Windows10 Pro ・Education・ Enterprise エディションには「BitLocker」と呼ばれるドライブ暗号化機能が標準搭載されており内蔵ハードディスク(HDD・SSD)を暗号化することができます。※Homeエディションには本機能は搭載されていません。
事前にローカルディスクを「BitLocker」で暗号化しておけば、パソコンが盗難に遭ったとしてもディスクを抜き取られ他のPCにディスクを接続した際、パスワードもしくは回復キーがなければドライブにアクセスできないため、紛失時の情報漏えい対策として利用できます。 また、BitLockerによる暗号化はTPMなしでも、ローカルグループポリシーエディター(gpedit.msc)の設定を変更することで、ドライブの暗号化が可能です。
1.ローカルグループポリシー設定変更
まずは、ローカルグループポリシーで「互換性のあるTPMが装備されていないBitLockerを許可する」する必要があります。
手順 1:
デスクトップ画面左下、「 Windowsロゴ」を右クリック –>「 ファイル名を指定して実行 」を選択します。
手順 2:
名前:「 gpedit.msc 」を入力 –>「 OK 」を選択します。
手順 3:
ローカルグループポリシーエディターで「スタートアップ時に追加の認証を要求する」の設定値を変更します。
「 ローカルコンピューターポリシー 」
–>「 コンピューターの構成 」
–>「 管理用テンプレート 」
–> 「Windows コンポーネント」
–> 「BitLockerドライブ暗号化」
–> 「オペレーションシステムのドライブ」
–>「スタートアップ時に追加の認証を要求する」をダブルクリックします。
手順 4:
スタートアップ時に追加の認証を要求する項目で「 有効」を選択 ->「互換性のあるTPMが装備されていないBitLockerを許可する(USBフラッシュドライブでパスワードまたはスタートアップキーが必要)」でチェックの有効を確認 -> 「OK」を選択します。
2.ローカルドライブをBitLockerで暗号化する
手順 1:
エクスプローラーを起動 –> 「PC」を選択 –>「 対象ディスク」を右クリック –>「BitLockerを有効にする」 を選択します。※ 本記事では、ローカルディスクのCドライブを暗号化します。
手順 2:
「パスワードを入力する」を選択します。
※本記事では、PCの起動時にBitLockerのパスワードを要求する設定とするため「パスワードを入力する」を選択しました。
手順 3:
ドライブのロックを解除する「パスワードを入力」 –>「 次へ 」 を選択します。
手順 4:
いずれかの回復キーのバックアップ方法を指定し回復キーを保存しなければ、次の画面に移行できません。※今回は「回復キーを印刷する」を選択し回復キーをPDF化し保存しました。
手順 5:
「Microsoft Print to PDF」を選択 -> 「印刷」を選択します。
※本記事では、紙媒体として出力せず「Microsoft Print to PDF」を選択し、PDFファイルとして出力しています。
手順 6:
回復キーのファイル名を入力 ->「保存」を選択します。
回復キーの確認をします。パソコンに保存したファイル内の48桁の数値です。パスワードを忘れてしまった場合などの際、回復キーがあれば暗号化したデバイスを読み込むことができます。
手順 7:
回復キーファイルを保存後、「次へ」を選択します。
手順 8:
次にドライブを暗号化する範囲を選択します。ドライブの使用領域のみを暗号化、またはドライブ全体を暗号化するか選択できます。「使用済みの領域のみ暗号化する」は、現在のドライブのデータのみ暗号化を実行するため時間を短縮できる可能性がありますが、セキュリティを更に強くするのであれば「ドライブ全体を暗号化する」を選びましょう。
手順 9:
Windows 10は、新しい暗号化モードに対応しているため「新しい暗号化モード」を選択します。
手順 10:
「 続行 」を選択します。
手順 11:
暗号化はコンピューター再起動後に開始されます。任意のタイミングでパソコンを再起動します。
手順 12:
再起動後、ドライブのロックを解除するパスワード入力画面で、前手順で設定したパスワードを入力します。
3.BitLocker 有効化ステータス確認方法
コマンドプロンプトから、管理者権限で「manage-bde -status」コマンドを実行することでBitLockerによる暗号化された割合・状態を確認することができます。
手順 1:
デスクトップ画面左下、「 Windowsロゴ」をクリック –>「Windows システムツール 」 –>「コマンドプロンプト」 を右クリック –> 「 管理者として実行 」を選択します。
手順 2:
「manage-bde -status」コマンドを実行します。