Windows Vista BitLockerでハードドライブを保護 - TechRepublic

導入

ジョージ・オウ著

Windows VistaのEnterpriseエディションとUltimateエディションには、ハードディスクドライブのボリュームレベルで暗号化を行う新しいデータ保護機能、BitLockerが搭載されています。BitLockerはWindows EFS（暗号化ファイルシステム）を補完し、場合によってはWindows EFSに代わる機能も備えています。

このギャラリーでは、ブート パーティション (通常は C: というラベルの付いたドライブ) でのみ動作する BitLocker を有効にする手順について説明します。

このギャラリーは、記事および PDF ダウンロードとしてもご利用いただけます。

最小要件

始める前に、BitLocker暗号化の最小要件を満たす必要があります。BitLockerを実行するための2つの基本的なオプションを以下に示します。

1.5GBのアクティブシステムパーティションには、Vistaオペレーティングシステムの暗号化されていない必要最低限​​のブートストラップファイルが格納されています。50GBのブートパーティションにはWindowsがインストールされ、ページファイルと一時ファイルも配置されます。EFSではこれらのファイルを保護できませんが、BitLockerなら保護できます。

BitLocker ドライブ準備ツール

これを設定する最良の方法は、Vistaを初めてインストールする際に、50GBのパーティションに加えて1.5GBのパーティションを作成することです。既にVistaをインストール済みで、今さら後悔している方もご安心ください。BitLockerドライブ準備ツールというシンプルなユーティリティを使えば、パーティションを自動的に再作成できます。既に1.5GBのパーティションを作成済みの場合は、Windowsパーティションから必要なファイルを1.5GBパーティションに転送するために、この準備ツールが必要になります。

BitLocker ドライブ準備ツールを入手するには、Windows Update にアクセスし、「Vista Ultimate Extras」の項目を確認してください。そこで「BitLocker ドライブ準備ツール」にチェックを入れ、ダウンロードしてインストールしてください。

ツールを起動するには、「スタート」ボタンを押して「bitl」と入力します。すると、ここに示すように、最初のプログラムとしてツールがポップアップ表示されます。

GPエディターをローカルで起動する

次に、グループポリシーエディターを起動します。個々の自宅PCやActive Directoryに参加していないPCの場合、これはローカルのグループポリシーエディターです。Active Directory管理者は、これをADレベルで設定し、組織単位またはグローバルレベルのAD全体に適用できます。

GP エディターをローカルで起動するには、ここに示すように、[スタート] をクリックして「gpedit.msc」と入力します。

コントロールパネルの設定: 詳細なスタートアップオプションを有効にする

次に、ここに示すように、GP エディターを BitLocker ドライブ暗号化フォルダーまで展開し、[コントロール パネル セットアップ: 詳細なスタートアップ オプションを有効にする] をダブルクリックする必要があります。

互換性のある TPM なしで BitLocker を許可する

このコントロールを有効に設定し、ここに示すように、互換性のある TPM なしで BitLocker を許可するを選択します。

暗号化方式のプロパティを構成する

「互換性のあるTPMなしでBitLockerを許可する」を有効にしたら、「適用」と「OK」をクリックします。次に、「暗号化方法の構成」をクリックすると、ここに示すウィンドウが表示されます。

GPアップデートの強制

必要な変更を加えたら、「適用」と「OK」をクリックしてGPエディターを閉じます。ここで示すように、gpupdate /forceコマンドでマシンのグループポリシーを強制的に更新すれば、再起動を回避できます。

BitLockerドライブ暗号化ツール

これで、BitLockerドライブ暗号化ツールを起動する準備が整いました。キーボードまたはデスクトップのスタートボタンを押し、「bitl」と入力して、矢印キーを2回押して「BitLockerドライブ暗号化」を選択してください。すると、ここに示す画面が表示されます。

起動設定

「BitLocker をオンにする」をクリックすると、ここに示す画面が表示されます。

続行する前に、任意のサイズのUSBデータキーを挿入してください。これは、この時点でPCの「イグニッションキー」として機能します。BitLockerを有効にすると、このキー（またはこのキーに隠された情報のレプリカを持つ他のキー）がないとPCを起動できなくなります。バッグが盗難に遭った場合に備えて、このUSBキーはノートパソコンと一緒にバッグに入れず、キーホルダーなどに付けておくことをお勧めします。

回復パスワード

次のステップでは、ここに示すオプションを使用して、緊急時の回復のためにパスワードをバックアップします。

バックアップは同じUSBドライブに保存し、後で別の場所にコピーすることができます。パスワードをフォルダに保存する場合は、BitLockerが暗号化するブートボリューム以外のボリューム上のフォルダを使用する必要があります。また、ボリュームのルートには保存できず、フォルダ内に保存する必要があります。企業はActive Directoryを介してBitLockerパスワードをバックアップできます。パスワードはBitLockerキーそのものではなく、キーを導出できるものであることに注意してください。

ボリュームの暗号化

バックアップが完了したら、以下のオプションを使ってドライブを暗号化できます。「続行」をクリックするだけで、BitLocker がシステムをチェックし、ブートドライブの暗号化を開始します。ドライブのサイズとシステムの速度によっては、1～2時間かかる場合があります。その後、BitLocker が再起動し、USB キーが挿入されていない場合は挿入を求められます。再起動すれば完了です。BitLocker が起動します。