Windows 10や11には、フォルダーやファイルを暗号化する機能として「EFS(Encrypting File System)」、ドライブ(パーティション)全体を暗号化する機能として「BitLocker」や「デバイスの暗号化(一部のパソコン)」が搭載されています。
どの暗号化機能を利用すべきかは、Windowsの利用環境にもよりますが、それぞれの機能の特徴を理解しておけば、適切な選択ができるでしょう。
そこでここではWindows 10を例に、EFSやBitLocker、デバイスの暗号化それぞれ特徴と使い方を紹介します。
目次
EFS(Encrypting File System)
EFSとは
「EFS」は、Windowsに標準搭載されているファイル単位の暗号化機能で、ユーザーが指定したファイルを暗号化して情報を保護したいときに役立つ機能です。
EFSで暗号化されたファイルは、証明書とキーがない限り暗号化したユーザーでしか開くけなくなり、暗号化されたファイルは透過的に復号化されるため、ユーザーは暗号化されていることを意識することなくファイルを操作できます。
EFSの使い方
EFSはファイル単位の暗号化機能ですが、通常は暗号化したいファイルを格納するフォルダーに対して暗号化を設定し、暗号したいファイルをそのフォルダーに格納するという使い方が一般的です。
これにより、一つ一つのファイルを暗号化する手間が省けます。
設定手順は、次のとおりです。
まず、暗号化したいファイルを格納するフォルダーを右クリックし、メニューから「プロパティ」をクリックします。
プロパティ画面が開いたら「全般」タブの属性欄にある「詳細設定」をクリックします。
「属性の詳細」画面が開いたら「圧縮属性または暗号化属性」にある「内容を暗号化してデータをセキュリティで保護する」にチェックを入れて「OK」をクリックします。
「内容を圧縮してディスク領域を節約する」と同時には利用できないので、ご注意ください。
プロパティ画面に戻るので「OK」をクリックします。
以上で、暗号化できました。
暗号化されているフォルダーやファイルは、エクスプローラーで見たときに、名前がみどり色でアイコンには鍵マークが表示されています。
あとは、このフォルダー内にファイルを保存すれば、自動的に暗号化されます。
なお、システム属性のついたファイルや「C:\Windows」配下のファイルには、EFSは利用できません。
EFS利用時の注意点
EFSの利用を開始すると、証明書とキーをバックアップするよう通知が表示されるので、バックアップして保管しておきましょう。
認証書やキーは、OSを再インストールしたときや暗号化されたファイルを別のパソコンで開くときに必要になり、これらを失うとファイルを開けなくなっていしまうので注意が必要です。
Bitlocker
Bitlockerとは
「BitLocker」は、Windows 10や11ではPro、Enterprise、Educationの各エディションで利用できるドライブ(パーティション)単位の暗号化機能で、主にノートパソコンなどのように、外部に持ち出すことがあるパソコンなどで情報を保護したいときに役立つ機能です。
BitLockerでは、TPM(Trusted Platform Module)と呼ばれるパソコンに内蔵されたセキュリティチップや、パスワード、スマートカードなどに保存されたキー情報を使って、暗号化されたドライブのロックを解除して、暗号化されたドライブにアクセスします。
そのため、物理的にハードディスクを取り外して別のパソコンに接続しても、ドライブ内の情報が読み取られるのを防ぐことができます。
また、ドライブへのアクセス時は、OSが復号化を透過的に行っているため、ユーザーはドライブが暗号化されていることを意識することなく利用できます。
Bitlockerの使い方
Bitlockerでドライブを暗号化する手順は、次のとおりです。
まず、管理者ユーザーでWindowsにサインインしてエクスプローラーを起動し、ドライブの一覧から暗号化したいドライブを右クリックして、メニューから「BitLockerを有効にする」を選択します。
ここでは例として、システムドライブ(Cドライブ)を暗号化します。
システムドライブを暗号化するときに「このデバイスではトラステッドプラットフォームモジュールを使用できません・・・」という画面が表示され、先に進めないときは、後述の「TPMを搭載していないパソコンでBitLockerを利用するには」の手順を実施してから、改めて「BitLockerを有効にする」をクリックします。
回復キーのバックアップ方法を指定する画面が表示されるので「Microsoftアカウントに保存する」「ファイルに保存する」「回復キーを印刷する」のいずれかを選択します。
ここでは例として「Microsoftアカウントに保存する」をクリックしてから「次へ」をクリックします。
ドライブを暗号化する範囲の選択画面が表示されるので、新しいドライブを暗号化するときは「使用済みの領域のみを暗号化する」を選択し、既に使用中のドライブを暗号化するときは「ドライブ全体を暗号化する」を選択して「次へ」をクリックします。
使用する暗号化モードの選択画面が表示されるので、通常は「新しい暗号化モード」を選択して「次へ」をクリックします。
外付けハードディスクなどで、暗号化した後に古いWindowsマシンに接続することがあるなら「互換モード」を選択します。
最後に「BitLockerシステムチェックを実行する」にチェックを入れてから「続行」をクリックすると、パソコンが再起動されてドライブの暗号化が開始されます。
大容量のドライブでは暗号化に時間がかかりますが、暗号化中もパソコンは操作できます。(暗号化中は、若干動作が遅くなります。)
ドライブの暗号化中は、タスクトレイにアイコンが表示され、暗号化の進捗を確認できます。
以上で、BitLockerでのドライブ暗号化完了です。
なお、BitLockerで暗号化されたドライブは、ドライブアイコンに鍵マークが付きます。
TPMを搭載していないパソコンでBitLockerを利用するには
BitLockerでシステムドライブ(Cドライブ)を暗号化するときは、原則としてTPMが必要ですが、ローカルグループポリシーでUSBメモリやパスワード入力でロックが解除できるよう設定することで、TPMを搭載していないパソコンでもシステムドライブを暗号化することができます。
手順は、次のとおりです。
「ローカルグループポリシーエディター(gpedit.msc)」を起動して、画面左側で「コンピューターの構成」>「管理用テンプレート」>「Windowsコンポーネント」>「BitLockerドライブ暗号化」>「オペレーティングシステムのドライブ」を展開し、画面右側のポリシー一覧から「スタートアップ時に追加の承認を要求する」をダブルクリックします。
「スタートアップ時に追加の承認を要求する」画面が表示されたら「有効」を選択して「互換性のあるTPMが装備されていないBitLockerを許可する(USBフラッシュドライブでパスワードまたはスタートアップキーが必要)」にチェックが入っていることを確認し「OK」をクリックします。
最後に、設定を適用するためにコマンドプロンプトを起動して「gpupdate」コマンドを実行します。
以上で、TPMを搭載していないパソコンでもシステムドライブを暗号化できるようになります。
Bitlocker回復キーの確認方法
BitLockerでドライブを暗号化していると、Windowsをアップデートしたときや初期化するときに、暗号化されたドライブのロックを解除するために、48桁の回復キーの入力を求められることがあり、回復キーが分からないと作業を続行できなくなります。
回復キーはドライブを暗号化するときや、Bitlockerドライブ暗号化の管理画面で「Microsoftアカウント」「ファイル」「印刷物」から選択してバックアップできますが、コマンド操作で確認することもできます。
コマンド操作でBitlocker回復キーを確認するときは、スタートボタンの右クリックメニューなどから、ターミナルを管理者として起動し、PowerShell画面で以下のコマンドを実行します。
PS> manage-bde.exe -protectors -get ドライブ文字:
たとえば、暗号化されているドライブがEドライブの場合は、以下のようにコマンドを実行します。
PS> manage-bde.exe -protectors -get e:
すると、以下のような情報が表示され、パスワードの下に表示されている48桁の数字が、Bitlockerの 回復キーとなります。
Microsoft アカウントの場合
ちなみに、MicrosoftアカウントにBitlocker回復キーをバックアップしている場合は、Webブラウザから「Microsoftアカウント」の「Bitlocker回復キー」ページにアクセスすることで確認できます。
複数の回復キーが表示されている場合は、デバイス名やドライブの種類(OSV:オペレーティングシステムドライブ、FSV:固定ドライブ、RDV:リムーバブルドライブ)、キーのアップロード日から判別するとよいでしょう。また、回復キーの入力が必要な画面にキーIDが表示されている場合は、キーIDを元に探すとよいでしょう。
デバイスの暗号化
デバイスの暗号化は、Windows 10や11のHomeエディションを含む任意のエディションで利用できるドライブの自動暗号化機能で、暗号化の仕組みはBitLockerと同じです。
デバイスの暗号化は、BitLockerに比べて簡単な操作でドライブ全体を暗号化できますが、利用するには、一定のシステム要件(TPM、UEFIブート、モダンスタンバイなど)を満たす必要があり、利用できるのは、メーカー製のノートパソコンなど、一部のパソコンに限られます。
なお、自分のパソコンでデバイスの暗号化が利用できるかについては、以下のMicrosoftのページが参考になるでしょう。
あとがき
ここでは、ワークグループ環境(家庭向け)のWindows 10や11での設定方法を紹介しましたが、企業などでActiveDirectoryドメイン環境下にあるWindowsでEFSやBitLockerを利用する場合は、グループポリシーで設定・管理するのが一般的です。
なお、EFSやBitLockerといった暗号化機能を利用すればセキュリティを強化できますが、それに伴いパスワードや回復キーを管理する必要があるなど、管理上のわずらわしさがあるので、適材適所で利用するのがおすすめです。