【連載】すぐわかるWindows7　第13回　BitLocker<１>

本ブログでは、新OS「Windows7」の基本操作＆快適設定を、連載でご紹介していきます。

　第13回の今回は、前回に続いて、Windows Vistaで格段に向上し、Windows7ではより見やすく強力になった「セキュリティ機能」のなかからHDD全体を暗号化する「BitLocker」について解説します。

※なお、この連載で掲載している画面はクリックすると拡大されます。

●「BitLocker」でデータドライブを暗号化する
　BitLockerで起動ドライブ（Cドライブ）を暗号化するときはTPMチップが必要ですが、Dドライブなどの起動ドライブ以外はTPMチップなしでも暗号化できます。［スタート］ボタン→［コンピューター］を選択して開き、暗号化したいドライブを右クリックして［BitLockerを有効にする］を選びます。設定画面が開いたら、❶［パスワードを使用してドライブのロックを解除する］にチェックを入れ、２カ所に❷パスワード（８文字以上）を入力します。

ドライブにアクセスするためのパスワードを指定する。

　次の画面で「回復キー」（パスワードを忘れた場合にデータを復元するために使用する）を保存、もしくは印刷すると暗号化の処理が始まります。再度「コンピューター」フォルダーを開くと、❸暗号化されたドライブにはカギのマークが付いています。

アイコンにカギのマークが付いているドライブが暗号化されている。

　ダブルクリックするとパスワードの入力画面が現れ、❹に❷で設定したパスワードを入力しないとドライブが開きません。

暗号化したドライブを開くには、❷で設定したパスワードを入力する。ドライブが開いたら通常通り読み書きできる。

なお、BitLockerは「Ultimate」および「Enterprise」エディションで利用可能です。

●BitLockerで起動ドライブを暗号化する
　Windows7にログオンパスワードを設定して、内部のデータを守っていても、ハードディスク（以下、HDD）を取り出して別のパソコンに接続すればデータは読めてしまいます。そのようなリスクからデータを守るには、HDD全体を暗号化する「BitLocker」機能を利用しましょう。なお、この機能は「Ultimate」と「Enterprise」のみに搭載されているものです。また「TPM」というセキュリティチップを搭載したパソコンが必要になります。
　起動ドライブ（Cドライブ）を保護したいときは、［スタート］ボタン→［コンピューター］をクリックして開き、Cドライブのアイコンを右クリックして❶［BitLockerを有効にする］を選択します。

BitLockerで保護するドライブ（ここでは［ローカルディスク（:C）］）のアイコンを右クリックして❶を選択。

　BitLocker設定用のウィザード画面が開くので、［次へ］ボタンをクリックして画面の指示にしたがって設定を進めていきます。

Cドライブのアイコンを右クリックして［BitLockerを有効にする］を選ぶと、BitLockerの設定を行うウィザードが現れる。

　途中で「TPMセキュリティハードウェアを有効にします」と表示されたら、Windowsをいったん終了してからTPMを有効にするとともに、パソコン自体にTPMのパスワードを設定します。

ウィザードの途中でTPMを有効にするためにパソコンを再起動する。TPMを有効にする方法、パスワードを設定する方法はパソコンの機種ごとに異なる。

　Windowsを再起動したら、BitLockerのウィザード画面を再び開いて暗号化を続行します。その途中で❷「回復キー」の保存方法を指定する画面が現れるが、これはTPMのチップが故障したりしたときに暗号化したドライブを復元するときに利用するものです。万が一のトラブルに備えてUSBメモリなどにコピーしておくか、プリンターで印刷しておきましょう。

TPMを有効にしたあと、BitLockerのウィザード画面を再度開く。トラブル発生時に利用する「回復キー」を保存するか印刷してから、暗号化を行う。

　その後、暗号化の処理が始まります（Cドライブのサイズが大きいと数時間かかることもあります）。暗号化が完了したら「コンピューター」フォルダーを開いてみましょう。Cドライブのアイコンに❸カギのマークが付いています。

暗号化が完了したドライブにはカギのマークが付く。このパソコンから起動したときは通常通り使えるが、他のパソコンにつなぎ替えても動作しない。

　このHDDを他のパソコンにつないでも起動できず、データを読み出すこともできません。

●TPMを内蔵していないパソコンで起動ドライブを暗号化する
　BitLockerを利用するには、原則としてTPMチップが必要ですが、セキュリティ設定を変更するとUSBメモリをTPMチップ代わりに利用することができます。
　スタートメニューの検索ボックスに「gpedit.msc」と入力して［Enter］キーを押し、「ローカルグループポリシーエディター」を開きます。

「ローカルグループポリシーエディター」を起動。［スタートアップ時に追加の認証を要求する］をダブルクリックして設定画面を開く。

　左のメニューで［コンピューターの構成］→［管理用テンプレート］→［Windowsコンポーネント］→［BitLockerドライブ暗号化］→❶［オペレーティングシステムのドライブ］の順にたどっていき、❷［スタートアップ時に追加の認証を要求する］をダブルクリック。設定画面が開いたら、❸［有効］を選択して、❹［互換性のあるTPMが装備されていないBitLockerを許可する］にチェックを入れます。

TPMチップの代わりにUSBメモリをカギとしてBitLockerを利用できるようになる。

　設定変更を有効にするためにWindowsを再起動したら、USBメモリを挿入します。
［スタート］ボタン→［コンピューター］を選択して開き、USBメモリのアイコンを右クリックして❺［BitLockerを有効にする］をクリック。