BitLocker

このトピックでは、システム要件、実際の適用例、推奨されなくなった機能の一覧など、BitLocker の概要を説明します。

BitLocker ドライブ暗号化は、オペレーティング システムと統合されたデータ保護機能であり、コンピューターの紛失、盗難、または不適切な廃棄によるデータの盗難や漏洩の脅威を解決します。

BitLocker は、トラステッド プラットフォーム モジュール (TPM) バージョン 1.2 以降と共に使用することで、最大限の保護を提供します。TPM は、コンピューターの製造元によって多くの新しいコンピューターに搭載されているハードウェア コンポーネントです。BitLocker と連携してユーザー データを保護し、システムがオフラインになっていたとしてもコンピューターの改ざんを確実に防止します。

TPM バージョン 1.2 以降を備えていないコンピューターでも、Windows オペレーティング システム ドライブの暗号化に BitLocker を使用できます。ただし、この実装では、コンピューターを起動したり、休止状態から再開したりするには、USB スタートアップ キーを挿入する必要があります。Windows 8 以降では、オペレーティング システム ボリューム パスワードを使用して、TPM を装備していないコンピューターのオペレーティング システム ボリュームを保護できます。どちらの方法も、TPM を装備した BitLocker による起動前のシステム整合性の検証は提供しません。

TPM に加えて、BitLocker には、ユーザーが暗証番号 (PIN) を入力したり、スタートアップ キーを含んだ、USB フラッシュ ドライブなどのリムーバブル デバイスを挿入するまでは、通常の起動プロセスをロックするオプションが用意されています。これらの追加のセキュリティ対策は、多要素認証を提供し、正しい PIN またはスタートアップ キーが提示されるまで、コンピューターが起動、または休止状態から再開されることがないよう保証します。

実際の適用例

紛失または盗難にあったコンピューター上のデータは、ソフトウェア攻撃ツールの実行による未承認のアクセス、またはコンピューターのハード ディスクを別のコンピューターに転送することによる未承認のアクセスに対して脆弱です。BitLocker は、ファイルとシステムの保護を強化することにより、不正なデータ アクセスを防止します。BitLocker は、コンピューターを廃棄またはリサイクルするときにデータにアクセスできなくする場合にも役に立ちます。

リモート サーバー管理ツールには BitLocker の管理に使用できるツールが 2 つあります。

• BitLocker 回復パスワード ビューアー。BitLocker 回復パスワード ビューアーを使用すると、Active Directory ドメイン サービス (AD DS) にバックアップされている BitLocker ドライブ暗号化回復パスワードを検索して表示できます。このツールを使用すると、BitLocker を使用して暗号化されたドライブに格納されているデータを回復するのに役立ちます。BitLocker 回復パスワード ビューアー ツールは、Active Directory ユーザーとコンピューター Microsoft 管理コンソール (MMC) のスナップインです。

  このツールを使用することによって、コンピューター オブジェクトの [プロパティ] ダイアログ ボックスで対応する BitLocker 回復パスワードを確認できます。さらに、ドメイン コンテナーを右クリックして、Active Directory フォレスト内のすべてのドメインで BitLocker 回復パスワードを検索できます。回復パスワードを表示するには、ドメイン管理者であるか、またはドメイン管理者によってアクセス許可を委任されている必要があります。

• BitLocker ドライブ暗号化ツールBitLocker ドライブ暗号化ツールには、コマンド ライン ツール manage-bde および repair-bde と、Windows PowerShell 用の BitLocker コマンドレットが含まれます。manage-bde と BitLocker コマンドレットはどちらも、BitLocker コントロール パネルを使用してできるすべてのタスクを実行するために使用でき、自動展開や他のスクリプト シナリオに使用するのに適しています。repair-bde は、BitLocker で保護されたドライブを通常の手順で、または回復コンソールを使用してロック解除できない障害回復シナリオ用に提供されています。

新機能と変更された機能

Windows 10 用 BitLocker の新機能については、「BitLocker の新機能」を参照してください。

システム要件

BitLocker には、次のハードウェア要件があります。

BitLocker がトラステッド プラットフォーム モジュール (TPM) によって提供されるシステム整合性チェックを使用するには、TPM 1.2 以降が必要です。コンピューターが TPM を装備していない場合、BitLocker を有効にするには、スタートアップ キーを USB フラッシュ ドライブなどのリムーバブル デバイスに保存する必要があります。

TPM を備えるコンピューターには、Trusted Computing Group (TCG) に準拠する BIOS または UEFI ファームウェアも必要です。BIOS または UEFI ファームウェアは、オペレーティング システム起動前の信頼チェーンを確立し、TCG で規定された信頼性測定の静的なルートのサポートを含む必要があります。TPM を装備していないコンピューターには、TCG 準拠のファームウェアは必要ありません。

システムの BIOS または UEFI ファームウェアは (コンピューターが TPM を備えていてもいなくても)、以前のオペレーティング システム環境での USB フラッシュ ドライブ上の小さいファイルの読み取りなど、USB 大容量記憶デバイス クラスをサポートする必要があります。

ハード ディスクは、少なくとも 2 つのドライブにパーティション分割されている必要があります。

• オペレーティング システム ドライブ (またはブート ドライブ) には、オペレーティング システムとそのサポート ファイルが含まれます。NTFS ファイル システムでフォーマットされている必要があります。

• システム ドライブには、ファームウェアがシステム ハードウェアを準備した後で Windows を読み込むために必要なファイルが含まれています。このドライブでは、BitLocker は有効になりません。BitLocker が動作するためには、システム ドライブは、暗号化されていてはならず、オペレーティング システム ドライブと異なっている必要があり、UEFI ベースのファームウェアを使用するコンピューターでは FAT32 ファイル システムで、BIOS ファームウェアを使用するコンピューターでは NTFS ファイル システムでフォーマットされている必要があります。システム ドライブのサイズは 350 MB 程度にすることをお勧めします。BitLocker を有効にした後は、約 250 MB の空き領域が残ります。

新しいコンピューターにインストールすると、Windows は BitLocker に必要なパーティションを自動的に作成します。

BitLocker のオプション コンポーネントをサーバーにインストールするときは、ハードウェア暗号化ドライブをサポートするために使われる拡張記憶域機能もインストールする必要があります。

このセクションの内容