PCを起動すると、いつものwindows起動画面ではなく、以下のような「BitLocker回復」(「回復キーを入力してください」の場合もあります)と書かれた、青い画面が表示されてしまう場合があります(画像はイメージです。windowsのバージョンによって文言が異なる場合があります)。
コンピューターウイルスやランサムウェアでしょうか?いいえ違います。これはwindowsの正規の機能である「BitLocker」と呼ばれる機能のものです。しかし、このままではwindowsを通常通り起動することができません。
この記事ではBitLocker回復の流れを含め、BitLockerについての説明をします。
☏電話で相談
03-6869-0595 ✉メールで相談
info@togeo.net
BitLocker回復の仕組み
「BitLocker回復」は、通常使用を行っている場合は求められることはなく、何かしらのきっかけがあります。例えば、以下のようなイベントがあった場合、起動時にBitLocker回復が求められる可能性があります。
- PCの構成が変更された(HDD、メモリ、CPU、マザーボードなどの変更)
- マザーボードなど機器ファームウェアアップデートを行った
- WindowsUpdateの適用に失敗した(インストールエラーによるロールバック、windowsUpdate実施中の強制電源断など)
- その他不具合によるトラブルの併発(HDD障害など)
BitLocker回復は、windowsの適切な保護機能のため、回避して強制的にwindowsを起動することはできず、画面上で求められているように回復キーを適切に入力するか、PC自体を完全に初期化してOSをクリーンインストールするかのどちらかになります。
回復キーはどこに保存されているのか?
BitLocker回復では「回復キー」を入力するテキストボックスがあります。回復キーは48桁の数字によって構成されるパスワードです。この回復キーを手に入れる方法は3種類あります。
回復キーの取得:ローカルアカウントでの取得
ローカルアカウントでBitlockerを有効にした場合は「自分で記憶しておく」必要があります。忘れてしまうとデータを取り出すことが出来ずパソコンをもう一度利用したい場合はドライブをフォーマット(データを全削除)してWindowsを再インストールする以外の方法はありません。
回復キーの取得:Microsoftアカウントから取得
利用しているWindowsがMicrosoftアカウントに紐づいている場合、Microsoftアカウントから回復キーを取得することが可能です。BitLocker回復を求めているPCではインターネットを使用することはできないので、別の端末またはスマートフォン等から、インターネットでMicrosoftアカウント( https://account.microsoft.com ) へログインします。
Microsoftアカウントのトップページに「デバイス」欄があります。複数デバイスが表示される場合がありますが、どれでも良いので「詳細の表示」リンクを押します。
デバイスページに遷移すると「BitLockerデータ保護」という欄に「回復キーの管理」というリンクがあるので、クリックします。
このページに、Microsoftアカウントに紐づくBitLocker回復キー一覧が表示されています。複数端末がある場合、デバイス名または「BitLocker回復」画面に表示される「キーID」でどの端末か識別できますので、対応した回復キーを「BitLocker回復」画面のテキストボックスに入力してください。
回復キーの取得:デバイス管理者からの取得
組織(企業)で購入した端末で、Active DirectoryやAzure Active Directoryによる認証管理を行っている端末の場合、デバイス管理者(ActiveDirectory管理者)が該当デバイスの回復キーを確認することが可能です。もしあなたがシステム管理者ではない場合は、該当の管理者に問い合わせをしてみてください。
Active Directoryからの回復キー取得手順
もしあなたがADサーバ(オンプレミス)へのアクセス権を持つ管理者の場合、以下の操作でBitLocker回復キーを取得することが可能です。
- ドメインコントローラーの役割を持つサーバへログインする
- 「ActiveDirectoryユーザーとコンピューター」を実行する
- BitLocker回復が必要なコンピューターを探し、「プロパティ」を実行
- 「BitLocker回復」タブを選ぶと、詳細部分に回復パスワードが記載されています。
Active Active Directoryからの回復キー取得手順
Microsoft365(クラウド)によるAzure Active Direcotoryで管理している場合は、システム管理者は以下の操作でBitLocker回復キーを取得することが可能です。
- microsoft365に管理者アカウントでログイン
- アカウント表示 から、マイアカウント内「デバイス」 へアクセス
- デバイスの一覧からBitLocker回復対象のデバイスを選択し、「BitLockerキーの表示」をクリック
☏電話で相談
03-6869-0595 ✉メールで相談
info@togeo.net
BitLockerとはそもそも何か?
そもそもBitLockerとは何かについて簡単に説明します。BitLockerによってwindowsが起動できなくて困った方もいるかもしれませんし、回復キーが見つかって無事復旧できたならともかく、回復キーが見つからずやむを得ずOSを初期化しなければならなくなった方も、その労力に見合った機能であるか、今一度BitLockerの必要性をご確認ください。
BitLockerが利用可能な要件
BitLockerは正式には「Windows BitLockerドライブ暗号化」という機能です。BitLockerが使用できるための条件があります。
- windowsが「Pro」エディションである(windows10,11)
- トラステッドプラットフォームモジュール(TPM)が有効であること
WindowsのHomeエディションではBitLockerを使用できません(正確にはHomeエディションでも機能自体は存在しますが、コントロールパネル上に表示されず、管理者権限のコマンドプロンプトでのみ設定変更ができます)。
TPMは、CPUやマザーボードが対応しているかどうかに依存しますが、ここ数年のCPUはTPMをほぼサポートしています。ただしマザーボード側でTPMが無効になっている場合があるので、その場合はBIOS(UEFI)で有効化する必要があります。windows11ではTPM2.0を動作要件としているため、windows11以降が初期インストールされている端末であれば、まず問題はありません。
BitLocker=盗難対策
BitLockerが具体的にどのように機能するかというと、ストレージデバイスの盗難対策です。ノートPCやタブレット端末など、外に持ち運び可能なデバイスが万が一盗難されたとして、その際のリスクの一つがHDDなどのストレージに保存されたデータの盗難です。個人のPCでも個人情報が保存されているでしょうし、会社組織のPCであれば重要な企業秘密や業務情報が保存されている可能性があります。
また、ストレージの仕組み上、内蔵ドライブだけ取りだせれば、その中に保存されているデータは暗号化されていなければ簡単に吸い出すことが可能です。実際にPCが故障しOSが起動できなくなった時に、SATA→USB変換ケーブルやHDDスタンドなどを使って保存データの救出(サルベージ)を試みた方もいるのではないでしょうか?
しかし、逆を言えば、悪意を持って盗難されると、ストレージさえ動けばデータを簡単に吸い出すことができるため、物理的な盗難に対して何らかの対策を施すことがセキュリティ対策の一つとなります。BitLockerはこういった物理的な盗難に対するもので、適切に紐づいた端末でなければストレージ内の情報を取り出すことができなくなる仕組みです。
もし秘密情報をストレージに保存し、外部に持ち運ぶような用途を想定している端末ならBitLockerは有効にしておくに越したことはありません。悪意を持った盗難だけではなく、置忘れによる紛失、機器廃棄時でも安全に処分できるなどのメリットがあります。
ただし、BitLockerで保護されると従来のようにHDDスタンドなどから直接保存データ救出することも当然できなくなります。重要なデータは必ず複数個所にバックアップすることも常日頃から心がけておきましょう。
なお、BitLockerはドライブ(ストレージ)単位の暗号化のため、不正アクセス・不正侵入によるデータの漏洩や改ざんの対策にはなりません。あくまでもハードウェア単位での不整合でデータを取り出せなくなる仕組みのため、不正アクセスの他、マルウェア・ランサムウェアに対してはBitLockerではない別の方法で対策を講じる必要があります。
☏電話で相談
03-6869-0595 ✉メールで相談
info@togeo.net
BitLockerの無効化・有効化
ここまでを踏まえて、BitLockerを有効化するか、無効化するかを判断することが可能です。購入時にBitlockerの設定がどうなっているかはメーカー、機種により異なりますので初期設定時に念のため確認しておくことをお勧めします。
ノートPCのようなモバイル目的のデバイスで、重要な情報をローカル保存する場合はBitLockerは有効な方が好ましいでしょう。また、ActiveDirecoryやmicrosoft365で機器管理をしているのであれば、管理者も簡易に回復キーへアクセスできるので、よりお勧めです。
逆に、PC管理はActiveDirecotryなどを使わず個別管理しており、回復キーも端末にしか保持していないのであれば、かえって障害発生時や不慮のエラーによってwindowsが使えなくなる状況が発生する可能性もあるため、BitLockerを無効化しておくという手段もあります。その場合、盗難・紛失等にあった場合のリスク等も総合的に加味して判断してください。
BitLocker有効化・無効化の設定方法
BitLockerは、以下の操作で有効・無効化が可能です。
まずコントロールパネルを開きます。開き方は以下のページをご参考ください。
コントロールパネル「システムとセキュリティ」>BitLockerドライブ暗号化
論理ドライブごとにBitLockerの有効・無効化が可能です
※有効化した場合新たに「回復キー」が発行されますので絶対に無くさないように保存してください。
※ActiveDirectoryでBitLockerを管理している場合、グループポリシー側の設定の変更も必要となります。
☏電話で相談
03-6869-0595 ✉メールで相談
info@togeo.net
Bitlocker回復キーに関するまとめ
BitLockerはセキュリティ対策として非常に有用ですが、事前に回復キーの検索の仕方を覚えておかないと、最悪OSの再インストールとなってしまい保存データも削除されてしまう可能性があります。セキュリティと運用上の利便性を検討し、BitLockerを適切に利用ください。
関連記事
コメント