Windowsの標準機能でファイルやドライブを暗号化する方法

Windows 10や11には、フォルダーやファイルを暗号化する機能として「EFS（Encrypting File System）」、ドライブ（パーティション）全体を暗号化する機能として「BitLocker」や「デバイスの暗号化（一部のパソコン）」が搭載されています。

どの暗号化機能を利用すべきかは、Windowsの利用環境にもよりますが、それぞれの機能の特徴を理解しておけば、適切な選択ができるでしょう。

そこでここではWindows 10を例に、EFSやBitLocker、デバイスの暗号化それぞれ特徴と使い方を紹介します。

EFS（Encrypting File System）

EFSとは

「EFS」は、Windowsに標準搭載されているファイル単位の暗号化機能で、ユーザーが指定したファイルを暗号化して情報を保護したいときに役立つ機能です。

EFSで暗号化されたファイルは、証明書とキーがない限り暗号化したユーザーでしか開くけなくなり、暗号化されたファイルは透過的に復号化されるため、ユーザーは暗号化されていることを意識することなくファイルを操作できます。

EFSの使い方

EFSはファイル単位の暗号化機能ですが、通常は暗号化したいファイルを格納するフォルダーに対して暗号化を設定し、暗号したいファイルをそのフォルダーに格納するという使い方が一般的です。

これにより、一つ一つのファイルを暗号化する手間が省けます。

設定手順は、次のとおりです。

まず、暗号化したいファイルを格納するフォルダーを右クリックし、メニューから「プロパティ」をクリックします。

プロパティ画面が開いたら「全般」タブの属性欄にある「詳細設定」をクリックします。

「属性の詳細」画面が開いたら「圧縮属性または暗号化属性」にある「内容を暗号化してデータをセキュリティで保護する」にチェックを入れて「OK」をクリックします。

プロパティ画面に戻るので「OK」をクリックします。

以上で、暗号化できました。

暗号化されているフォルダーやファイルは、エクスプローラーで見たときに、名前がみどり色でアイコンには鍵マークが表示されています。

あとは、このフォルダー内にファイルを保存すれば、自動的に暗号化されます。

なお、システム属性のついたファイルや「C:\Windows」配下のファイルには、EFSは利用できません。

EFS利用時の注意点

EFSの利用を開始すると、証明書とキーをバックアップするよう通知が表示されるので、バックアップして保管しておきましょう。

認証書やキーは、OSを再インストールしたときや暗号化されたファイルを別のパソコンで開くときに必要になり、これらを失うとファイルを開けなくなっていしまうので注意が必要です。

Bitlocker

Bitlockerとは

「BitLocker」は、Windows 10ではPro、Enterprise、Educationの各エディションで利用できるドライブ（パーティション）単位の暗号化機能で、主にノートパソコンなどのように、外部に持ち出すことがあるパソコンなどで情報を保護したいときに役立つ機能です。

BitLockerでは、TPM（Trusted Platform Module）と呼ばれるパソコンに内蔵されたセキュリティチップや、パスワード、スマートカードなどに保存されたキー情報を使って、暗号化されたドライブのロックを解除して、暗号化されたドライブにアクセスします。

そのため、物理的にハードディスクを取り外して別のパソコンに接続しても、ドライブ内の情報が読み取られるのを防ぐことができます。

また、ドライブへのアクセス時は、OSが復号化を透過的に行っているため、ユーザーはドライブが暗号化されていることを意識することなく利用できます。

Bitlockerの使い方

Bitlockerでドライブを暗号化する手順は、次のとおりです。

まず、管理者ユーザーでWindows 10にサインインしてから「コントロールパネル」起動し「システムとセキュリティ」＞「BitLocker ドライブ暗号化」を順にクリックします。

「BitLockerドライブ暗号化」画面が開くので、暗号化したいドライブの横にある「BitLockerを有効にする」をクリックします。

ここでは例として、システムドライブ（Cドライブ）を暗号化します。

回復キーのバックアップ方法を指定する画面が表示されるので「Microsoftアカウントに保存する」「ファイルに保存する」「回復キーを印刷する」のいずれかを選択します。

ここでは例として「Microsoftアカウントに保存する」をクリックしてから「次へ」をクリックします。

ドライブを暗号化する範囲の選択画面が表示されるので、新しいドライブを暗号化するときは「使用済みの領域のみを暗号化する」を選択し、既に使用中のドライブを暗号化するときは「ドライブ全体を暗号化する」を選択して「次へ」をクリックします。

使用する暗号化モードの選択画面が表示されるので、通常は「新しい暗号化モード」を選択して「次へ」をクリックします。

暗号化した外付けハードディスクを、バージョン1511より古いWindows 10に接続することがあるなら「互換モード」を選択します。

最後に「BitLockerシステムチェックを実行する」にチェックを入れてから「続行」をクリックすると、パソコンが再起動されてドライブの暗号化が開始されます。

ドライブの暗号化には時間がかかりますが、暗号化中もパソコンを操作できます。（暗号化中は、若干動作が遅くなります。）

ドライブの暗号化中は、タスクトレイにアイコンが表示され、暗号化の進捗を確認できます。

以上で、BitLockerでのドライブ暗号化完了です。

なお、BitLockerで暗号化されたドライブは、ドライブアイコンに鍵マークが付きます。

TPMを搭載していないパソコンでBitLockerを利用するには

BitLockerでシステムドライブ（Cドライブ）を暗号化するときは、原則としてTPMが必要ですが、ローカルグループポリシーでUSBメモリやパスワード入力でロックが解除できるよう設定することで、TPMを搭載していないパソコンでもシステムドライブを暗号化することができます。

手順は、次のとおりです。

「ローカルグループポリシーエディター（gpedit.msc）」を起動して、画面左側で「コンピューターの構成」＞「管理用テンプレート」＞「Windowsコンポーネント」＞「BitLockerドライブ暗号化」＞「オペレーティングシステムのドライブ」を展開し、画面右側のポリシー一覧から「スタートアップ時に追加の承認を要求する」をダブルクリックします。

「スタートアップ時に追加の承認を要求する」画面が表示されたら「有効」を選択して「互換性のあるTPMが装備されていないBitLockerを許可する（USBフラッシュドライブでパスワードまたはスタートアップキーが必要）」にチェックが入っていることを確認し「OK」をクリックします。

最後に、設定を適用するためにコマンドプロンプトを起動して「gpupdate」コマンドを実行します。

以上で、TPMがないパソコンでもシステムドライブを暗号化できるようになります。

BitLocker利用時の注意点

BitLockerを利用していると、Windows 10をアップデートしたときや初期化するときに、暗号化されたドライブのロックを解除するために、48桁の回復キーの入力を求められることがあり、回復キーが分からないと手順を続行できなくなります。

回復キーはBitLockerを有効化するときや、コントロールパネルの「BitLockerドライブ暗号化」からいつでも保存できるので、忘れないよう保存しておきましょう。

保存方法としては「Microsoftアカウント」「ファイル」「印刷物」のいずれかを指定でき、Microsoftアカウントに保存した場合は、Microsoftアカウントのページで「デバイス」から対象のパソコンを選択し「BitLockerデータ保護」にある「回復キーの管理」で確認できます。

デバイスの暗号化

デバイスの暗号化は、Windows 10のHomeエディションを含む任意のエディションで利用できるドライブの自動暗号化機能で、暗号化の仕組みはBitLockerと同じです。

デバイスの暗号化は、BitLockerに比べて簡単な操作でドライブ全体を暗号化できますが、利用するには、一定のシステム要件（TPM、UEFIブート、モダンスタンバイなど）を満たす必要があり、利用できるのは、メーカー製のノートパソコンなど、一部のパソコンに限られます。

なお、自分のパソコンでデバイスの暗号化が利用できるかについては、以下のMicrosoftのページが参考になるでしょう。

デバイスの暗号化 | Microsoft

あとがき

ここでは、ワークグループ環境（家庭向け）のWindows 10での設定方法を紹介しましたが、企業などでActiveDirectoryドメイン環境下にあるWindows 10で、EFSやBitLockerを利用する場合は、グループポリシーで設定・管理するのが一般的です。

なお、EFSやBitLockerといった暗号化機能を利用すればセキュリティを強化できますが、それに伴いパスワードや回復キーを管理する必要があるなど、管理上のわずらわしさがあるので、適材適所で利用するのがおすすめです。