カウンター


BitLockerドライブ暗号化によるファイル保護に関するメモ


2016年3月16日   櫻庭政夫


私は、自分の使う複数のノートPCのすべてのドライブに対して暗号化を 行っています。Windows 8.1Pro上でBitLockerを用いてます。かつては、「何か不具合が出たら怖い」との思いから、BitLockerの使用を躊躇していた時期もありまし た。でも、やはり個人情報の流出ほど怖いものはないので、BitLockerの使用を開始しました。その結果、時間はかかりますが意外に単純に設定できた ことをここに報告し、多くの皆様の"安心"につながることを期待し、多少のメモを残しておくことにします。

【ファイル保護の完全性について】
まず最初にはっきり言っておくべきこととして、
”ファイルを保護するといっても、暗号化するということなので、何らかの方法で暗号が解かれてしまったら効果はなくなる”
ということがあります。そういう意味で決して完全なファイル保護ではないということを理解した上で、BitLockerを利用すべきです。まあ・・・そう ではありますが、すでに身近に使える状況になっているので、何もしないよりは、はるかにましです。現時点で、利用する価値は高いと思います。(※Windowsのエディションによっては使用できないようです。)

【暗号化作業に要する時間】
ドライブ全体の暗号化には時間が掛かります。PCの性能やドライブの容量や種類によって暗号化作業に要する時間は大きく異なります。また、同時に複数の ドライブを暗号することもできますが、その場合には作業の進行が遅くなります。参考までに私の場合は次のような感じでした。大事な作業かと思 いますので、焦らず気長に行いましょう。
・古いUSBフラッシュメモリ(8GB): 30分程度
・古いコンパクトフラッシュメモリ(64GB): 1時間半程度
・内蔵SSD(120GB): 2〜3時間程度
・USBポータブルHDD(120GB): 5時間程度
・USB外付けHDD(160GB): 4時間程度
・USBフラッシュメモリ(256GB): 5〜8時間程度

【ドライブ暗号化による不便について】
外付けHDDやUSBメモリを差し込む度にパスワードを入力する必要があり、不便ですね。でも、”安心”を得るためには、そのぐらいは許容しないといけ ないかと思います。それから、コンビニや電器店のマルチコピー機・デジカメプリント機にUSBメモリを指すような場合には、BitLockerを無効にし ておく必要があります。現場で慌てないように、あらかじめ考えておきましょう。

【BitLockerの設定方法の概略】
Windows 7(Ultimate、Enterpriseエディション)Windows 8(Pro、Enterpriseエディション)では手順が異なるようです。

Windows 7(Ultimate、Enterpriseエディション)では、 [コントロール パネル]−[システムとセキュリティ][BitLocker ドライブ暗号化]で行うようです。

Windows 8(Pro、Enterpriseエディション)では、 各ドライブマーク上で右クリックするとメニュー中に"BitLockerの管理"が出てくるので、それをクリックして作業開始します。以下の2種類でや り方が若干違いましたが、指示通りにやるだけで割と簡単でした。もちろん、ドライブごとに回復キーやロック解除パスワードをきちんと保管しておくことは必 須です。一連の手順の詳細は、末尾のMicrosoftのサイトを参照ください。

◆ 固定データ ドライブ (内部ハード ドライブなど) やWindowsがインストールされているハードディスク (オペレーティングシステムドライブ):"BitLocker"

◆ 外付けハードディスク、USB フラッシュメモリなどのリムーバブルディスク(リムーバブルデータドライブ):"BitLocker To Go"

【BitLockerの設定時に直面したこと】
一台のノートPC(Windows XP時代の古い機種をWindows 8.1にUpdateしたもの)だけ、以下のような意味不明な指示が出てきて戸惑いましたが、指示の文言をそのままネット検索したら解決策が見つかりまし た。ここで、"gpedit.msc"と"gpupdate.exe /force"を実行する必要がありました。(見慣れないコマンドなので、もう二度と使わないかもしれません。)一連の手順の詳細は、末尾の Microsoftのサイトを参照ください。要するに、TPMが装備されていない旧式のPCの場合には、Windows起動の度に認証作業(パスワード入 力とか)が必要となるということです。

" このデバイスではトラステッド プラットフォーム モジュールを使用できません。管理者が、OS ボリュームの[スタートアップ時に追加の認証を要求する]ポリシーを[互換性のある TPM が装備されていない BitLocker を許可する」オプションに設定する必要があります。"



◆ 参考サイト 

. Windows 7 用の BitLocker ドライブ暗号化の手順ガイド
Microsoft TechNet
https://technet.microsoft.com/ja-jp/library/dd835565(v=ws.10).aspx

. BitLocker ドライブ暗号化でファイルを保護する
Microsoft
http://windows.microsoft.com/ja-jp/windows/protect-files-bitlocker-drive-encryption


3. シナリオ 6: BitLocker で保護されたオペレーティング システム ドライブのロックを解除する方法を指定する (Windows 7)
Microsoft TechNet
https://technet.microsoft.com/ja-jp/library/ee424319(v=ws.10).aspx


This home page is produced by KompoZer (free and open software).