このページの本文へ

【ここが変わったWindows Vista:特別編】Vistaの知られざる機能を探る――“BitLockerドライブ暗号化”とは

2006年11月22日 16時07分更新

文● 山本雅史

  • この記事をはてなブックマークに追加
  • 本文印刷
BitLockerの設定は、“コントロールパネル”→“セキュリティ”にある(赤枠は編集部による作成)
BitLockerの設定は、“コントロールパネル”→“セキュリティ”にある(赤枠は編集部による作成)

BitLockerを使うには、OSが入っている“OSボリューム”と、OSの起動に必要なファイルが入った“システムボリューム”(ブートローダーボリューム)の2つのパーティションが必要だ。システムボリュームは1.5GB以上の容量で、プライマリー領域として確保されていることと、アクティブフラグが設定されていることなどが条件となる。

BiLockerで暗号化されたHDDのレイアウトイメージ。OSボリュームと、OSを起動するシステムボリュームの最低2つが必要になる
BiLockerで暗号化されたHDDのレイアウトイメージ。OSボリュームと、OSを起動するシステムボリュームの最低2つが必要になる

もし1台のHDDを丸ごと1つのパーティションとして、そこにVistaをインストールして利用している場合、BitLockerを使えるようにするには、ユーザー自身がHDDのパーティションを分割しなければならない。そのために必要なツールは、Vista自体が備えている。VistaのインストールDVDで起動した際の“システム回復オプション」からコマンドプロンプトを利用して、OSがインストールされたボリュームを縮小し、システムボリュームを作成する。そしてシステムボリュームに、OS起動に必要なブート用プログラムをコピーする必要がある。なおパーティション分割に関する詳細については、マイクロソフトの“BitLockerドライブ暗号化のステップバイステップガイド”を参照されたい。

BitLockerを設定しようとした際に、パーティションの用意がなかったり、パソコンにTPMがない場合は、赤枠内ような警告が表示される
BitLockerを設定しようとした際に、パーティションの用意がなかったり、パソコンにTPMがない場合は、赤枠内ような警告が表示される
VistaのDVDでパソコンを起動し、“システム回復オプション”から“コマンドプロンプト”を使って、ブート用のパーティションを作成する “DiskPart”コマンドで、OSボリュームとシステムボリュームの2つのパーティションを作る。その後、ブートマネジャーなどをシステムボリュームにコピーする
VistaのDVDでパソコンを起動し、“システム回復オプション”から“コマンドプロンプト”を使って、ブート用のパーティションを作成する“DiskPart”コマンドで、OSボリュームとシステムボリュームの2つのパーティションを作る。その後、ブートマネジャーなどをシステムボリュームにコピーする

BitLockerでOSボリュームを暗号化するには、コントロールパネルから“BitLockerドライブ暗号化”を選択する。なおBitLockerの標準設定では、TPMを鍵として使うように設定されている。このためTPMが搭載されていないパソコンでは、USBメモリーを鍵として使えるように、セキュリティー関連の設定を変更しなけばならない。またUSBメモリーを鍵として使う場合は、BIOSがUSBメモリーを読み書きできる必要がある。古いパソコンの一部では、USBストレージをBIOSではサポートしていない場合もあるので注意が必要だ(この場合はTPMでの利用しかできない)。

USBメモリーを鍵にしたり、暗号方式の変更を行なうには、“グループポリシーオブジェクトエディタ”(gpedit.msc)を起動して、“ローカルコンピュータポリシー”→“コンピュータの構成”→“管理用テンプレート”→“Windowsコンポーネント”→“BitLockerドライブ暗号化”を選択する。このメニューにある“コントロールパネルセットアップ:詳細なスタートアップオプションを有効にする”の設定画面から、TPMが入っていないパソコンでもUSBメモリーを鍵にすることで、BitLockerが利用できる。

TPMを内蔵しないパソコンでは、設定を変更してUSBメモリーを利用できるように設定する。グループポリシーオブジェクトエディタで“Bitlockerドライブ暗号化”→“コントロールパネルセットアップ:詳細なスタートアップ~”を選択する “詳細なスタートアップ~”を“有効”にすれば、TPMのないパソコンでも、USBメモリーを鍵として利用できるようになる
TPMを内蔵しないパソコンでは、設定を変更してUSBメモリーを利用できるように設定する。グループポリシーオブジェクトエディタで“Bitlockerドライブ暗号化”→“詳細なスタートアップ~”を選択する“詳細なスタートアップ~”を“有効”にすれば、TPMのないパソコンでも、USBメモリーを鍵として利用できるようになる

“BitLockerドライブ暗号化”を選択後は、ウィザードに従っていけば自動的にUSBメモリーに鍵が保存され、さらにリカバリー用の回復パスワードもUSBメモリーに保存される。鍵が保存されたら、一度パソコンを再起動し、TPMやUSBメモリーに入った鍵が確実に動作するかをチェックする。その後、再度ログインすると、OSボリュームの暗号化が始まる。暗号化にかかる時間はCPUやHDD容量などによって異なるが、1GBで1分程度というのが目安だ。

前述のオプションを“有効”に設定した後でBitLockerの設定を実行すると、USBメモリーを鍵として選択可能になっている
前述のオプションを“有効”に設定した後でBitLockerの設定を実行すると、USBメモリーを鍵として選択可能になっている

週刊アスキー最新号

編集部のお勧め

ASCII倶楽部

ASCII.jp Focus

MITテクノロジーレビュー

  • 角川アスキー総合研究所
  • アスキーカード
ピックアップ

デジタル用語辞典

ASCII.jp RSS2.0 配信中