Windowsの標準機能でファイルやドライブを暗号化する方法

広告あり 2021/9/27

Windowsの標準機能でファイルやドライブを暗号化する方法。

Windows 10や11には、フォルダーやファイルを暗号化する機能として「EFS(Encrypting File System)」、ドライブ(パーティション)全体を暗号化する機能として「BitLocker」や「デバイスの暗号化(一部のパソコン)」が搭載されています。

どの暗号化機能を利用すべきかは、Windowsの利用環境にもよりますが、それぞれの機能の特徴を理解しておけば、適切な選択ができるでしょう。

そこでここではWindows 10を例に、EFSやBitLocker、デバイスの暗号化それぞれ特徴と使い方を紹介します。

Check!

EFS(Encrypting File System)

EFSとは

「EFS」は、Windowsに標準搭載されているファイル単位の暗号化機能で、ユーザーが指定したファイルを暗号化して情報を保護して情報漏えいを防ぎたいときに役立つ機能です。

EFSで暗号化されたファイルは、証明書とキーがない限り暗号化したユーザーでしか開くけなくなり、暗号化されたファイルは透過的に復号化されるため、ユーザーは暗号化されていることを意識することなくファイルを操作できます。

EFSでのファイル暗号化手順

EFSはファイル単位の暗号化機能ですが、通常は暗号化したいファイルを格納するフォルダーに対して暗号化を設定し、暗号したいファイルをそのフォルダーに格納するという使い方が一般的です。

これにより、一つ一つのファイルを暗号化する手間が省けます。

設定手順は、次のとおりです。

まず、暗号化したいファイルを格納するフォルダーを右クリックし、メニューから「プロパティ」をクリックします。

Windowsの標準機能でファイルやドライブを暗号化する方法。

プロパティ画面が開いたら「全般」タブの属性欄にある「詳細設定」をクリックします。

Windowsの標準機能でファイルやドライブを暗号化する方法。

「属性の詳細」画面が開いたら「圧縮属性または暗号化属性」にある「内容を暗号化してデータをセキュリティで保護する」にチェックを入れて「OK」をクリックします。

「内容を圧縮してディスク領域を節約する」と同時には利用できないので、ご注意ください。

Windowsの標準機能でファイルやドライブを暗号化する方法。

プロパティ画面に戻るので「OK」をクリックします。

Windowsの標準機能でファイルやドライブを暗号化する方法。

以上で、暗号化できました。

暗号化されているフォルダーやファイルは、エクスプローラーで見たときに、名前がみどり色でアイコンには鍵マークが表示されています。

Windowsの標準機能でファイルやドライブを暗号化する方法。

あとは、このフォルダー内にファイルを保存すれば、自動的に暗号化されます。

なお、システム属性のついたファイルや「C:\Windows」配下のファイルには、EFSは利用できません。

EFS利用時の注意点

EFSの利用を開始すると、証明書とキーをバックアップするよう通知が表示されるので、バックアップして保管しておきましょう。

Windowsの標準機能でファイルやドライブを暗号化する方法。

認証書やキーは、OSを再インストールしたときや暗号化されたファイルを別のパソコンで開くときに必要になり、これらを失うとファイルを開けなくなっていしまうので注意が必要です。

BitLocker

BitLockerとは

「BitLocker」は、Windows 10や11ではPro、Enterprise、Educationの各エディションで利用できるドライブ(パーティション)単位の暗号化機能で、主にノートパソコンなどのように、外部に持ち出すことがあるパソコンなどでドライブ内のデータを暗号化して、情報漏えいを防ぐのに役立つ機能です。

BitLockerでは、TPM(Trusted Platform Module)と呼ばれるパソコンに内蔵されているセキュリティチップや、パスワード、スマートカードなどに保存されたキー情報を使って、暗号化されたドライブのロックを解除して、暗号化されたドライブにアクセスします。

そのため、物理的にハードディスクを取り外して別のパソコンに接続しても、ドライブ内の情報が読み取られるのを防ぐことができます。

また、ドライブへのアクセス時はOSが復号化を透過的に行うため、ユーザーはドライブが暗号化されていることを意識することなく利用できるメリットがあります。

BitLockerでのドライブ暗号化手順

BitLockerでドライブを暗号化する基本的な手順は、次のとおりです。

まず、管理者ユーザーでWindowsにサインインしてエクスプローラーを起動し、ドライブの一覧から暗号化したいドライブを右クリックして、メニューから「BitLockerを有効にする」を選択します。

ここでは例として、システムドライブ(Cドライブ)を暗号化します。

Windowsの標準機能でファイルやドライブを暗号化する方法。

システムドライブを暗号化するときに「このデバイスではトラステッドプラットフォームモジュールを使用できません・・・」という画面が表示され、先に進めないときは、後述の「TPMを搭載していないパソコンでBitLockerを利用するには」の手順を実施してから、改めて「BitLockerを有効にする」をクリックします。

Windowsの標準機能でファイルやドライブを暗号化する方法。

回復キーのバックアップ方法を指定する画面が表示されるので「Microsoftアカウントに保存する」「ファイルに保存する」「回復キーを印刷する」のいずれかを選択します。

ここでは例として「Microsoftアカウントに保存する」をクリックしてから「次へ」をクリックします。

Windowsの標準機能でファイルやドライブを暗号化する方法。

ドライブを暗号化する範囲の選択画面が表示されるので、新しいドライブを暗号化するときは「使用済みの領域のみを暗号化する」を選択し、既に使用中のドライブを暗号化するときは「ドライブ全体を暗号化する」を選択して「次へ」をクリックします。

Windowsの標準機能でファイルやドライブを暗号化する方法。

使用する暗号化モードの選択画面が表示されるので、通常は「新しい暗号化モード」を選択して「次へ」をクリックします。暗号化したドライブを古いWindowsマシンに接続することがあるなら「互換モード」を選択します。

Windowsの標準機能でファイルやドライブを暗号化する方法。

最後に「BitLockerシステムチェックを実行する」にチェックを入れてから「続行」をクリックすると、パソコンが再起動されてドライブの暗号化が開始されます。

Windowsの標準機能でファイルやドライブを暗号化する方法。

大容量のドライブでは暗号化に時間がかかりますが、暗号化中も若干動作が遅くなることはるもののパソコンの操作も引き続きできます。なお、ドライブの暗号化中は、タスクトレイにアイコンが表示され、暗号化の進捗を確認できます。

Windowsの標準機能でファイルやドライブを暗号化する方法。

以上で、BitLockerでのドライブ暗号化完了です。

BitLockerで暗号化されたドライブは、ドライブアイコンに鍵マークが付きます。

Windowsの標準機能でファイルやドライブを暗号化する方法。

TPMを搭載していないパソコンでBitLockerを利用するには

BitLockerでシステムドライブ(Cドライブ)を暗号化するには、デフォルトではTPMが必要ですが、ローカルグループポリシーを事前に設定することで、TPMを搭載していないパソコンでもUSBメモリやパスワード入力でロックを解除する方法でシステムドライブを暗号化することができます。

手順は、次のとおりです。

「ローカルグループポリシーエディター(gpedit.msc)」を起動して、画面左側で「コンピューターの構成」>「管理用テンプレート」>「Windowsコンポーネント」>「BitLockerドライブ暗号化」>「オペレーティングシステムのドライブ」を展開し、画面右側のポリシー一覧から「スタートアップ時に追加の承認を要求する」をダブルクリックします。

Windowsの標準機能でファイルやドライブを暗号化する方法。

「スタートアップ時に追加の承認を要求する」画面が表示されたら「有効」を選択して「互換性のあるTPMが装備されていないBitLockerを許可する(USBフラッシュドライブでパスワードまたはスタートアップキーが必要)」にチェックが入っていることを確認し「OK」をクリックします。

Windowsの標準機能でファイルやドライブを暗号化する方法。

最後に、設定を適用するためにコマンドプロンプトを起動して「gpupdate」コマンドを実行します。

Windowsの標準機能でファイルやドライブを暗号化する方法。

以上で、TPMを搭載していないパソコンでもシステムドライブをBitLockerで暗号化できるようになります。

コマンド操作でBitLockerを管理するときは

BitLockerドライブ暗号化は、manage-bdeコマンドやPowerShellコマンドレットで管理することもできます。ここでは、PowerShellコマンドレットで対応する場合の、基本的なコマンド実行方法を紹介します。

システムドライブでBitLockerを有効化

たとえば、BitLockerの管理画面でシステムドライブに対してBitLockerを有効化するときと同じ設定をコマンドで対応したい場合は、以下の順でコマンドを実行します。

PS> Enable-BitLocker -MountPoint C -TpmProtector
PS> Add-BitLockerKeyProtector -MountPoint C -RecoveryPasswordProtector
PS> (Get-BitLockerVolume -MountPoint C).KeyProtector | Where-Object {$_.KeyProtectorType -eq "RecoveryPassword"} | Out-File <任意のファイルパス>

また、実行するコマンドにオプションを付加することで暗号化範囲やシステムチェック実行、暗号化方式を指定することもできます。

たとえば、デフォルトではドライブ全体を暗号化しますが、使用済みの領域のみを暗号化したいときは「-UsedSpaceOnly」オプションを付加して実行します。

PS> Enable-BitLocker -MountPoint C -TpmProtector -UsedSpaceOnly

また、デフォルトではシステムチェックが実行されますが「-SkipHardwareTest」オプションを付加すれば、システムチェックを省略できます。

PS> Enable-BitLocker -MountPoint C -TpmProtector -SkipHardwareTest

また、デフォルトの暗号化モードは「新しいディスク暗号化モード(XtsAes128)」ですが「-EncryptionMethod」オプションで暗号化モードをAes128, Aes256, XtsAes128, XtsAes256から指定できます。

PS> Enable-BitLocker -MountPoint C -TpmProtector -EncryptionMethod Aes128

固定データドライブでBitLocerを有効化

固定データドライブでBitLocerを有効化して、パスワードでロック解除するよう設定するときは、以下の順でコマンドを実行します。以下のコマンドでは、Dドライブを暗号化しています。

PS> $pw = ConvertTo-SecureString "パスワード" -AsPlainText -Force
PS> Enable-BitLocker -MountPoint D -PasswordProtector -Password $pw
PS> Add-BitLockerKeyProtector -MountPoint D -RecoveryPasswordProtector
PS> (Get-BitLockerVolume -MountPoint D).KeyProtector | Where-Object {$_.KeyProtectorType -eq "RecoveryPassword"} | Out-File <任意のファイルパス>

固定データドライブでBitLocerを有効化するときに、自動ロック解除も有効にしたいときは以下のコマンドを追加実行します。

PS> Enable-BitLockerAutoUnlock -MountPoint D

BitLockerの状態を確認

ドライブそれぞれのBitLockerの状態を確認したいときは、以下のようにコマンドを実行します。

PS> Get-BitLockerVolume | fl

また、暗号化を有効化した際の進捗を確認したいときは、以下のようにコマンドを実行します。

PS> (Get-BitLockerVolume -MountPoint C).EncryptionPercentage

回復キーの確認

BitLockerでドライブを暗号化していると、Windowsをアップデートしたときや初期化するときに、暗号化されたドライブのロックを解除するために、48桁の回復キーの入力を求められることがあり、回復キーが分からないと作業を続行できなくなります。

回復キーはドライブを暗号化するときや、Bitlockerドライブ暗号化の管理画面で「Microsoftアカウント」「ファイル」「印刷物」から選択してバックアップできますが、コマンド操作で確認することもできます。

コマンド操作でBitlocker回復キーを確認するときは、以下のコマンドを実行します。

PS> (Get-BitLockerVolume -MountPoint ドライブ文字).KeyProtector

ちなみに、MicrosoftアカウントにBitlocker回復キーをバックアップしている場合は、Webブラウザから「Microsoftアカウント」の「Bitlocker回復キー」ページにアクセスすることで確認できます。

複数の回復キーが表示されている場合は、デバイス名やドライブの種類(OSV:オペレーティングシステムドライブ、FSV:固定ドライブ、RDV:リムーバブルドライブ)、キーのアップロード日から判別するとよいでしょう。また、回復キーの入力が必要な画面にキーIDが表示されている場合は、キーIDを元に探すとよいでしょう。

Windowsの標準機能でファイルやドライブを暗号化する方法。

BitLockerの無効化

BitLockerを無効化したいときは、ドライブを指定して以下のようコマンドを実行します。たとえば、Cドライブの暗号化を解除したいときは、以下のようにコマンドを実行します。

PS> Disable-BitLocker -MountPoint C

デバイスの暗号化

デバイスの暗号化は、Windows 10や11のHomeエディションを含む任意のエディションで利用できるドライブの自動暗号化機能で、暗号化の仕組みはBitLockerと同じです。

デバイスの暗号化は、BitLockerに比べて簡単な操作でドライブ全体を暗号化できますが、利用するには、一定のシステム要件(TPM、UEFIブート、モダンスタンバイなど)を満たす必要があり、利用できるのは、メーカー製のノートパソコンなど、一部のパソコンに限られます。

なお、自分のパソコンでデバイスの暗号化が利用できるかや現在暗号化されているかについては、以下のMicrosoftのページが参考になるでしょう。

デバイスの暗号化 | Microsoft

あとがき

ここでは、ワークグループ環境(家庭向け)のWindows 10や11での設定方法を紹介しましたが、企業などでActiveDirectoryドメイン環境下にあるWindowsでEFSやBitLockerを利用する場合は、グループポリシーで設定・管理するのが一般的です。

なお、EFSやBitLockerといった暗号化機能を利用すればセキュリティを強化できますが、それに伴いパスワードや回復キーを管理する必要があるなど、管理上のわずらわしさがあるので、適材適所で利用するのがおすすめです。