BitLockerの設定は、“コントロールパネル”→“セキュリティ”にある(赤枠は編集部による作成) |
BitLockerを使うには、OSが入っている“OSボリューム”と、OSの起動に必要なファイルが入った“システムボリューム”(ブートローダーボリューム)の2つのパーティションが必要だ。システムボリュームは1.5GB以上の容量で、プライマリー領域として確保されていることと、アクティブフラグが設定されていることなどが条件となる。
BiLockerで暗号化されたHDDのレイアウトイメージ。OSボリュームと、OSを起動するシステムボリュームの最低2つが必要になる |
もし1台のHDDを丸ごと1つのパーティションとして、そこにVistaをインストールして利用している場合、BitLockerを使えるようにするには、ユーザー自身がHDDのパーティションを分割しなければならない。そのために必要なツールは、Vista自体が備えている。VistaのインストールDVDで起動した際の“システム回復オプション」からコマンドプロンプトを利用して、OSがインストールされたボリュームを縮小し、システムボリュームを作成する。そしてシステムボリュームに、OS起動に必要なブート用プログラムをコピーする必要がある。なおパーティション分割に関する詳細については、マイクロソフトの“BitLockerドライブ暗号化のステップバイステップガイド”を参照されたい。
BitLockerを設定しようとした際に、パーティションの用意がなかったり、パソコンにTPMがない場合は、赤枠内ような警告が表示される |
VistaのDVDでパソコンを起動し、“システム回復オプション”から“コマンドプロンプト”を使って、ブート用のパーティションを作成する | “DiskPart”コマンドで、OSボリュームとシステムボリュームの2つのパーティションを作る。その後、ブートマネジャーなどをシステムボリュームにコピーする |
BitLockerでOSボリュームを暗号化するには、コントロールパネルから“BitLockerドライブ暗号化”を選択する。なおBitLockerの標準設定では、TPMを鍵として使うように設定されている。このためTPMが搭載されていないパソコンでは、USBメモリーを鍵として使えるように、セキュリティー関連の設定を変更しなけばならない。またUSBメモリーを鍵として使う場合は、BIOSがUSBメモリーを読み書きできる必要がある。古いパソコンの一部では、USBストレージをBIOSではサポートしていない場合もあるので注意が必要だ(この場合はTPMでの利用しかできない)。
USBメモリーを鍵にしたり、暗号方式の変更を行なうには、“グループポリシーオブジェクトエディタ”(gpedit.msc)を起動して、“ローカルコンピュータポリシー”→“コンピュータの構成”→“管理用テンプレート”→“Windowsコンポーネント”→“BitLockerドライブ暗号化”を選択する。このメニューにある“コントロールパネルセットアップ:詳細なスタートアップオプションを有効にする”の設定画面から、TPMが入っていないパソコンでもUSBメモリーを鍵にすることで、BitLockerが利用できる。
TPMを内蔵しないパソコンでは、設定を変更してUSBメモリーを利用できるように設定する。グループポリシーオブジェクトエディタで“Bitlockerドライブ暗号化”→“詳細なスタートアップ~”を選択する | “詳細なスタートアップ~”を“有効”にすれば、TPMのないパソコンでも、USBメモリーを鍵として利用できるようになる |
“BitLockerドライブ暗号化”を選択後は、ウィザードに従っていけば自動的にUSBメモリーに鍵が保存され、さらにリカバリー用の回復パスワードもUSBメモリーに保存される。鍵が保存されたら、一度パソコンを再起動し、TPMやUSBメモリーに入った鍵が確実に動作するかをチェックする。その後、再度ログインすると、OSボリュームの暗号化が始まる。暗号化にかかる時間はCPUやHDD容量などによって異なるが、1GBで1分程度というのが目安だ。
前述のオプションを“有効”に設定した後でBitLockerの設定を実行すると、USBメモリーを鍵として選択可能になっている |