デバイス間でのデータの受け渡し方法には、クラウドを含めいろいろな方法がありますが、持ち運びのしやすさから、USBメモリを利用する場面も多いのではないでしょうか。
ですが、USBメモリは持ち運びのしやすさの反面、紛失しやすく、情報漏えいの危険性が高いことが注意点として挙げられます。
情報漏えいのリスクを減らす方法として、最近の一般向けのUSBメモリには、パスワード設定できるものもありますが、おすすめはUSBメモリ内のデータを暗号化する方法です。
USBメモリを暗号化する利点として、USBメモリの利用中だけでなく紛失時や廃棄時でも情報漏えいリスクを軽減できる点があります。
そこでここではWindows 10を例に、リムーバブルデバイスを暗号化する機能「BitLocker To Go」を使ってUSBメモリを暗号化する方法を紹介します。
目次
BitLocker to Goとは
Windows 10には、搭載しているHDDやSSDを暗号化する機能として「BitLocker」があり、USBメモリなどのリムーバブルデバイスを対象としたのが「BitLocker to Go」です。
Windows 10では、Professionalエディション以上で、BitLocker to Goを利用してリムーバブルデバイスを暗号化することができます。
Homeなどの下位エディションでは、BitLocker to Goでドライブを暗号化することはできませんが、暗号化されたドライブにアクセスすることはできます。
BitLocker To Goで暗号化すると、デバイス内に保存されているデータが暗号化され、データを参照する際にはパスワードを入力するなどの手間が掛かるようになりますが、紛失時のデータ漏えいリスクをかなり減らすことができます。
また、BitLocker to Goでは、信頼できるPCに接続した際に、パスワードを入力せずにデータを参照できるようにする「自動ロック解除機能」があり、一度パスワードを入力すれば、以後はパスワードなしで自動的にロックが解除されるように設定することもできます。
BitLocker To Goの使い方
ここでは、例として4GBのUSBメモリを暗号化する手順を紹介しますが、USB接続されたリムーバブルデバイスであれば、同じ手順で暗号化することができます。
なお、暗号化処理はディスクを初期化するわけではないので、USBメモリ内にデータが保存されている場合でも、暗号化することができます。
まず、暗号化するUSBメモリを接続した状態でエクスプローラを開き、USBメモリを右クリックし、メニューから「BitLockerを有効にする」を選択します。
ロック解除方法を選択する
しばらくすると、ウィザード画面が表示されるので「このドライブのロック解除方法を選択する」で「パスワード」か「スマートカード」のいずれかを選択します。
ここでは、パスワードを選択してパスワードを設定し「次へ」をクリックします。ちなみに、両方選択することも可能です。
回復キーのバックアップ方法を指定する
次の「回復キーのバックアップ方法を指定してください。」では、回復キーを保存する場所を指定し、回復キーを保存してから「次へ」をクリックします。
回復キーは、何らかの理由で暗号化したUSBメモリのロックを解除できなくなった場合に必要となる重要な情報なので、2か所以上の場所に保存しておくことをおススメします。
Microsoftアカウントに保存した場合
Microsoftアカウントに回復キーを保存した場合、保存した回復キーを確認するには、以下のMicrosoftのWebページにある「Microsoft アカウントに保存した場合」に記載されているリンクから、保存した回復キーを確認するためのWebページにアクセスして確認します。
ドライブを暗号化する範囲の選択
次の「ドライブを暗号化する範囲の選択」では、暗号化する領域を「使用済みの領域のみ暗号化する」もしくは「ドライブ全体を暗号化する」から選択し「次へ」をクリックします。
新しいUSBメモリで、削除したデータがほとんどない場合は「使用済みの領域のみ」で問題ありませんが、ある程度の利用期間を経たUSBメモリの場合は、復元可能な残骸データが残っている可能性があるので「ドライブ全体」を暗号化したほうが安全です。なお「ドライブ全体」を選択した場合、最初の暗号化処理に時間がかかります。
4GBのUSBメモリの全体を暗号化した場合、約13分かかりました。
暗号化モードを選択する
次の「使用する暗号化モードを選ぶ」では、暗号化のアルゴリズムを選択し「次へ」をクリックします。
HDDやSSDなどのローカルドライブでは「新しい暗号化モード(XTS AES)」を選択するのが最適のようですが、USBメモリの場合は、Windows 8などの古いOSに接続して利用する可能性を考慮して「互換モード」を選択するのが良さそうです。
暗号化の開始
次の「このドライブを暗号化する準備ができましたが?」で「暗号化の開始」をクリックすると暗号化処理が開始されます。
なお、暗号化処理が完了したUSBメモリは、ロックが解除された状態になっているので、いつもどおり読み書きできます。
暗号化されたUSBメモリをほかのPCで利用するには
BitLocker To Goで暗号化されたUSBメモリを、ほかのPCに接続した場合、エクスプローラでは、ドライブに施錠されたアイコン(「ロック」された状態のアイコン)が表示されており、そのままではアクセスすることはできません。
このドライブにアクセスするには、ドライブをダブルクリックして、表示されるパスワードの入力画面で、設定したパスワードを入力して「ロック解除」をクリックします。
回復キーを入力してロックを解除する必要がある場合や、自動ロック解除を有効化する場合は「その他オプション」をクリックします。
ロックが解除されると、ドライブに開錠されたアイコンが表示され、ドライブにアクセスできるようになります。
暗号化のロックが解除されると、ユーザーがサインアウトしても、ドライブを取り外すまでロックが解除されたままのため、別のユーザーがサインインするとそのドライブにアクセスできてしまうので、複数の人が利用するPCでは注意が必要です。
BitLocker To Goの管理
BitLocker To Goで暗号化されたUSBメモリの解除パスワードを変更したり、回復キーをバックアップしたりなど、設定を変更する場合は、エクスプローラで対象ドライブを右クリックして表示されるメニューから「BitLockerの管理」を選択します。
「BitLockerドライブ暗号化」画面が開き、下記に挙げるような設定を行うことができます。
- パスワードの変更・解除
- 回復キーのバックアップ
- 自動ロック解除の有効化/無効化
- 暗号化の解除
なお、ロックが解除された状態なら、USBメモリを暗号化したマシンでなくても、ここで挙げる設定を行うことができます。
パスワードの変更・解除
ロック解除用のパスワードを変更したり、スマートカードなどによる認証方法の追加、パスワード以外の認証手段が利用できる場合のパスワード認証の解除が可能です。
回復キーのバックアップ
暗号化するときと同じように、以下の3種類の方法で回復キーをバックアップすることができます。
- Microsoftアカウントに保存する
- ファイルに保存する
- 回復キーを印刷する
自動ロック解除の有効化/無効化
「自動ロック解除」は、PCに暗号化されたUSBメモリを接続したときに自動的にロックを解除して利用できるようにする機能で、初回のみパスワード入力してロックを解除すれば、以後同じPCを使う限り、パスワードを入力が不要になります。
自動ロック解除を有効にするには、パスワード入力の画面で「その他のオプション」をクリックしてチェックボックス「このPCで自動的にロックを解除する」をオンにするか、「BitLockerドライブ暗号化」画面で「自動ロック解除の有効化」をクリックします。
なお、自動ロック解除は、各PCのユーザー単位で設定する機能なので、別のPCや、別のユーザーで自動ロック解除を利用するには、上と同じ操作が都度必要になります。
暗号化の解除
USBメモリの暗号化を解除するときは「BitLockerを無効にする」をクリックします。
すると、次のようなポップアップが表示されるので「BitLockerを無効にする」をクリックすると、無効化処理が開始されます。
次のように「暗号化解除が完了しました。」と表示されれば、暗号化は正常に解除されたので「閉じる」ボタンをクリックします。
あとがき
USBメモリなどのリムーバルデバイスを暗号化する方法は、利用中だけでなく廃棄する際にも有効な方法で、暗号化した上で廃棄すれば、第三者にデータを参照される可能性は、ドライブをフォーマットして廃棄するより断然低いといわれています。
廃棄や紛失時のことまで考えたら、USBメモリなどのリムーバブルデバイスは暗号化して利用するのがベターではないでしょうか。