BitLocker に関してよく寄せられる質問 (FAQ)
IT プロフェッショナル向けのこのトピックでは、BitLocker の使用、アップグレード、展開、管理、およびキー管理ポリシーに関してよく寄せられる質問にお答えします。
BitLocker はコンピューターのハード ドライブを暗号化するデータ保護機能であり、紛失したり盗まれたりしたコンピューターおよびリムーバブル ドライブのデータの盗難または漏洩に対する強力な保護を提供します。また、暗号化されていないドライブより暗号化されたドライブの方が削除されたデータの回復がはるかに困難なので、BitLocker で保護されたコンピューターは廃棄するときにデータをより安全に削除できます。
概要と要件
アップグレード
展開と管理
キーの管理
BitLocker To Go
Active Directory ドメイン サービス (AD DS)
セキュリティ
BitLocker ネットワーク ロック解除
その他の質問
概要と要件
BitLocker のしくみ
オペレーティング システム ドライブでは BitLocker はどのように動作しますか
BitLocker を使用して、オペレーティング システム ドライブ上のすべてのユーザー ファイルとシステム ファイル (スワップ ファイルと休止ファイルを含みます) を暗号化し、初期ブート コンポーネントとブート構成データの整合性を確認することにより、なくしたり盗まれたりしたコンピューターのデータへの不正アクセスを減らすことができます。
固定データ ドライブおよびリムーバブル データ ドライブでは BitLocker はどのように動作しますか
BitLocker を使用して、データ ドライブの内容全体を暗号化できます。グループ ポリシーを使用して、コンピューターがドライブにデータを書き込むにはドライブで BitLocker を有効にする必要があるように指定できます。BitLocker ではデータ ドライブのさまざまなロック解除方法を構成でき、1 つのデータ ドライブが複数のロック解除方法をサポートします。
BitLocker は多要素認証をサポートしますか。
はい、BitLocker はオペレーティング システム ドライブに対する多要素認証をサポートしています。TPM バージョン 1.2 以降を使用するコンピューターで BitLocker を有効にした場合、他の認証方式を TPM 保護で使用できます。
BitLocker にはハードウェアとソフトウェアに関してどのような要件がありますか。
注
BitLocker ではダイナミック ディスクはサポートされません。 動的データ ボリュームはコントロール パネルに表示されません。 オペレーティング システム ボリュームはダイナミック ディスクかどうかに関わらずコントロール パネルに常に表示されますが、ダイナミック ディスクである場合は BitLocker で保護できません。
パーティションが 2 つ必要なのはなぜですか。これほど大きなシステム ドライブが必要なのはなぜですか。
BitLocker を実行するために 2 つのパーティションが必要になるのは、起動前の認証およびシステムの整合性の検証は、暗号化されたオペレーティング システム ドライブとは別のパーティションで行う必要があるためです。この構成により、オペレーティング システムおよび暗号化されたドライブ内の情報を保護できます。
BitLocker はどのトラステッド プラットフォーム モジュール (TPM) をサポートしていますか。
BitLocker は TPM バージョン 1.2 以降をサポートします。
どうすればコンピューターに TPM が取り付けられていることを確認できますか。
TPM MMC コンソール (tpm.msc) を開き、[状態] を確認します。
TPM が取り付けられていないオペレーティング システム ドライブで BitLocker を使用できますか。
はい、BIOS または UEFI ファームウェアがブート環境で USB フラッシュ ドライブから読み取ることができる場合、TPM バージョン 1.2 以降がオペレーティング システム ドライブになくても BitLocker を有効にできます。これは、コンピューターの TPM によって、またはそのコンピューターの BitLocker スタートアップ キーを含む USB フラッシュ ドライブによって、先に BitLocker 自体のボリューム マスター キーが解放されるまで、BitLocker は保護されたドライブをロック解除しないためです。ただし、TPM が取り付けられていないコンピューターでは、BitLocker のもう 1 つの機能であるシステム整合性の検証は使用できません。
ブート プロセス中に USB デバイスから読み取る機能がコンピューターにあるかどうかを判断するには、BitLocker のセットアップ プロセスの一部として、BitLocker システム チェックを使用します。このシステム チェックは、コンピューターが適切なタイミングで USB デバイスから正常に読み取れること、および BitLocker の他の要件をコンピューターが満たしていることを、テストして確認します。
コンピューターの BIOS で TPM をサポートするにはどうすればよいですか。
コンピューターの製造元に問い合わせて、Trusted Computing Group (TCG) に準拠し以下の要件を満たす BIOS または UEFI ブート ファームウェアを要求してください。
クライアント コンピューターの TCG 標準に準拠している。
悪意のある BIOS またはブート ファームウェアがコンピューターにインストールされるのを防ぐセキュリティで保護された更新メカニズムを備えている。
BitLocker を使用するにはどのような資格情報が必要ですか。
オペレーティング システムおよび固定データ ドライブで BitLocker を有効または無効にしたり構成を変更したりするには、ローカルな Administrators グループのメンバーシップが必要です。標準ユーザーは、リムーバブル データ ドライブでの BitLocker の有効化、無効化、または構成の変更が可能です。
BitLocker で保護されるコンピューターではどのようなブート順が推奨されますか。
ハード ディスク ドライブをブート順の先頭にして、CD/DVD ドライブや USB ドライブなどの他のすべてのドライブより前になるように、コンピューターのスタートアップ オプションを構成する必要があります。普通ハード ディスクから起動していても、ハード ディスクが 1 番目になっていない場合は、ブートの間にリムーバブル メディアが検出されると、ブート順の変更が検出または想定される可能性があります。通常、ブート順は BitLocker によって検証されるシステム測定に影響を与え、ブート順を変更すると BitLocker 回復キーの入力を求められます。同じ理由で、ドッキング ステーションを備えたラップトップを使用している場合は、ドッキングしているときも、していないときも、ハード ディスク ドライブがブート順で先頭になるようにしてください。
アップグレード
Windows 7 または Windows 8 のコンピューターを、Windows 10 にアップグレードして BitLocker を有効にできますか。
はい。[BitLocker ドライブ暗号化] コントロール パネルを開き、[BitLocker の管理] をクリックして、[中断] をクリックします。保護を中断しても、ドライブの暗号化が解除されることはありません。BitLocker によって使用される認証メカニズムが無効になり、クリア キーを使用してドライブにアクセスできるようになるだけです。アップグレードが完了した後、エクスプローラーを開き、ドライブを右クリックして、[保護の再開] をクリックします。これにより、BitLocker の認証方法が再度適用され、クリア キーは削除されます。
BitLocker の中断と暗号化解除の違いは何ですか。
暗号化解除では、BitLocker による保護が削除され、ドライブの暗号化が完全に解除されます。
中断では、データは暗号化されたままですが、BitLocker のボリューム マスター キーがクリア キーで暗号化されます。クリア キーは、暗号化も保護もされずにディスク ドライブに格納される暗号化キーです。このキーを暗号化しないで格納することにより、[中断] オプションを使用すると、ドライブ全体を非暗号化してから再暗号化する時間とコストをかけずに、コンピューターを変更したりアップグレードしたりできます。変更を行って BitLocker を再び有効にすると、BitLocker はアップグレードの過程で変更された測定対象コンポーネントの新しい値に暗号化キーを再シールし、ボリューム マスター キーが変更され、保護機能が一致するように更新されて、クリア キーが消去されます。
システムの更新プログラムおよびアップグレードをダウンロードしてインストールするには、BitLocker で保護されたドライブの暗号化を解除する必要がありますか。
次の表では、アップグレードまたは更新プログラムのインストールを実行する前に必要な操作の一覧を示します。
| 更新の種類 | 操作 |
|---|---|
Windows Anytime Upgrade |
暗号化解除 |
Windows 10 へのアップグレード |
中断 |
次のような、Microsoft 以外のソフトウェアの更新:
|
中断 |
Windows Update からのソフトウェアやオペレーティング システムの更新 |
なし |
注
BitLocker を中断した場合は、アップグレードまたは更新プログラムをインストールした後で、BitLocker の保護を再開できます。保護を再開すると、BitLocker はアップグレードまたは更新の過程で変更された測定対象コンポーネントの新しい値に暗号化キーを再シールします。BitLocker を中断しないでこれらの種類のアップグレードまたは更新を適用した場合、コンピューターは再起同時に回復モードになり、コンピューターにアクセスするには回復キーまたはパスワードが必要です。
展開と管理
エンタープライズ環境で BitLocker の展開を自動化できますか。
はい、WMI または Windows PowerShell スクリプトを使用して、BitLocker と TPM の展開および構成を自動化できます。スクリプトの実装方法は、環境によって異なります。また、Manage-bde.exe を使用してローカルまたはリモートから BitLocker を構成することもできます。BitLocker WMI プロバイダーを使用するスクリプトの作成の詳細については、BitLocker ドライブ暗号化プロバイダーに関するページを参照してください。 BitLocker ドライブ暗号化での Windows PowerShell コマンドレットの使用に関する詳細については、Windows PowerShell での BitLocker コマンドレットに関するページを参照してください。
BitLocker でオペレーティング システム ドライブ以外も暗号化できますか。
はい。
コンピューターで BitLocker を有効にすると、パフォーマンスに顕著な影響がありますか。
一般に、パフォーマンスに対して 10 パーセント未満のオーバーヘッドが発生します。
BitLocker を有効にしたとき、最初の暗号化にはどれくらいの時間がかかりますか。
BitLocker の暗号化はバックグラウンドで行われ、その間もユーザーは作業を続けることができ、システムは使用可能ですが、暗号化にかかる時間は、対象のドライブの種類、ドライブのサイズ、ドライブの速度によって異なります。非常に大きいドライブを暗号化する場合は、ドライブを使用しない時間帯に暗号化を行うようにした方がよいかもしれません。
また、BitLocker を有効にするときに、ドライブ全体を暗号化するか、またはドライブの使用領域のみを暗号化するかも選択できます。新しいハード ドライブでは、使用領域のみを暗号化すると、ドライブ全体を暗号化するよりかなり時間を短縮できる可能性があります。この暗号化オプションを選択すると、BitLocker はデータが保存されるときに自動的にデータを暗号化するので、暗号化されていないデータが格納されることはなくなります。
暗号化または暗号化解除が行われている間に、コンピューターの電源を切るとどうなりますか。
コンピューターの電源が切られるか、休止状態になると、BitLocker の暗号化および暗号化解除プロセスは、Windows が次に起動したときに、前回停止したところから処理を再開します。電源が突然切れた場合でも同じです。
BitLocker は、データを読み取るときと書き込むときに、ドライブ全体を一度に暗号化および暗号化解除するのですか。
いいえ、BitLocker はデータを読み取るときと書き込むときにドライブ全体を暗号化および暗号化解除しません。BitLocker で保護されたドライブの暗号化されたセクターは、システムの読み取り操作から要求された場合にのみ暗号化が解除されます。ドライブに書き込まれるブロックは、システムが物理ディスクに書き込む前に暗号化されます。BitLocker で保護されたドライブに暗号化されていないデータが格納されることはありません。
ネットワーク上のユーザーが暗号化されていないドライブにデータを保存できないようにするには、どうすればよいですか。
グループ ポリシーの設定を使用することにより、BitLocker で保護されたコンピューターがデータを書き込む前に、データ ドライブを BitLocker で保護するように要求できます。詳しくは、「BitLocker グループ ポリシー設定」をご覧ください。
このポリシー設定を有効にすると、BitLocker で保護されたオペレーティング システムは、BitLocker によって保護されていないデータ ドライブを読み取り専用としてマウントします。
オペレーティング システム ドライブの整合性チェックが失敗するのはどのようなシステム変更のときですか。
次の種類のシステム変更では、整合性チェックが失敗し、保護されたオペレーティング システム ドライブを暗号化解除するための BitLocker キーを TPM がリリースしない可能性があります。
BitLocker で保護されたドライブを新しいコンピューターに移動する。
新しい TPM を搭載する新しいマザーボードを取り付ける。
TPM を停止、無効化、またはクリアする。
ブート構成の設定を変更する。
BIOS、UEFI ファームウェア、マスター ブート レコード、ブート セクター、ブート マネージャー、オプション ROM、またはその他の初期ブート コンポーネントやブート構成データを変更する。
オペレーティング システム ドライブを起動しようとすると BitLocker が回復モードで開始する原因は何ですか。
BitLocker はさまざまな攻撃からコンピューターを保護するように設計されているため、BitLocker が回復モードで開始するのには多くの理由があります。BitLocker での回復は、USB フラッシュ ドライブに保存されている回復キーまたは回復パスワードから導出される暗号化キーを使用した、ボリューム マスター キーのコピーの暗号化解除で構成されます。TPM は回復シナリオに関与しないので、TPM がブート コンポーネントの検証に失敗した場合、正常に機能していない場合、またはが削除された場合でも、回復は可能です。
オペレーティング システム ドライブで BitLocker が有効になっている場合、同じコンピューター上のハード ディスクを入れ替えることはできますか。
はい、BitLocker が有効になっている同じコンピューター上で複数のハード ディスクが BitLocker によって保護されている場合にのみ、ハード ディスクを入れ替えることができます。BitLocker キーは TPM およびオペレーティング システム ドライブに対して固有なので、ディスク障害時に使用するバックアップのオペレーティング システム ドライブまたはデータ ドライブを準備する場合は、正しい TPM と一致させる必要があります。また、異なるハード ドライブを異なるオペレーティング システム用に構成した後、各ドライブで異なる認証方法を使用して (TPM のみと TPM+PIN など) BitLocker を有効にしても、競合することはありません。
ハード ディスクを別のコンピューターに装着した場合、BitLocker で保護されたドライブにアクセスできますか。
はい、ドライブがデータ ドライブの場合、他のデータ ドライブと同様に、[BitLocker ドライブ暗号化] コントロール パネル項目から、パスワードまたはスマート カードを使用してロックを解除できます。データ ドライブが自動ロック解除専用に構成されていた場合は、回復キーを使用してロックを解除する必要があります。暗号化されたハード ディスクは、データ回復エージェント (構成されている場合) または回復キーを使用してロックを解除できます。
ドライブを右クリックして [BitLocker を有効にする] を使用できないのはなぜですか。
一部のドライブは BitLocker で暗号化できません。ドライブを暗号化できない理由としては、ディスクのサイズが足りない、ファイル システムに互換性がない、ドライブがダイナミック ディスクである、ドライブがシステム パーティションとして指定されている、などがあります。既定では、システム ドライブ (またはシステム パーティション) は表示されません。ただし、オペレーティング システム インストール時のカスタム インストール プロセスのために非表示ドライブとして作成されていない場合、そのようなドライブが表示されることがありますが、暗号化することはできません。
BitLocker ではどのような種類のディスク構成がサポートされていますか。
任意の数の内蔵固定データ ドライブを BitLocker で保護できます。ATA および SATA ベースの直接接続されたストレージ デバイスの一部のバージョンもサポートされます。
キーの管理
TPM 所有者パスワード、回復パスワード、回復キー、パスワード、PIN、拡張 PIN、およびスタートアップ キーの違いは何ですか。
BitLocker で生成して使用できるキーが複数あります。一部のキーは必須であり、他のキーは必要なセキュリティのレベルに応じて選択できるオプションの保護機能です。
回復パスワードと回復キーはどのように保存できますか。
オペレーティング システム ドライブまたは固定データ ドライブの回復パスワードと回復キーは、フォルダー、1 つ以上の USB デバイス、または Microsoft アカウントに保存したり、印刷したりできます。
リムーバブル データ ドライブの回復パスワードと回復キーは、フォルダーまたは Microsoft アカウントに保存したり、印刷したりできます。既定では、リムーバブル ドライブの回復キーをリムーバブル ドライブに保存することはできません。
ドメイン管理者は、BitLocker で保護されたドライブ用に回復パスワードが自動的に生成されて Active Directory ドメイン サービス (AD DS) に格納されるよに、グループ ポリシーを追加構成できます。
TPM 認証方法のみを有効にしてある場合、ドライブの暗号化を解除せずに別の認証方法を追加できますか。
Manage-bde.exe コマンド ライン ツールを使用して、TPM のみの認証モードを多要素認証モードに変更できます。たとえば、TPM 認証のみで BitLocker が有効になっている場合に、PIN 認証を追加するには、管理者特権のコマンド プロンプトから次のコマンドを使用します。なお、<4-20 digit numeric PIN> は使用する数値 PIN に置き換えてください。
manage-bde –protectors –delete %systemdrive% -type tpm
manage-bde –protectors –add %systemdrive% -tpmandpin <4-20 digit numeric PIN>
回復情報を紛失した場合、BitLocker で保護されたデータは回復不能になるのですか。
BitLocker は、必要な認証がない場合は暗号化されたドライブを回復不能にするように設計されています。回復モードでは、暗号化されたドライブのロックを解除するには回復パスワードまたは回復キーが必要です。
重要
Microsoft アカウントと共に AD DS または別の安全な場所に回復情報を保存します。
スタートアップ キーとして使用されている USB フラッシュ ドライブを回復キーの保存にも使用できますか。
技術的には可能ですが、両方のキーを 1 つの USB フラッシュ ドライブに保存するのはよい方法ではありません。スタートアップ キーを含む USB フラッシュ ドライブをなくしたり盗まれたりした場合、回復キーにもアクセスできなくなります。さらに、このキーを挿入すると、TPM で測定されたファイルが変更されていた場合であっても、コンピューターは回復キーから自動的に起動し、TPM のシステム整合性チェックが回避されます。
スタートアップ キーを複数の USB フラッシュ ドライブに保存できますか。
はい、コンピューターのスタートアップ キーを複数の USB フラッシュ ドライブに保存できます。BitLocker で保護されたドライブを右クリックし、[BitLocker の管理] を選択すると、必要に応じて回復キーを複製するオプションが表示されます。
複数の (異なる) スタートアップ キーを同じ USB フラッシュ ドライブに保存できますか。
はい、異なるコンピューターの BitLocker スタートアップ キーを同じ USB フラッシュ ドライブに保存できます。
同じコンピューターに対して複数の (異なる) スタートアップ キーを生成できますか。
スクリプトを使用して、同じコンピューターに対する異なるスタートアップ キーを生成できます。ただし、TPM を備えているコンピューターの場合は、異なるスタートアップ キーを作成すると、BitLocker は TPM のシステム整合性チェックを使用しなくなります。
PIN の複数の組み合わせを生成できますか。
PIN の複数の組み合わせを生成することはできません。
BitLocker ではどのような暗号化キーが使用されますか。どのように連携しますか。
原データは、ボリューム全体の暗号化キーで暗号化された後、ボリューム マスター キーで暗号化されます。ボリューム マスター キーはさらに、認証 (つまり、キー保護機能または TPM) および回復シナリオに応じた複数の可能な方法のいずれかで暗号化されます。
暗号化キーはどこに保存されますか。
ボリューム全体の暗号化キーは、ボリューム マスター キーによって暗号化されて、暗号化されたドライブに保存されます。ボリューム マスター キーは、適切なキー保護機能によって暗号化されて、暗号化されたドライブに保存されます。BitLocker が中断された場合、ボリューム マスター キーの暗号化に使用されるクリア キーも、暗号化されたボリューム マスター キーと共に、暗号化されたドライブに保存されます。
この保管プロセスにより、ボリューム マスター キーが暗号化されない状態で保存されることがなく、BitLocker を無効にしない限り保護されることが保証されます。キーは、冗長性のためにドライブの他の 2 つの場所にも保存されます。キーは、ブート マネージャーで読み取って処理できます。
PIN または 48 文字の回復パスワードを入力するのにファンクション キーを使用する必要があるのはなぜですか。
F1 ~ F10 キーは、すべてのコンピューターおよびすべての言語のプリブート環境で使用できる、ユニバーサルにマップされるスキャン コードです。数値キー 0 ~ 9 は、すべてのキーボードのプリブート環境では使用できません。
拡張 PIN を使用する場合、ユーザーは、BitLocker のセットアップ プロセス中にオプションのシステム チェックを実行して、プリブート環境で PIN を正しく入力できることを確認する必要があります。
BitLocker はどのようにしてオペレーティング システム ドライブのロックを解除するための PIN を攻撃者が発見できないようにするのですか。
攻撃者はブルート フォース攻撃によって暗証番号 (PIN) を検出できます。ブルート フォース攻撃とは、正しい PIN が見つかるまで自動ツールで異なる PIN を試す方法です。BitLocker で保護されたコンピューターの場合、この種の攻撃 (辞書攻撃とも呼ばれます) を行うには攻撃者はコンピューターに物理的にアクセスする必要があります。
TPM には、この種の攻撃を検出して対処する機能が組み込まれています。サポートされる PIN および攻撃対策は TPM の製造元によって異なる場合があるため、コンピューターの TPM が PIN ブルート フォース攻撃にどのように対処するかについては TPM の製造元に問い合わせてください。
TPM の製造元を確認した後、製造元に問い合わせて TPM のベンダー固有情報を収集してください。ほとんどの製造元は、PIN 認証失敗の回数を使用して、PIN インターフェイスのロックアウト時間を指数関数的に増やします。ただし、失敗カウンターを減らしたりリセットしたりするタイミングと方法に関するポリシーは、製造元ごとに異なります。
TPM の製造元はどうすればわかりますか。
TPM の製造元は、TPM MMC コンソール (tpm.msc) の [TPM 製造元情報] を見るとわかります。
TPM の辞書攻撃対策メカニズムはどのようにして評価できますか。
辞書攻撃対策メカニズムの設計について TPM の製造元に問い合わせるときは、次のような質問が役に立ちます。
承認の試行が何回失敗すると、ロックアウトが発生しますか。
試行失敗回数および他の関連パラメーターに基づいてロックアウトの時間を決定するためのアルゴリズムはどのようなものですか。
失敗回数およびロックアウト時間が減らされたりリセットされたりするのは、どのような操作が行われたときですか。
PIN の長さと複雑さをグループ ポリシーで管理できますか。
できるものと、できないものがあります。暗証番号 (PIN) の最低限の長さは [スタートアップに対する PIN の長さの最小値を構成する] グループ ポリシー設定を使用して構成でき、英数字 PIN の使用は [スタートアップの拡張 PIN を許可する] グループ ポリシー設定で有効にできます。ただし、PIN の複雑さをグループ ポリシーで要求することはできません。
詳しくは、「BitLocker グループ ポリシー設定」をご覧ください。
BitLocker To Go
BitLocker To Go は、リムーバブル データ ドライブでの BitLocker ドライブ暗号化です。これには、NTFS、FAT16、FAT32、または exFAT ファイル システムを使用してフォーマットされた USB フラッシュ ドライブ、SD カード、外付けハード ディスク ドライブ、および他のドライブの暗号化が含まれます。
Active Directory ドメイン サービス (AD DS)
コンピューターがドメインに参加する前にコンピューターで BitLocker を有効にするとどうなりますか。
バックアップを強制するグループ ポリシーが適用される前にドライブで BitLocker を有効にした場合、コンピューターがドメインに参加したとき、または後でグループ ポリシーが適用されたときに、回復情報は AD DS に自動的にバックアップされません。ただし、[BitLocker で保護されているオペレーティング システム ドライブの回復方法を選択する]、[BitLocker で保護されている固定ドライブの回復方法を選択する]、[BitLocker で保護されているリムーバブル ドライブの回復方法を選択する] の各グループ ポリシー設定を使用することで、コンピューターをドメインに接続してからでないと BitLocker を有効にできないようにして、組織内の BitLocker で保護されたドライブの回復情報が AD DS に確実にバックアップされるようにすることができます。
詳しくは、「BitLocker グループ ポリシー設定」をご覧ください。
管理者は、BitLocker Windows Management Instrumentation (WMI) インターフェイスを使用して、オンライン クライアントの既存の回復情報をバックアップまたは同期するスクリプトを作成できます。ただし、BitLocker はこのプロセスを自動的には管理しません。また、manage-bde コマンド ライン ツールを使用すると、回復情報を AD DS に手動でバックアップできます。たとえば、C: ドライブのすべての回復情報を AD DS にバックアップするには、管理者特権のコマンド プロンプトから manage-bde -protectors -adbackup C: というコマンドを実行します。
重要
組織に新しいコンピューターを導入したときは、最初にコンピューターをドメインに参加させる必要があります。コンピューターをドメインに参加させた後は、BitLocker の回復キーが AD DS に自動的に保存されます (グループ ポリシーで有効になっている場合)。
クライアント コンピューターに記録されるイベント ログ エントリで、Active Directory のバックアップの成功または失敗を示すものはありますか。
はい、Active Directory のバックアップの成功または失敗を示すイベント ログ エントリが、クライアント コンピューターに記録されます。ただし、イベント ログ エントリが「成功」を示している場合でも、その後で情報が AD DS から削除されている可能性、または Active Directory の情報でドライブをロック解除できないように (たとえば、回復パスワード キー保護機能を削除することで) BitLocker が再構成されている可能性があります。さらに、ログ エントリがスプーフィングされている可能性もあります。
最終的に、本物のバックアップが AD DS に存在するかどうかを判断するには、BitLocker パスワード ビューアー ツールを使用して、ドメイン管理者の資格情報で AD DS を照会する必要があります。
コンピューターで BitLocker の回復パスワードを変更し、新しいパスワードを AD DS に保存する場合、AD DS は古いパスワードを上書きしますか。
いいえ。設計上、BitLocker の回復パスワード エントリは AD DS から削除されません。そのため、各ドライブに複数のパスワードが表示されることがあります。最新のパスワードを見極めるには、オブジェクトの日付を確認してください。
初期バックアップに失敗するとどうなりますか。BitLocker はバックアップを再試行しますか。
BitLocker セットアップ ウィザードの実行時にドメイン コント ローラーが到達不可能な状態であるなどの理由で、初期バックアップが失敗した場合、BitLocker は AD DS への回復情報のバックアップを再試行しません。
管理者が、[Active Directory ドメイン サービスに BitLocker 回復情報を保存する (Windows Server 2008 および Windows Vista)] ポリシー設定の [AD DS への BitLocker バックアップが必要] チェック ボックスをオンにした場合、または [BitLocker で保護されているオペレーティング システム ドライブの回復方法を選択する]、[BitLocker で保護されている固定ドライブの回復方法を選択する]、[BitLocker で保護されているリムーバブル ドライブの回復方法を選択する] の各ポリシー設定の [AD DS に (オペレーティング システム | 固定データ | リムーバブル データ) ドライブの回復情報が格納されるまで BitLocker を有効にしない] チェック ボックスをオンにした場合は、コンピューターがドメインに接続されていて、AD DS への BitLocker 回復情報のバックアップが成功している場合にのみ、ユーザーは BitLocker を有効にできます。これらの設定が構成されていてバックアップが失敗した場合は、BitLocker を有効にできないので、管理者は組織内の BitLocker で保護されたドライブを確実に回復できます。
詳しくは、「BitLocker グループ ポリシー設定」をご覧ください。
これらのチェック ボックスをオフにすると、回復情報が AD DS に正常にバックアップされていなくても、ドライブを BitLocker で保護できます。ただし、バックアップが失敗しても BitLocker はバックアップを自動的に再試行しません。その代わりとして、前の「コンピューターがドメインに参加する前にコンピューターで BitLocker を有効にするとどうなりますか」で説明したように、管理者はバックアップ用のスクリプトを作成し、接続が復元した後で情報を取得できます。
セキュリティ
BitLocker はどのような暗号化の形式を使用しますか。構成できますか。
BitLocker は暗号化アルゴリズムとして高度暗号化標準 (AES) を使用し、キーの長さを 128 ビットまたは 256 ビットのどちらかに構成できます。既定の暗号化設定は AES-128 ですが、グループ ポリシーを使用して構成できます。
オペレーティング システム ドライブで BitLocker を使うときのベスト プラクティスは何ですか。
オペレーティング システム ドライブに BitLocker を構成するときの推奨される方法は、TPM バージョン 1.2 以降、Trusted Computing Group (TCG) に準拠している BIOS または UEFI ファームウェア、および PIN を使用して実装することです。TPM の検証に加えて、ユーザーによって設定された PIN を要求することにより、悪意のあるユーザーがコンピューターに物理的にアクセスできても、コンピューターを簡単に起動することはできません。
休止またはスリープの電源管理オプションを使用するとどのような影響がありますか。
BitLocker をオペレーティング システム ドライブに基本構成 (TPM あり、高度な認証なし) で設定すると、休止モードに対して追加のセキュリティが提供されます。ただし、休止モードで高度認証モード (TPM+PIN、TPM+USB、または TPM+PIN+USB) を使用するように構成すると、さらに強力なセキュリティが提供されます。この方法を使用すると、休止状態からの復帰するときに BitLocker の認証が必要です。ベスト プラクティスとして、スリープ モードは無効にし、認証方法としては TPM+PIN を使用することをお勧めします。
TPM の利点を教えてください。
ほとんどのオペレーティング システムは、共有メモリ領域を使用し、物理メモリの管理をオペレーティング システムに依存します。TPM とはハードウェア コンポーネントであり、処理命令に独自の内部ファームウェアおよび論理回路を使用して、外部ソフトウェアの脆弱性からそれ自体を保護します。TPM を攻撃するには、コンピューターに物理的にアクセスする必要があります。さらに、一般にハードウェアを攻撃するために必要なツールとスキルは費用がかかるものであり、通常はソフトウェアの攻撃に使われるものより入手が困難です。そして、各 TPM はそれが含まれるコンピューターに固有であり、複数の TPM コンピューターを攻撃することは難しく、時間がかかります。
注
BitLocker に認証要素を追加構成することで、TPM ハードウェア攻撃に対する防御をさらに強化できます。
BitLocker ネットワーク ロック解除
BitLocker ネットワーク ロック解除を使用することにより、ドメイン環境で TPM+PIN 保護方法を使用する BitLocker が有効なデスクトップおよびサーバーの管理が容易になります。有線企業ネットワークに接続されているコンピューターを再起動するとき、ネットワーク ロック解除により PIN の入力プロンプトを省略できます。この機能は、第 2 の認証方法として Windows 展開サービス サーバーによって提供される信頼されたキーを使用して、BitLocker で保護されたオペレーティング システム ボリュームを自動的にロック解除します。
ネットワーク ロック解除を使用するには、コンピューターに PIN を構成する必要もあります。コンピューターがネットワークに接続されていないときは、PIN を入力してロックを解除する必要があります。
BitLocker ネットワーク ロック解除を使用するには、クライアント コンピューター、Windows 展開サービス、およびドメイン コント ローラーに関するソフトウェアとハードウェアの要件が満たされている必要があります。
ネットワーク ロック解除は、保護機能として TPM の保護機能とネットワークまたは PIN によって提供される保護機能の 2 つを使用します。一方、自動ロック解除が使用する保護機能は TPM に格納されているもの 1 つだけです。キー保護機能のないネットワークにコンピューターが参加している場合、ユーザーは PIN の入力を求められます。PIN を使用できない場合、ネットワークに接続できないときは、回復キーを使用してコンピューターのロックを解除する必要があります。
詳しくは、「BitLocker: ネットワーク ロック解除を有効にする方法」をご覧ください。
その他の質問
BitLocker でカーネル デバッガーを実行できますか。
はい。ただし、BitLocker を有効にする前にデバッガーをオンにする必要があります。デバッガーをオンにすると、TPM への封印時に正しい測定値が計算され、コンピューターが正常に起動できるようになります。BitLocker を使用しているときにデバッグをオンまたはオフにする必要がある場合は、先に BitLocker を中断状態にして、コンピューターが回復モードにならないようにしてください。
BitLocker はメモリ ダンプをどのように処理しますか。
BitLocker は記憶域ドライバー スタックを備えており、BitLocker が有効になっているとメモリ ダンプが暗号化されます。
BitLocker はプリブート認証用にスマート カードをサポートしますか。
BitLocker はプリブート認証用にスマート カードをサポートしません。ファームウェアでのスマート カードのサポートに関しては業界標準が統一されていません。ほとんどのコンピューターは、スマート カードのファームウェア サポートを実装していないか、または特定のスマート カードとリーダーのみをサポートします。このような標準化の不備により、スマート カードのサポートは非常に困難です。
Microsoft 以外の TPM ドライバーを使用できますか。
Microsoft 以外の TPM ドライバーはサポートされていないため、BitLocker では使わないよう強くお勧めします。Microsoft 以外の TPM ドライバーを BitLocker で使用すると、コンピューターに TPM が存在しないものと BitLocker が判断し、TPM を BitLocker で使用できない可能性があります。
マスター ブート レコードを管理または変更する他のツールを BitLocker と併用できますか。
セキュリティ、信頼性、製品サポートに関するさまざまな理由から、オペレーティング システム ドライブが BitLocker で保護されているコンピューターではマスター ブート レコードを変更しないことをお勧めします。マスター ブート レコード (MBR) を変更すると、セキュリティ環境が変化し、コンピューターが正常に起動しなくなり、破損した MBR の回復作業に悪影響がある可能性があります。Windows 以外のものが MBR を変更すると、コンピューターが強制的に回復モードになったり、完全に起動しなくなることがあります。
オペレーティング システム ドライブを暗号化しているとシステム チェックが失敗するのはなぜですか。
システム チェックは、コンピューターの BIOS または UEFI ファームウェアと BitLocker に互換性があり、TPM が正しく機能することを確認するように設計されています。システム チェックはいくつかの理由で失敗する可能性があります。
コンピューターの BIOS または UEFI ファームウェアが、USB フラッシュ ドライブを読み取れない。
コンピューターの BIOS、UEFI ファームウェア、またはブート メニューで、USB フラッシュ ドライブの読み取りが有効になっていない。
複数の USB フラッシュ ドライブがコンピューターに装着されている。
PIN が正しく入力されていない。
コンピューターの BIOS または UEFI ファームウェアが、プリブート環境での数値の入力にファンクション キー (F1 ~ F10) の使用のみをサポートしている。
コンピューターの再起動が完了する前に、スタートアップ キーが削除された。
TPM が破損していて、キーの保護を解除できない。
USB フラッシュ ドライブの回復キーを読み取ることができない場合はどうすればよいですか。
一部のコンピューターは、プリブート環境で USB フラッシュ ドライブを読み取ることができません。最初に、BIOS または UEFI ファームウェアおよびブートの設定を調べて、USB ドライブの使用が有効になっていることを確認します。有効になっていない場合は、BIOS または UEFI ファームウェアおよびブートの設定で USB ドライブの使用を有効にした後、USB フラッシュ ドライブからの回復キーの読み取りを再試行します。それでも読み取れない場合は、ハード ドライブを別のコンピューターでデータ ドライブとしてマウントし、USB フラッシュ ドライブから回復キーを読み取るオペレーティング システムが存在するようにする必要があります。USB フラッシュ ドライブが破損した場合は、回復パスワードを指定するか、AD DS にバックアップされている回復情報を使用することが必要になる場合があります。また、プリブート環境で回復キーを使用している場合は、ドライブが NTFS、FAT16、または FAT32 ファイル システムを使用してフォーマットされていることを確認します。
回復キーを USB フラッシュ ドライブに保存できないのはなぜですか。
[Save to USB] (USB に保存する) オプションは、リムーバブル ドライブの場合は既定では表示されません。オプションが使用できない場合は、システム管理者が回復キーの使用を許可していないことを意味します。
自動的にドライブのロックを解除できないのはなぜですか。
固定データ ドライブを自動ロック解除するには、オペレーティング システム ドライブも BitLocker によって保護されている必要があります。コンピューターのオペレーティング システム ドライブが BitLocker で保護されていない場合は、ドライブを自動的にロック解除できません。リムーバブル データ ドライブの場合は、エクスプローラーでドライブを右クリックして [BitLocker の管理] をクリックすることにより、自動ロック解除を追加できます。BitLocker を有効にするときに指定したパスワードまたはスマート カード資格情報を使用して、他のコンピューターでリムーバブル ドライブのロックを解除することもできます。
BitLocker をセーフ モードで使用できますか。
セーフ モードでは使用できる BitLocker の機能が限られています。[BitLocker ドライブの暗号化] コントロール パネルの項目を使用して、BitLocker で保護されたドライブのロックおよび暗号化を解除できます。セーフ モードでは、エクスプローラーで右クリックして BitLocker のオプションにアクセスすることはできません。
データ ドライブを「ロック」するにはどうすればよいですか。
固定データ ドライブもリムーバブル データ ドライブも、Manage-bde コマンド ライン ツールと –lock コマンドを使用してロックできます。
注
ドライブをロックする前に、すべてのデータがドライブに保存されていることを確認してください。ロックされると、ドライブにアクセスできなくなります。
このコマンドの構文は次のとおりです。
manage-bde <driveletter> -lock
このコマンド以外では、オペレーティング システムをシャットダウンして再起動したときにデータ ドライブがロックされます。また、コンピューターからリムーバブル データ ドライブを取り外したときも、ドライブが自動的にロックされます。
BitLocker とボリューム シャドウ コピー サービスを併用できますか。
はい。ただし、BitLocker を有効にする前に作成されたシャドウ コピーは、ソフトウェアによって暗号化されたドライブで BitLocker を有効にすると自動的に削除されます。ハードウェア暗号化ドライブを使用している場合は、シャドウ コピーは保持されます。
BitLocker は仮想ハード ディスク (VHD) をサポートしますか。
BitLocker はブート可能な VHD ではサポートされませんが、Windows 10、Windows 8.1、Windows 8、Windows Server 2012、または Windows Server 2012 R2 を使用している場合は、クラスターで使用されるものなどのデータ ボリューム VHD でサポートされます。