Vistaの暗号化機能 BitLockerを本気で試してみた

2008年07月06日 12時00分更新

文● 小西利明／トレンド編集部

起動キーと回復パスワードは複数保存が基本

　準備ツールで起動ボリュームを作成したら、いよいよ暗号化だ。コントロールパネルにある「BitLockerドライブ暗号化」を選択する。

　すると、BitLockerで暗号化できる対象のHDDが一覧されるので、OSボリューム（ほとんどの場合はCドライブ）の下にある「BitLockerをオンにする」をクリックする。

コントロールパネルから「BitLockerドライブ暗号化」を実行。対象となるボリュームを選んで「オンにする」をクリック

　まずは起動キーの設定を行なう。今回はUSBメモリーのみを使用するので、鍵を保存するUSBメモリーをパソコンに装着して、「スタートアップUSBキーを要求する」を選択。該当のUSBメモリーに鍵を保存する。

TPMのないごく普通のパソコンでUSBメモリーをキーにできるよう設定した場合、選択できるのは3つめの項目だけ

起動キーにするUSBメモリーを選択

起動キーとは別に回復パスワードを保存する。起動キーの中に保存してもいいが、印刷や複製も用意しておくべき

　続いての「回復パスワードの保存」は、48桁のパスワードを保存、または印刷する作業だ。回復パスワードは起動キーのUSBメモリーを紛失したり、起動ボリュームになんらかの変更があった場合などに使用する。暗号化ボリューム上には保存できないので、印刷したりUSBメモリーに保存する。

　ちなみに起動キーや回復パスワードの複製は、BitLockerで暗号化を行なったあとにもできる。回復パスワードのファイル自体は単なるテキストデータなので、自分宛にメールで送っておくという手もある。どちらも複数用意しておくべきだが、これらが盗まれたりすれば、せっかくの暗号化も無意味になってしまう。扱いは慎重を要する。

暗号化後に起動キーや回復パスワードを複製するには、赤枠内の「BitLocker キーの管理」を実行する

　最後のダイアログでは、「BitLockerシステムチェック」を行なうか否かを指定するが、デフォルトのまま「続行」していい。その際には、回復パスワードを保存したUSBメモリーをUSBポートに挿しておくように。続行するとパソコンは再起動されて、BIOSからUSBメモリーにアクセスできるかどうかが確認される。

BitLockerシステムチェックでは、BIOSがきちんとUSBメモリーを読めるかどうかが確認される。Vistaを使うようなパソコンならまず問題はないが、もしNGとなれば暗号化は行なわれない

暗号化にはかなりの時間がかかる

　再起動後にWindowsにログオンすると、自動で暗号化が始まる。暗号化の処理中もWindowsは使える。暗号化処理はVistaの「ロープライオリティI/O」を利用して、優先度の低いディスクアクセスとして処理しているのだろう。

再起動すると、暗号化がはじまる。バックグラウンドで行なわれており、暗号化中も普段の作業をできるが、未使用時に行なった方が安全ではある

　ただし、暗号化自体はかなり時間がかかる。特にデータ量が多く空き領域が少ないボリュームほど時間がかかる。テストでは容量144GB程度、使用領域25GB程度のOSボリュームを暗号化したのだが、ぴったり90分の時間がかかった^※1。暗号化処理の進展を見ていると、データがある部分の暗号化には、1％分の処理に3分も要している場合があった。

^※1　テストに使用したマシンの主な仕様は、CPU：Pentium D 930(3GHz)、メモリー：1GB、HDD：160GB SATA(7200rpm)など。