Windows 10でUSBメモリ内のデータを守るなら「BitLocker To Go」

Windows 10でUSBメモリ内のデータを守るなら「BitLocker To Go」

デバイス間でのデータの受け渡し方法には、クラウドを含めいろいろな方法がありますが、持ち運びのしやすさから、USBメモリを利用する場面も多いのではないでしょうか。

ですが、USBメモリは持ち運びのしやすさの反面、紛失しやすく、データ漏えいの危険性が高いことが注意点として挙げられます。

データ漏えいのリスクを減らす方法として、最近の一般向けのUSBメモリには、パスワード設定できるものもありますが、おススメしたいのがUSBメモリ内のデータを暗号化する方法です。

USBメモリを暗号化する利点として、USBメモリの使用中だけでなく使用後(廃棄時)のデータ漏えいリスクも軽減できる点があります。

そこでここでは、Windows 10のリムーバブルデバイスを暗号化する機能「BitLocker To Go」を利用して、USBメモリを暗号化して利用する方法を紹介します。

動作環境

この記事は、以下の環境で実行した結果を基にしています。他のエディションやバージョンでは、動作結果が異なる場合があることをご了承ください。

ソフトウェアバージョン
Windows 10 Pro 64bit1809

BitLocker to Goとは

Windows 10には、搭載しているHDDやSSDを暗号化する機能として「BitLocker」があり、USBメモリなどのリムーバブルデバイスを対象としたのが「BitLocker to Go」です。

Windows 10では、Professionalエディション以上で、BitLocker to Goを利用してリムーバブルデバイスを暗号化することができます。

Memo

Homeなどの下位エディションでは、BitLocker to Goでドライブを暗号化することはできませんが、暗号化されたドライブにアクセスすることはできます。

BitLocker To Goで暗号化すると、デバイス内に保存されているデータが暗号化され、データを参照する際にはパスワードを入力するなどの手間が掛かるようになりますが、紛失時のデータ漏えいリスクをかなり減らすことができます。

また、BitLocker to Goでは、信頼できるPCに接続した際に、パスワードを入力せずにデータを参照できるようにする「自動ロック解除機能」があり、一度パスワードを入力すれば、以後はパスワードなしで自動的にロックが解除されるように設定することもできます。

BitLocker To Goの使い方

ここでは、例として4GBのUSBメモリを暗号化する手順を紹介しますが、USB接続されたリムーバブルデバイスであれば、同じ手順で暗号化することができます。

Memo

なお、暗号化処理はディスクを初期化するわけではないので、USBメモリ内にデータが保存されている場合でも、暗号化することができます。

まず、暗号化するUSBメモリを接続した状態でエクスプローラを開き、USBメモリを右クリックし、メニューから「BitLockerを有効にする」を選択します。

Windows 10でUSBメモリ内のデータを守るなら「BitLocker To Go」

ロック解除方法を選択する

しばらくすると、ウィザード画面が表示されるので「このドライブのロック解除方法を選択する」で「パスワード」か「スマートカード」のいずれかを選択します。

ここでは、パスワードを選択してパスワードを設定し「次へ」をクリックします。ちなみに、両方選択することも可能です。

Windows 10でUSBメモリ内のデータを守るなら「BitLocker To Go」

回復キーのバックアップ方法を指定する

次の「回復キーのバックアップ方法を指定してください。」では、回復キーを保存する場所を指定し、回復キーを保存してから「次へ」をクリックします。

Windows 10でUSBメモリ内のデータを守るなら「BitLocker To Go」

回復キーは、何らかの理由で暗号化したUSBメモリのロックを解除できなくなった場合に必要となる重要な情報なので、2か所以上の場所に保存しておくことをおススメします。

Microsoftアカウントに保存した場合

Microsoftアカウントに回復キーを保存した場合、保存した回復キーを確認するには、以下のMicrosoftのWebページにある「Microsoft アカウントに保存した場合」に記載されているリンクから、保存した回復キーを確認するためのWebページにアクセスして確認します。

BitLocker 回復キーを探す | Microsoft

Windows 10でUSBメモリ内のデータを守るなら「BitLocker To Go」

回復キーを確認するページを表示したところ

ドライブを暗号化する範囲の選択

次の「ドライブを暗号化する範囲の選択」では、暗号化する領域を「使用済みの領域のみ暗号化する」もしくは「ドライブ全体を暗号化する」から選択し「次へ」をクリックします。

Windows 10でUSBメモリ内のデータを守るなら「BitLocker To Go」

新しいUSBメモリで、削除したデータがほとんどない場合は「使用済みの領域のみ」で問題ありませんが、ある程度の利用期間を経たUSBメモリの場合は、復元可能な残骸データが残っている可能性があるので「ドライブ全体」を暗号化したほうが安全です。なお「ドライブ全体」を選択した場合、最初の暗号化処理に時間がかかります。

4GBのUSBメモリの全体を暗号化した場合、約13分かかりました。

暗号化モードを選択する

次の「使用する暗号化モードを選ぶ」では、暗号化のアルゴリズムを選択し「次へ」をクリックします。

HDDやSSDなどのローカルドライブでは「新しい暗号化モード(XTS AES)」を選択するのが最適のようですが、USBメモリの場合は、Windows 8などの古いOSに接続して利用する可能性を考慮して「互換モード」を選択するのが良さそうです。

Windows 10でUSBメモリ内のデータを守るなら「BitLocker To Go」

暗号化の開始

次の「このドライブを暗号化する準備ができましたが?」で「暗号化の開始」をクリックすると暗号化処理が開始されます。

Windows 10でUSBメモリ内のデータを守るなら「BitLocker To Go」

Windows 10でUSBメモリ内のデータを守るなら「BitLocker To Go」

暗号化処理中の画面

Windows 10でUSBメモリ内のデータを守るなら「BitLocker To Go」

暗号化完了時の画面

なお、暗号化処理が完了したUSBメモリは、ロックが解除された状態になっているので、いつもどおり読み書きできます。

暗号化されたUSBメモリをほかのPCで利用するには

BitLocker To Goで暗号化されたUSBメモリを、ほかのPCに接続した場合、エクスプローラでは、ドライブに施錠されたアイコン(「ロック」された状態のアイコン)が表示されており、そのままではアクセスすることはできません。

Windows 10でUSBメモリ内のデータを守るなら「BitLocker To Go」

このドライブにアクセスするには、ドライブをダブルクリックして、表示されるパスワードの入力画面で、設定したパスワードを入力して「ロック解除」をクリックします。

Windows 10でUSBメモリ内のデータを守るなら「BitLocker To Go」

回復キーを入力してロックを解除する必要がある場合や、自動ロック解除を有効化する場合は「その他オプション」をクリックします。

ロックが解除されると、ドライブに開錠されたアイコンが表示され、ドライブにアクセスできるようになります。

Windows 10でUSBメモリ内のデータを守るなら「BitLocker To Go」

Memo

暗号化のロックが解除されると、ユーザーがサインアウトしても、ドライブを取り外すまでロックが解除されたままのため、別のユーザーがサインインするとそのドライブにアクセスできてしまうので、複数の人が利用するPCでは注意が必要です。

BitLocker To Goの管理

BitLocker To Goで暗号化されたUSBメモリの解除パスワードを変更したり、回復キーをバックアップしたりなど、設定を変更する場合は、エクスプローラで対象ドライブを右クリックして表示されるメニューから「BitLockerの管理」を選択します。

Windows 10でUSBメモリ内のデータを守るなら「BitLocker To Go」

「BitLockerドライブ暗号化」画面が開き、下記に挙げるような設定を行うことができます。

  • パスワードの変更・解除
  • 回復キーのバックアップ
  • 自動ロック解除の有効化/無効化
  • 暗号化の解除

なお、ロックが解除された状態なら、USBメモリを暗号化したマシンでなくても、ここで挙げる設定を行うことができます。

パスワードの変更・解除

ロック解除用のパスワードを変更したり、スマートカードなどによる認証方法の追加、パスワード以外の認証手段が利用できる場合のパスワード認証の解除が可能です。

Windows 10でUSBメモリ内のデータを守るなら「BitLocker To Go」

回復キーのバックアップ

暗号化するときと同じように、以下の3種類の方法で回復キーをバックアップすることができます。

  • Microsoftアカウントに保存する
  • ファイルに保存する
  • 回復キーを印刷する

Windows 10でUSBメモリ内のデータを守るなら「BitLocker To Go」

自動ロック解除の有効化/無効化

「自動ロック解除」は、PCに暗号化されたUSBメモリを接続したときに自動的にロックを解除して利用できるようにする機能で、初回のみパスワード入力してロックを解除すれば、以後同じPCを使う限り、パスワードを入力が不要になります。

自動ロック解除を有効にするには、パスワード入力の画面で「その他のオプション」をクリックしてチェックボックス「このPCで自動的にロックを解除する」をオンにするか、「BitLockerドライブ暗号化」画面で「自動ロック解除の有効化」をクリックします。

Windows 10でUSBメモリ内のデータを守るなら「BitLocker To Go」

パスワード入力画面から有効化する場合

Windows 10でUSBメモリ内のデータを守るなら「BitLocker To Go」

「BitLockerドライブ暗号化」画面から有効化する場合

なお、自動ロック解除は、各PCのユーザー単位で設定する機能なので、別のPCや、別のユーザーで自動ロック解除を利用するには、上と同じ操作が都度必要になります。

暗号化の解除

USBメモリの暗号化を解除するときは「BitLockerを無効にする」をクリックします。

Windows 10でUSBメモリ内のデータを守るなら「BitLocker To Go」

すると、次のようなポップアップが表示されるので「BitLockerを無効にする」をクリックすると、無効化処理が開始されます。

Windows 10でUSBメモリ内のデータを守るなら「BitLocker To Go」

Windows 10でUSBメモリ内のデータを守るなら「BitLocker To Go」

暗号化の解除処理を実行している画面

次のように「暗号化解除が完了しました。」と表示されれば、暗号化は正常に解除されたので「閉じる」ボタンをクリックします。

Windows 10でUSBメモリ内のデータを守るなら「BitLocker To Go」

あとがき

USBメモリなどのリムーバルデバイスを暗号化する方法は、利用中だけでなく廃棄する際にも有効な方法で、暗号化した上で廃棄すれば、第三者にデータを参照される可能性は、ドライブをフォーマットして廃棄するより断然低いといわれています。

廃棄や紛失時のことまで考えたら、USBメモリなどのリムーバブルデバイスは暗号化して利用するのがベターではないでしょうか。