bitlockerは、windows10のproで使用可能な、起動ドライブを丸ごと暗号化してしまうという強力なセキュリティ機能です。
bitlockerを有効にしておくだけでも、PC本体の紛失、盗難時にはデータ流出を防ぐ強力な護りとなりますが、ドライブを外してデータを抜き取ることはできなくなっていても、そもそもwindowsにログインできてしまえばbitlockerの解除は可能となってしまい、意味をなさなくなってしまいます。
もちろん、windowsログインにもパスワードはかけるでしょうが、これは、ユーザー名と同じであるなどのように案外簡単に推測できたり、部署で共通化されているなどという場合もあり、状況によっては、意外と簡単にパスされてしまう可能性もあります。
bitlockerには、PC起動時に、bitlocker自体に6~12桁のPIN、もしくはパスワードを設定することができる機能があります。
ここで一定回数間違えると、正しいパスワードでも解除できない「ロックアウト」状態となり、最初に作られる48桁の復号キーが必要となるため、さらに堅牢性が高まります(この48桁の復号キーがない場合は、もうどうすることもできません)。
→関連記事:windows10でbitlockerを有効にする手順(ここで48桁の復号キー、およびそのバックアップ方法について触れています)
また、PINやパスワードの代わりに、市販のUSBメディアを、PCの起動キーにすることもできます。
この設定を行うと、キーとしての情報を書き込んだUSBメディアが差さっていれば何事もなくbitlockerの認証を通過しますが、差さっていない場合はbitlockerの認証で止められ、そのUSBか、48桁の復号キーがないと起動ができない状態となります。
今回は、windowsログインとは別に、PC起動時にbitlockerによる認証を設定する方法をご紹介します。
PC起動時に、bitlockerでの認証を行うように設定する
まず、ローカルグループポリシーエディターで、大元の設定を行います。
ローカルグループポリシーを設定する
「winキー+R」で開く「ファイル名を指定して実行」ウインドウに、「gpedit.msc」と入力し、OKを押します。
「ローカルグループポリシーエディター」が開きます。
フォルダツリーの「コンピュータの構成」>「管理用テンプレート」>「Windowsコンポーネント」>「BVitlockerドライブ暗号化」>「オペレーティングシステムのドライブ」にある、「スタートアップ時に追加の認証を要求する」を開きます。
詳細画面が開くので、左上のテェックを「有効」にしてOKを押します。
下の「オプション項目」は、有効にすると中身が勝手に埋まるので、特に触る必要はありません。
この時点では、「起動時にbitlockerの認証はするが、PINなどは決めていない」状態です。
この段階で間違って再起動などしてしまうと、復号キーを使う以外に起動させる方法がない状態でロックされることになりますので、次の手順でPINやUSBキーの設定を行うまで、再起動しないようにご注意ください。
PIN入力でbitlockerの認証を行うように設定する
ロック解除のPINを設定する
コントロールパネルから、「bitlockerドライブ暗号化」を開きます。
グループポリシーを変更したことで、ここに「スタートアップ時にドライブのロックを解除する方法の変更」が現れるので、これをクリックします。
なお、ここまでは、認証をPIN入力にする場合も、USBメディアキーにする場合も共通です。
「PINを入力する(推奨)」を選択します。
6~20桁の、自分で決めた数字を入力します。
確認用に2度入力すれば、設定完了です。
再起動すると、windowsログインよりも先に、bitlockerによるPIN認証画面となります。
PIN入力を一定回数間違えると、正しいPINでも解除できないロックアウト状態となってしまいますので、慎重に入力する必要があります。
pinの長さの最小値を設定する
bitlockerのPINの長さは初期値では6~20桁ですが、これを変更することができます。
とはいえ、上限の20桁は変えられず、最小値の6桁を、最低4桁まで変更することが可能です。
この機能は、企業などでのルールを定める際に、例えば、「最低でも10桁のPINを設定させる」といったような使い方をするものと思われますが、個人で使うPCなら、4桁に設定するのもいいかもしれません。
どのみち何桁のPINが設定されているか分からないわけですし、何回でもトライできるわけではないので、単純に、自分が間違える確率を減らせます。
ただ、通常は変更する必要のない設定です。
「ローカルグループポリシーエディター」の、フォルダツリーの「コンピュータの構成」>「管理用テンプレート」>「Windowsコンポーネント」>「BVitlockerドライブ暗号化」>「オペレーティングシステムのドライブ」にある、「スタートアップに対するPINの長さの最小値を構成する」を開きます。
「有効」にして、初期値が「6」になっている設定数値を、4~20の値に変更します。
OKでこの画面を抜けて以降は、ここで設定した数が、PINの設定可能な最小桁数となります。
pinに数字以外のアルファベットを使用できるように設定する
bitlockerの文字列認証は、初期値では数字だけですが、数字の他に、アルファベットの大文字、小文字、記号、スペースもPINの文字列として使えるように設定できます。
「ローカルグループポリシーエディター」の、フォルダツリーの「コンピュータの構成」>「管理用テンプレート」>「Windowsコンポーネント」>「BVitlockerドライブ暗号化」>「オペレーティングシステムのドライブ」にある、「スタートアップの拡張PINを許可する」を開きます。
この項目は、ただ有効にできるだけで、使える文字の種類を選ぶといったような、細かい設定はありません。
USBメディアをbitlockerの認証のキーとして使用する
bitlockerの起動時の認証に、文字列の入力ではなく、USBメモリを物理的な「鍵」として設定することができます。
この設定を行うと、「鍵」としたUSBメモリがUSBポートに差さっていれば、bitlockerの起動認証は何事もなくパスします。
席を離れたり、PCを使わない時には、そのUSBメモリを抜いて持っていれば、誰かがPCを使おうとしても、bitlockerの認証画面で止まって、起動できません。
PINやパスワード(拡張PIN)は、忘れてしまうとどうにもなりませんが、USBメモリの「鍵」は、それをちゃんと外して持っていればセキュリティは守られますし、予備を作ることができるので、万が一の時のために、予備鍵を決まった場所に保管しておくことも可能です。
反面、人の頭の中にあるPINと違って、そのUSBメモリがセキュリティそのものとなりますので、扱いには十分な注意が必要となります。
ロック解除のUSBメディアを鍵として設定する
コントロールパネル>「bitlockerドライブ暗号化」の「スタートアップ時にドライブのロックを解除する方法の変更」を開き、そこで「USBフラッシュドライブを挿入する」を選択します。
キーにしたいUSBメモリを本体のUSBポートに挿入し、「保存」を押します。
これで完了です。
USBメモリ内に、何か目に見える形でファイルが書き込まれるわけではありませんが、これでもう鍵としての情報を持っています。
そのUSBメモリを抜いて再起動すると、このような画面となります。
ここで、鍵USBを挿してenterを押せば、普通に起動します。
鍵USBを紛失し、予備もないという場合は、復号キーがないと起動できません。
予備の鍵USBを作るには、コントロールパネル>「bitlockerドライブ暗号化」にある「スタートアップキーをコピーする」で、別のUSBメモリを同じ鍵USBにできます。
bitlockerのスタートアップ認証を解除する
PIN、および鍵USBによる起動時のbitlocker認証設定を解除するには、コントロールパネル>「bitlockerドライブ暗号化」と、「ローカルグループポリシーエディター」の両方で設定を行う必要があります。
「bitlockerドライブ暗号化」にある「スタートアップ時にドライブのロックを解除する方法の変更」画面で、「Bitlockerでドライブのロックを自動的に解除する」を選択します。
これにより、PINやUSBキーの情報はクリアされ、再設定が可能となります。
「完了」を押して、ここでの解除は終わりですが、これだけでは、起動時のbitlockerの認証はなくなりません。
グループポリシーエディターの設定も「未構成」か「無効」にすることで、起動時の認証設定は完全に解除となります。
もちろん、bitlockerのドライブ暗号化自体は有効のままです。
ドライブの暗号化自体も解除する方法については、こちらをご参照ください。
関連記事:Windows10・Bitlockerを無効化する設定方法
まとめ
bitlockerは、windows10でもproでのみ使用可能な、高いセキュリティ性能を持つ機能です。
特に、頻繁に持ち出すノートPCなどにかけることで、データ漏洩の可能性を減らすことができます。
ただ、強力な分、使用者がPINを忘れてしまったり、鍵USBをなくしたりした場合、持ち主であってもどうすることもできず、中のデータをあきらめてフォーマットするくらいしかできることはありません。
また、まれにですが、bitlockerのドライブ暗号化が有効になっている本体で、設定していないのに、突然起動時の認証がかかり、PINも何もない状態で復号キーを要求される、という問題が発生することがあります。
一時期、そのような現象が頻発した時期がありましたが、この状態は、bitlockerの起動時の認証を「グループポリシーエディター」でのみ有効にした状態と非常に似ています(そういう不具合だった可能性があります)。
そうなってしまうと、復号キーがない場合、もう打つ手がないのですが、あらかじめ対策を行うことはできます。
関連記事:Windows10・突然、Bitlockerでハードディスクが暗号化がされてしまった!
その強力さ故、諸刃の剣のようにも感じられるbitlockerですが、設定と、何より復号キーをきちんと管理できさえすれば強力な護りとなる機能ですので、活用してみてください。