bitlockerの使い方

Windows7 で bitlocker を使ってみます。
まず、bitlocker とは何か？ということを説明します。
簡単に言うと bitlocker はセキュリティ機能です。
セキュリティといってもインターネットセキュリティとは関係ありません。
ハードディスクの盗難やＵＳＢメモリの紛失があった場合に、
第３者に内部のデータを奪われないようにデータを保護する機能です。
具体的にはディスクの書き込み時にデータが暗号化され、読み込み時に解読されます。
暗号化には暗号化するための鍵を要します。
鍵はＯＳで管理するため、特定のＰＣでのみ読み書きができることになります。
読み書きは通常のファイル操作と違い無く、特別な操作は要しません。
読み書きの速度は遅くなるはずだが、ほとんどわからないくらいです。
加えて、bitlocker はＯＳ自身が入ったハードディスクにも使用できます。
ＯＳ自体はログインパスワードを打ち込まないと起動できないが、
暗号化していないディスクは取り外して他のＰＣに取り付ければ中身が読めてしまいます。
bitlocker はＯＳの入ったドライブを他のＰＣに取り付けても中身を読めないようにします。
レジストリの内容やアプリケーションの設定なども保護できるということになります。
もし鍵を無くしてしまったら、ディスクの内容は読めなくなります。
鍵をなくしても読めてしまったら、暗号化の意味がありません。
ただし、鍵を無くしてもディスクが使えなくなるわけではありません。
暗号化したディスクのフォーマットはできるので、
フォーマットしてハードディスクに再度ＯＳを入れることはできます。
bitlocker はあくまでデータの流出を防ぐ機能です。
第３者にディスクを奪われてデータが読まれるのを防ぐ機能です。

 必要事項

windows7 Ultimate であること。(Home、Professional ではダメ)
マザーボードに TPM の機能かＵＳＢブート機能のどちらかがあること。
（パーティションが２つ必要という説明を見たことがあったが、実際やってみたら不要であった。）

 ＵＳＢメモリや外付けハードディスクの暗号化

暗号化するドライブは暗号化しても中身が消えることは無いので、
中身が入ったまま暗号化を始めることができる。
暗号化したいドライブを右クリックし「BitLocker を有効にする」を選択。
パスワードを入力する画面が出るので入力します。
回復キーを保存するか聞かれるので、
ＵＳＢメモリに保存、ファイルに保存、印刷の３つから選択。
選択はどれを何回でもできるので必要なだけ行います。
暗号化には時間がかかるので待つ。
暗号化するサイズ次第では１日で終わらないこともあるので覚悟が必要。
暗号化中のドライブは開いて中のファイルを使うことができる。
また、いったん停止して暗号化を止めて、再び再開することも可能である。
あまり時間が長ければ暗号化を停止して電源を切っても良い。
１００％の暗号化が終われば初めて全ての領域が暗号化されたことになる。
暗号化したディスクやＵＳＢは取り付けをするとパスワードを聞いてくる。
このとき正しいパスワードを入力するか回復キーの数字を打つと中身が見える。
暗号化や解読はＯＳが内部でやるので、ユーザーは通常と同じファイル操作を行えば良い。
ディスクを取り外すと、再度挿し込み時にパスワードを要するようになる。
パスワードは頭の中で覚えておいて、
いざというときのために回復キーを控えておくというのが現実的な運用だと思う。
また、ドライブを右クリックすると「BitLocker の管理」という項目が選べて、
ここでＰＣとディスクを関連づける機能もあるので、
特定のＰＣであればパスワード無しでディスクを開くような設定にもできる。
暗号化を解除するためには次のように進む。
「コントロールパネル」→「システムとセキュリティ」→「BitLocker ドライブ暗号化」。
 ここで「BitLocker を無効にする」を選べば良い。
暗号化の逆の操作をするのでやはり時間がかかる。

 ＯＳの入ったディスクの暗号化

マザーボードに TPM という機能があれば、
ＯＳの入ったハードディスクを右クリックして「BitLocker を有効にする」を選べば良い。
TPM が見つからない場合はディスクを初期化する画面から進まない。
この場合はグループポリシーを書き換える必要がある。
グループポリシーは gpedit.msc というエディタで書き換える。
場所は「Windows」フォルダの「System32」内にある。
エディタをダブルクリックで開き次のように進む。
「コンピューターの構成」→「管理用テンプレート」→「Windows コンポーネント」
→「BitLocker ドライブ暗号化」→「オペレーション システムのドライブ」
→「スタートアップ時に追加の認証を要求する」をダブルクリック。
ここで「有効」を選び、
「互換性のある TPM が装備されていない BitLocker を許可する」
にチェックが入っているのを確認する。
この状態にしたうえで、
ＯＳのハードディスクを右クリックして「BitLocker を有効にする」を選べば良い。
TPM が無い場合はＵＳＢメモリの場所を指定するよう要求されるので、
適当なＵＳＢメモリを挿し込んでＵＳＢのドライブを指定する。
回復キーをＵＳＢに保存、ファイルに保存、印刷から選らんで保存。
ＵＳＢメモリを使用する場合はＵＳＢブートができるか検証するテストがある。
再起動してブートできなければディスクの暗号化が始まらない。
暗号化したもののブートができなくて困る、ということは無さそうだ。
ＵＳＢブートの仕方については各ＢＩＯＳの設定で違うと思うのでここには書かない。
もしＵＳＢブートができればディスクの暗号化が自動的に始まる。
暗号化にはディスク容量に応じて時間がかかる。
暗号化が終わると、ＯＳドライブの保護ができるようになったといえる。
その後は、キーのＵＳＢを挿してＵＳＢブートするか回復キーが無いとディスクは読めなくなる。
回復キーはテンキーを使用せず F1 〜 F10 のキーを使って入力できる。
パスワードはログインパスワードを入力する。
実際の運用としては、ＵＳＢメモリ自体はキーという扱いでは無いので、
ＰＣにずっと挿しっぱなしになる。
ＵＳＢメモリは無くしても回復キーがあれば起動できる。
通常はＵＳＢメモリは挿しっぱなしでログインパスワードをキーにし、
いざというときに回復キーを使うのが良いのでは無いだろうか。
ＯＳの入ったディスクに関しては、
「コントロールパネル」→「システムとセキュリティ」→「BitLocker ドライブ暗号化」
の設定で、暗号化は解かないが保護は中断するという設定ができる。
これば BIOS の更新などに必要な設定であるとのことだ。
暗号化の解除は、
「コントロールパネル」→「システムとセキュリティ」→「BitLocker ドライブ暗号化」
と進んで「BitLocker を無効にする」を選択する。
暗号化の逆なのでやはりディスクサイズに応じて時間がかかる。