フラッシュ ドライブに保存します。

    • [パスワードをフォルダに保存する]。パスワードをネットワーク ドライブまたはその他の場所に保存します。

    • [パスワードを印刷する]。パスワードを印刷します。

    Important重要
    暗号化されたドライブを別のコンピュータに移動するか、またはシステムのスタートアップ情報に変更を加えるときに、回復パスワードが必要になります。このパスワードは非常に重要なので、パスワードの追加のコピーを安全な場所に保存し、確実にデータにアクセスできるようにしておくことをお勧めします。BitLocker ドライブ暗号化がロック状態になった場合、ボリューム上の暗号化データをロック解除するには、回復パスワードが必要になります (「シナリオ 4: BitLocker ドライブ暗号化で保護されたデータを回復する」を参照してください)。回復パスワードは、この特定の BitLocker 暗号化に固有のものです。このパスワードを使用して、他の BitLocker 暗号化セッションで暗号化されたデータを回復することはできません。

    これらのオプションのいずれかを選択して、回復パスワードを保存します。最大限のセキュリティを実現するため、回復パスワードはコンピュータと離れた場所に保管してください。複数の回復パスワードの保存方法を選択するには、オプションを選択し、ウィザードの手順に従って回復パスワードを保存または印刷する場所を決定し、[次へ] をクリックします。その後、この手順を繰り返して、追加の回復パスワードの保存方法を選択できます。

  12. [選択したディスク ボリュームの暗号化] ページで、[Bitlocker システム チェックを実行する] チェック ボックスがオンになっていることを確認し、[続行] をクリックします。

    [今すぐ再起動する] をクリックして、コンピュータを再起動することを確認します。コンピュータが再起動し、BitLocker によってコンピュータが BitLocker 互換となり、暗号化の準備が整います。そうでない場合は、暗号化を開始する前にエラー メッセージが表示され、問題について警告されます。

  13. 暗号化の準備が整うと、[暗号化を実行中です] ステータス バーが表示されます。画面の下部にあるツール バーの BitLocker ドライブ暗号化アイコンにマウス カーソルを移動するか、または暗号化バルーンをクリックすると、ディスク ボリュームの暗号化の完了状態を監視することができます。

    この手順を完了すると、オペレーティング システム ボリュームが暗号化され、該当するボリュームに一意の回復パスワードが作成されます。次にコンピュータの電源を入れる場合、USB フラシュ ドライブをコンピュータの USB ポートに接続するか、PIN を入力する必要があります。接続または入力しない場合、暗号化されたボリューム上のデータにアクセスできません。起動キーは、セキュリティを強化するためにコンピュータから離れた場所に保存してください。起動キーまたは PIN がない場合、データにアクセスするには、回復モードに移行して回復パスワードを入力する必要があります。

シナリオ 4: BitLocker ドライブ暗号化で保護されたデータを回復する

シナリオ 4 では、BitLocker が回復モードになった後にデータを回復するプロセスについて説明します。ディスク暗号化キーが使用できない場合、BitLocker によってコンピュータはロックされます。次に可能性の高い原因の一覧を示します。

  • TPM に関連するエラーが発生している。

  • 初期のブート ファイルのいずれかが変更されている。

  • TPM が誤ってオフにされ、コンピュータの電源が切断されている。

  • TPM が誤って消去され、コンピュータの電源が切断されている。

コンピュータがロックされると、起動プロセスは、オペレーティング システム起動前の非常に初期の段階で中断されます。USB フラシュ ドライブの回復パスワードを使用するか、ファンクション キーを使用して回復パスワードを入力する必要があります。F1F9 キーは 1 ~ 9 の数字を表し、F10 キーは 0 を表します。

回復は起動プロセスの非常に初期の段階で行われるため、Windows のユーザー補助機能は利用できません。ユーザー補助機能が必要な場合は、回復時の操作手順について検討してください。

このシナリオには、次の 2 つの手順が含まれています。

  • データ回復をテストする

  • データを回復する

データ回復をテストするには

  1. [スタート] ボタン、[すべてのプログラム]、[アクセサリ]、[ファイル名を指定して実行] の順にクリックします。

  2. [名前] ボックスに「tpm.msc」と入力して、[OK] をクリックします。TPM 管理コンソールが表示されます。

  3. [操作] の [TPM をオフにする] をクリックします。

  4. 必要に応じて TPM 所有者パスワードを入力します。

  5. [ローカル コンピュータ上の TPM 管理] タスク パネルの [状態] パネルに "TPM はオフで、所有権は取得されています。" と表示されたら、タスク パネルを閉じます。

  6. 開いているすべてのウィンドウを閉じます。

  7. 回復パスワードを含む USB フラシュ ドライブがシステムに接続されている場合、通知領域の [ハードウェアの安全な取り外し] アイコンを使用して、システムから取り外します。

  8. [スタート] ボタンをクリックしてから、[シャットダウン] ボタンをクリックしてコンピュータの電源を切断します。

コンピュータを再起動すると、回復パスワードの入力を求めるメッセージが表示されます。ボリュームの暗号化以降に、起動構成が変更されているためです。

BitLocker ドライブ暗号化を使用してデータへのアクセスを回復するには

  1. コンピュータの電源を入れます。

  2. コンピュータがロックされている場合、BitLocker ドライブ暗号化の回復コンソールが表示されます。

  3. 回復パスワードを含む USB フラシュ ドライブの挿入を求めるメッセージが表示されます。

    • 回復パスワードを含む USB フラシュ ドライブがある場合、挿入して Esc キーを押します。コンピュータが自動的に再起動されます。回復パスワードを手動で入力する必要はありません。

    • 回復パスワードを含む USB フラシュ ドライブがない場合は、Enter キーを押します。

      回復パスワードの入力を求めるメッセージが表示されます。

      回復パスワードがわかっている場合、そのパスワードを入力して、Enter キーを押します。

      回復パスワードがわからない場合は、Enter キーを 2 回押して、コンピュータの電源を切断します。

      noteメモ
      回復パスワードをこのコンピュータと切り離されたフォルダ内のファイル、またはリムーバブル メディアに保存した場合、別のコンピュータを使用してパスワードを含むファイルを開くことができます。正しいファイルを見つけるには、ロックされているコンピュータの回復コンソールのディスプレイ上で [パスワード ID] を検索し、その番号を記録します。回復キーを含むファイルは、このパスワード ID をファイル名として使用します。ファイルを開き、ファイル内の回復パスワードを見つけます。

シナリオ 5: BitLocker ドライブ暗号化をオフにする

シナリオ 5 では、BitLocker ドライブ暗号化をオフにし、ボリュームを暗号化する方法について説明します。この手順は、TPM を装備したコンピュータでも、互換性のある TPM が装備されていないコンピュータでも、すべて BitLocker ドライブ暗号化の構成については同じです。

BitLocker をオフにする場合、BitLocker を一時的に無効にするか、ドライブの暗号化を解除することを選択できます。BitLocker を無効にすると、TPM の変更、およびオペレーティング システムのアップグレードが可能になります。ドライブの暗号化を解除すると、ボリュームが再度読み取り可能になり、すべてのキーが破棄されます。ボリュームの暗号化を解除した場合、再度暗号化プロセスを実行して、新しいキーを生成する必要があります。

はじめに

  • 管理者としてログオンしている必要があります。

  • ドライブは暗号化する必要があります。

BitLocker ドライブ暗号化をオフにするには

  1. [スタート] ボタンをクリックし、[コントロール パネル]、[セキュリティ]、[BitLocker ドライブ暗号化] の順にクリックします。

  2. [BitLocker ドライブ暗号化] ページで、BitLocker ドライブ暗号化をオフにするボリュームを見つけ、[BitLocker をオフにする] をクリックします。

  3. [暗号化解除レベルの選択] ダイアログ ボックスで、必要に応じて [BitLocker ドライブ暗号化を無効にします] または [ボリュームの暗号化を解除します] をクリックします。

    この手順を完了すると、BitLocker が無効になるか、オペレーティング システム ボリュームの暗号化が解除されます。

その他の資料

次の参照情報は、BitLocker ドライブ暗号化についての追加情報を提供します。

  • BitLocker ドライブ暗号化のヘルプついては、すべての Microsoft Windows コンポーネントと同様に、マイクロソフト サポート オンライン (http://go.microsoft.com/fwlink/?LinkId=76619) に記載されているいずれかのサポート オプションをクリックしてください。

  • BitLocker に関する追加ドキュメントについては、Windows Server 2008 および Windows Vista を参照してください。詳細については、http://go.microsoft.com/fwlink/?LinkId=76553 (英語の可能性あり) を参照してください。

  • ユーザー アカウント制御機能の詳細については、ユーザー アカウント制御に関するページ (http://go.microsoft.com/fwlink/?LinkId=66018) (英語の可能性あり) を参照してください。

コミュニティの追加

表示: