BitLockerの管理はどうする?
Windowsのアップデートをした際などに「BitLockerの回復キーを求められる」事態になることがあります。
その際にBitLockerキーを保存しておらずPCを初期化せざるを得なかった、という書き込みがSNSでは散見されます。こういったトラブルを防ぐために、BitLockerについて今一度復習しておきましょう。
BitLockerを有効化にするメリット
BitLockerとは、WindowsでHDD、SSDのディスクまたはパーティションごとに暗号化する機能です。
あってはならないことですが、PCを紛失や盗難を100%防ぐことは難しいです。もしHDDやSSDのデータが抜き取られてほかのPCに転送されてしまうと、データが漏えいし、悪用されてしまう可能性があります。
万が一の時のために、BitLockerでディスクを暗号化しておけば、データを盗まれても中身を読み取られることは防げます。
BitLockerはWindows 8/8.1のPro、Enterprise、10/11のPro、Enterprise、Educationエディションで有効にできます(Vista/7ではUltimate、Enterpriseエディション)。また、Windows Serverでは2008以降全てのエディションで使えます。
BitLockerを利用するにはTPM(Trusted Platform Module:トラステッド・プラットフォーム・モジュール)というセキュリティチップが内蔵されている必要がありますが、Intelの6000番台(第6世代)以降、AMDのRyzen以降のCPUなら、TPMに対応しています。
BitLocker to Goでは外付けHDDやUSBも
BitLocker to Goを使うと、以下のような外付けのデバイスも暗号化が可能です。
●USBメモリ
●SDカード
●外付けHDD
●NTFS、FAT16、FAT32、またはexFATファイルシステムを使用して書式設定されるその他のドライブ
いずれのデバイスでも利用するには、250MB以上の空き容量が必要になります。
BitLocker回復キーの管理・確認方法
BitLockerを有効にしている場合、OSアップデート時のバグやハードウェア構成が変わったときなどに48桁の回復キーの入力が求められることがあります。
冒頭で述べたように、Windows 11のアップデートでBitLocker回復キーを求められ、どうにもできなかったケースもあったようです。
BitLockerの回復キーは以下の4つの方法のいずれかで保管されています。BitLockerを有効にしたときにどれかを選んでいるため、回復キーが必要になった場合は、そのときの保管場所をたどれば問題ありません。
① Microsoftアカウントで管理
回復キーをMicrosoftアカウントで管理している場合は、ほかのデバイスからアカウントにアクセスします。Microsoftアカウントにはスマホやタブレットからでもアクセスできます。アカウントにサインインし、以下の順番で開きます。
1. 画面上部の「デバイス」をクリック
2. アカウントに紐づいたデバイス一覧が表示されるので、
該当デバイスの「詳細を見る」をクリック
3.「BitLockerデータ保護:回復キーの管理」をクリック
「BitLocker回復キー」画面が開き、回復キーが表示されます。
以下のURLにアクセスし、サインインしても同じ画面が表示されます。https://account.microsoft.com/devices/recoverykey
② 印刷して管理
回復キーは紙に印刷しての保管も可能です。物理的な紙で保管する場合は、鍵がかかるキャビネットなどに入れるなどして厳重に取り扱いましょう。
③ USBメモリで保管
USBメモリに保管した場合は、ロックされたPCにUSBを差して指示通りに操作します。USBメモリにテキストやPDFで保存した場合は、ほかのデバイスで開き、回復キーを入力します。
④ Azure Active Directoryに保管
システム管理者が保持する場合など、Azure ADアカウントに格納する方法もあります。
上記のいずれの方法をとる場合も、PC使用者が直接管理することが可能ですが、個々で勝手にBitLockerを無効にしてしまう心配がある場合や、リテラシーの問題でトラブルになりそうなときは、システム管理者がまとめて管理するほうがいいでしょう。
管理するPCの数が少ない場合、1台ごとにAdministratorでサインインして管理することもできますが、数十台以上ならAzure ADでの一括管理が現実的です。
サードパーティの管理ツールを使う
複数台のBitLockerを楽に、より確実に管理するには、専用ツールを用いることもおすすめです。
BitLocker管理に特化したソフトと、それ以外のIT資産を一括で管理する機能をもったツールの一機能としてBitLocker管理機能をもつものがあるので、予算と必要な機能に応じて選ぶといいでしょう。
例えばISM CloudOneは、全ての端末の脆弱性を確認し、必要なセキュリティ機能をクラウドから提供するツールです。
ISM CloudOneはクラウド版のため、システム担当者、社員がどこで業務をしていても利用でき、テレワークやハイブリッドワークにも最適です。
国内のみならず、海外拠点で使用しているPCも管理が可能です。
このソフトはセキュリティ対策、IT資産管理(ライセンス管理等)、スマートデバイス管理、就業時間管理などの幅広い機能も備えています。Windows PCだけでなく、スマートフォン紛失時の位置情報による発見や、操作ロックなどの機能をもっています。
BitLocker管理機能では、ダッシュボードに円グラフで各PCの暗号化の状況が表示され、グラフをクリックするとデバイス一覧が表示されます。その一覧から暗号化の実行/解除、管理者回復パスワードの管理などができる仕様です。
また、遠隔でBitLockerを操作してPCをロックまたは解除することもできます。
まとめ
・BitLockerはHDD、SSDを暗号化して情報漏えいを防ぐ
・BitLocker回復キーはMicrosoftアカウントやAzure ADなどで管理する
・システム管理者が一括管理するときは管理ツールの導入もおすすめ
この記事が気に入ったらサポートをしてみませんか?