【図解】Windows11 パソコン:BitLockerによるローカルディスク暗号化手順

Windows11

Windows11 には「BitLocker」と呼ばれるドライブ暗号化機能が標準搭載されており内蔵のローカルドライブ(HDD・SSD)を暗号化することができます。※ Windows11 Homeエディションには本機能は搭載されていません。

事前にローカルディスクを「BitLocker」で暗号化しておけば、パソコンが盗難に遭ったとしてもローカルディスク・ドライブを抜き取られ他のPCにディスクを接続した際、パスワードもしくは回復キーがなければドライブにアクセスできないため、紛失時の情報漏えい対策として利用できます。 また、BitLockerによる暗号化はTPMなしでも、ローカルグループポリシーエディター(gpedit.msc)の設定を変更することでドライブの暗号化が可能です。

1.ローカルグループポリシー設定変更

まずは、ローカルグループポリシーで「互換性のあるTPMが装備されていないBitLockerを許可する」する必要があります。

手順 1:
ローカルグループポリシーを起動します。タスクバー「 Windowsマーク」を右クリック –>「 ファイル名を指定して実行 」を選択します。

手順 2:
名前:「 gpedit.msc 」を入力 –>「 OK 」を選択します。

手順 3:
ローカルグループポリシーエディターで「スタートアップ時に追加の認証を要求する」の設定値を変更します。

「 ローカルコンピューターポリシー 」
 –>「 コンピューターの構成 」
   –>「 管理用テンプレート 」
   –> 「Windows コンポーネント」
     –> 「BitLockerドライブ暗号化」
      –> 「オペレーションシステムのドライブ」
                       –>「スタートアップ時に追加の認証を要求する」をダブルクリックします。

手順 4:
スタートアップ時に追加の認証を要求する項目で「 有効」を選択 ->「互換性のあるTPMが装備されていないBitLockerを許可する(USBフラッシュドライブでパスワードまたはスタートアップキーが必要)」でチェックの有効を確認 -> 「OK」を選択します。

2.ローカルドライブをBitLockerで暗号化する

手順 1:
「エクスプローラー」–> 「PC」を選択します。

手順 2:
「対象のローカルディスク」を右クリック –>「BitLockerを有効にする」 を選択します。

ローカルグループポリシーエディターで「スタートアップ時に追加の認証を要求する」の設定値を変更していない場合は、「このデバイスではトラステッドプラットフォームモジュールを使用できません。」のエラーメッセージが出力されます。

BitLockerの起動処理が終わるまで少し待ちます。

手順 3:
「パスワードを入力する」を選択します。
※本記事では、PCの起動時にBitLockerのパスワードを要求する設定とするため「パスワードを入力する」を選択しました。

手順 4:
ドライブのロックを解除する「パスワードを入力」 –>「 次へ 」 を選択します。

手順 5:
いずれかの回復キーのバックアップ方法を指定し回復キーを保存しなければ、次の画面に移行できません。※今回は「回復キーを印刷する」を選択し回復キーをPDF化し保存しました。

パスワードを忘れてしまった時などは、回復キーがあればドライブにアクセスすることができるため、管理者はファイルサーバーや外部記憶媒体など複数の場所にバックアップすることをおすすめします。

手順 6:
「Microsoft Print to PDF」を選択 -> 「印刷」を選択します。
※本記事では、紙媒体として出力せず「Microsoft Print to PDF」を選択し、PDFファイルとして出力しています。

手順 7:
回復キーのファイル名を入力 ->「保存」を選択します。

回復キーの確認をします。パソコンに保存したファイル内の48桁の数値です。パスワードを忘れてしまった場合などの際、回復キーがあれば暗号化したデバイスを読み込むことができます。

手順 8:
回復キーファイルを保存後、「次へ」を選択します。

手順 9:
次にドライブを暗号化する範囲を選択します。ドライブの使用領域のみを暗号化、またはドライブ全体を暗号化するか選択できます。「使用済みの領域のみ暗号化する」は、現在のドライブのデータのみ暗号化を実行するため時間を短縮できる可能性がありますが、セキュリティを更に強くするのであれば「ドライブ全体を暗号化する」を選びましょう。

手順 10:
Windows 11は、新しい暗号化モードに対応しているため「新しい暗号化モード」を選択します。 ※固定ドライブ(パソコンに内蔵されているドライブ)を暗号化するため、「新しい暗号化モード」を選択しています。

手順 11:
「 続行 」を選択します。

手順 12:
暗号化はコンピューター再起動後に開始されます。任意のタイミングでパソコンを再起動します。

手順 13:
再起動後、ドライブのロックを解除するパスワード入力画面で、前手順で設定したパスワードを入力します。

3.BitLocker 有効化ステータス確認

Windows ターミナル(管理者)から「manage-bde -status」コマンドを実行することでBitLockerによる暗号化された変換状態・パーセンテージを確認することができます。

手順 1:
タスクバー「 Windowsマーク」を右クリック –>「 Windows ターミナル(管理者)」を選択します。

手順 2:
「manage-bde -status」コマンドを実行します。

変換状態に暗号化の実行ステータス、暗号化された割合にパーセンテージが表示されます。

BitLocker ドライブ暗号化処理終了後、以下画面が表示されます。

変換状態:完全に暗号化されています。
暗号化割合:100.0%