BitLocker

導入

BitLockerを利用するための要件

システムの整合性を検証するには、TPM (Trusted Platform Module) 1.2以降が必要です。これが有効かどうかは、tpm.mscで確認できます。どうすればコンピューターに TPM が取り付けられていることを確認できますか。 - BitLocker の概要と要件に関する FAQ (Windows 10) - Windows security | Microsoft Learn

容量

対象のドライブの容量が小さいと「ドライブは容量が小さいため、BitLocker ドライブ暗号化を使用して保護できません。(The drive is too small to be protected using BitLocker Drive Encryption.)」として、BitLockerを有効にできません。その制限の正確な値は不明ですが、試したところ54.7MB (57,425,920bytes) では可能でしたが、それ未満ではエラーとなりました。Why does BitLocker need a minimum volume size of 64 MB? - Super User

パスワードの長さ

既定では任意の文字で8文字以上とされています。これはグループポリシーの、[リムーバブル データ ドライブのパスワードの使用を構成する]および[固定データ ドライブのパスワードの使用を構成する]で変更できます。BitLocker で使用されるグループ ポリシー設定

BitLocker導入による影響

BitLocker導入によるパフォーマンスの低下は、10%未満とされています。コンピューターで BitLocker を有効にすると、パフォーマンスに顕著な影響がありますか。 - BitLocker に関してよく寄せられる質問 (FAQ) (Windows 10)

BitLockerの有効化 (ボリュームの暗号化)

エクスプローラで対象のドライブを右クリックし、[BitLocker を有効にする]を実行します。この処理は、[BitLockerの管理]から途中でキャンセルできます。Anyone know if its possible to cancel the "encrypting" process - Microsoft Community

BitLockerが対象とできるのはボリューム (パーティション) のみです。フォルダを対象とするならば仮想ハードディスクを作成するか、EFSで暗号化します。

BitLockerの有効化には、ドライブの速度やサイズ、それにプロセッサーの性能などによっては非常に時間がかかることがあります。BitLocker を有効にしたとき、最初の暗号化にはどれくらいの時間がかかりますか。 - BitLocker の展開と管理についてよく寄せられる質問 (Windows 10) - Microsoft 365 Security | Microsoft Learn

ロック解除方法

  • パスワード (password)
  • スマート カード (smart card)

設定したパスワードは、[BitLockerの管理]から変更できます。

パスワードまたはスマート カード紛失時の、回復キー (recovery key) のバックアップ方法
  • Microsoftアカウントに保存
  • ファイルに保存
  • 印刷

暗号化の範囲

  • 使用済みの領域のみ暗号化する (新しい PC およびドライブの場合にはより高速で最適) ※1
  • ドライブ全体を暗号化する (低速、既に使用中の PC およびドライブ向け)

※1 削除したことで未使用となっている領域は、暗号化されません。

暗号化モード (encryption mode)

  • 新しい暗号化モード (このデバイスの固定ドライブに最適) … XTS-AES ※1
  • 互換モード (このデバイスから取り外すことができるドライブに最適) … AES

※1 Windows 10のバージョン1511 (2015/11公開) 以降で使用可能。それより前の環境ではロック解除できず、パスワードが間違っているとして解除に失敗する。 BitLocker の新機能 (Windows) | TechNet

暗号化モードを変更する方法は提供されていないため、その必要があるときはBitLockerを無効にした上で、再度設定します。

設定の確認

どのような設定でBitLockerを適用したかは、

manage-bde -status ドライブ文字:

とすることで後から確認でき、それは下表のような内容です。

項目 内容
サイズ
(Size)
*** GB
BitLocker のバージョン
(BitLocker Version)
  • ***
  • なし
変換状態
(Conversion Status)
  • 完全に暗号化されています
  • 使用領域のみ暗号化
  • 暗号化は完全に解除されています
  • 不明
暗号化された割合
(Percentage Encrypted)
***%
暗号化の方法
(Encryption Method)
  • XTS-AES 128
  • AES 128
  • なし
保護状態
(Protection Status)
  • 保護はオンです
  • 保護はオフです
  • 不明
ロック状態
(Lock Status)
  • ロック
  • ロック解除
識別子フィールド
(Identification Field)
  • ***
  • なし
  • 不明
自動ロック解除
(Automatic Unlock)
  • ***
  • 無効
キーの保護機能
(Key Protectors)
  • 見つかりません
パスワード
(Password)
 
数字パスワード
(Numerical Password)
 

ロックされた状態では、多くの項目が「不明」と表示されます。

ロックの解除 (暗号化データへのアクセスを許可)

エクスプローラーでロックされたドライブへアクセスします。そうするとパスワードを求めるダイアログが表示されるため、それに入力します。

またはコマンドプロンプトから

manage-bde -unlock ドライブ文字: -pw

とするとパスワードの入力を求められるため、そこで入力します。そのとき存在しないドライブを指定すると、「エラー: エラーが発生しました (コード 0x80070057):」「パラメーターが間違っています。」と返されます。

パスワードはコマンドでは指定できません。-RecoveryPassword (-rp) オプションで指定できるのは回復パスワード (Recovery Password) であり、-Password (-pw) オプションで指定するパスワード (Password) とは異なります。これをコマンドで指定するにはPowerShellのUnlock-BitLocker

Unlock-BitLocker
      [-MountPoint] <String[]>
      -Password <SecureString>
      [-WhatIf]
      [-Confirm]
      [<CommonParameters>]
Syntax - Unlock-BitLocker (BitLocker) | Microsoft Learn

を用いて、

PS C:\> $SecureString = ConvertTo-SecureString "fjuksAS1337" -AsPlainText -Force
PS C:\> Unlock-BitLocker -MountPoint "E:" -Password $SecureString

のように指定します。Example 1: Unlock a volume - Unlock-BitLocker (BitLocker) | Microsoft Learn

入力したパスワードの確認

パスワードの入力時、入力欄の右のアイコン (パスワードの表示ボタン) をクリックすることで、入力したパスワードを確認できます。Windows 10以降、これはAlt + F8のショートカットでも可能です。Password reveal mode - PasswordBox Class (Windows.UI.Xaml.Controls) - UWP app developer | Microsoft Learn

ただしこのアイコンは、ローカル グループ ポリシー エディターの【コンピュータの構成 (またはユーザーの構成) → 管理用テンプレート → Windows コンポーネント → 資格情報のユーザー インターフェイス】にある[[パスワードの表示] ボタンを非表示にする]が有効になっていると表示されません。Display password (password reveal button) keyboard shortcut - Ondrej Sevecek's English Pages

明示的なロック (再ロック / 暗号化データへのアクセスを禁止)

通常はOSをシャットダウンするかドライブを取り外すことで、自動的にロックされます。これを明示的にロックするには、管理者権限でコマンドプロンプトを起動し

manage-bde -lock ドライブ文字:

とします。Manage-bde: lock | TechNet

同様の処理はPowerShellでは

PS C:\> Lock-BitLocker -MountPoint ドライブ文字

とします。Example 1: Lock a volume - Lock-BitLocker (BitLocker) | Microsoft Learn

BitLockerの無効化

[BitLockerの管理]の[BitLockerを無効にする]から、BitLockerを無効にし暗号化を解除できます。

BitLocker To Go

BitLocker To Goとは、USBメモリなどのリムーバブル ドライブに、BitLockerを適用する機能です。

BitLocker To Go リーダー (BitLocker To Go Reader)

BitLocker To Go リーダーとは、BitLocker非対応の環境でBitLockerのデータを読み取れるようにするアプリケーションです。BitLocker To Go リーダーとは

自動ロック解除 (Auto-unlock)

パスワード入力時に[その他のオプション]をクリックし、[このPCで自動的にロックを解除する]をチェックすることで、同一PCでのパスワードの入力を省略することができます。

設定した自動ロック解除を取り消すには、エクスプローラーでそのドライブを右クリックし[BitLockerの管理]を選択します。そしてそのドライブの設定にある[自動ロック解除の無効化]をクリックします。

コマンドライン ツール

  • Manage-bde … BitLockerの有効・無効や、ドライブの管理
  • BdeHdCfg … BitLocker暗号化に必要なパーティションの準備
  • Repair-bde … 破損したBitLockerドライブの復旧
BitLocker コマンド ライン ツール | TechNet

Manage-bde

BDE (BitLocker Drive Encryption)

manage-bde -parameter [引数]
Manage-bde.exe Parameter Reference
パラメータ 説明
-status BitLocker対応ボリュームに関する情報を指定
-on ボリュームを暗号化し、BitLocker保護をオン
-off ボリュームの暗号化を解除し、BitLocker保護をオフ
-pause 暗号化、暗号化の解除、または空き領域のワイプを一時停止
-resume 暗号化、暗号化の解除、または空き領域のワイプを再開
-lock BitLocker暗号化データへのアクセスを禁止
-unlock BitLocker暗号化データへのアクセスを許可
-autounlock データ ボリュームの自動ロック解除を管理
-protectors 暗号化キーの保護方法を管理
-SetIdentifier (-si) ボリュームの識別子フィールドを構成
-ForceRecovery (-fr) 再起動時にBitLockerで保護されたOSが回復するようにする
-changepassword データ ボリュームのパスワードを変更
-changepin ボリュームのPINを変更
-changekey ボリュームのスタートアップ キーを変更
-KeyPackage (-kp) ボリュームのキー パッケージを生成
-upgrade BitLockerのバージョンをアップグレード
-WipeFreeSpace (-w) ボリュームの空き領域をワイプ
-ComputerName (-cn) 別のコンピューター上で実行。例: "ComputerX"、"127.0.0.1"
-? (/?) 簡単なヘルプを表示。例: "-ParameterSet -?"
-Help (-h) 完全なヘルプを表示。例: "-ParameterSet -h"
Manage-bde | TechNet

保護の中断

暗号化による保護はそのままに、パスワードなしでもアクセスできるようにします。

manage-bde -protectors -disable C:

Repair-bde

repair-bde InputVolume OutputVolumeorImage [-rk] [–rp] [-pw] [–kp] [–lf] [-f] [{-?|/?}]
Repair-bde.exe Parameter Reference | Microsoft Learn

以下の制約があります。

  • 暗号化、復号の処理中に失敗したドライブは修復できない。
  • ドライブ全体が暗号化されていると想定する。

出力先のドライブには、入力元ドライブ以上の容量が必要です。さもなくば「エラー: 修復を実行ための十分な空き領域が出力ボリュームにありません。」として処理に失敗します。

出力先ドライブの情報は、すべて上書きされます。

C:\>repair-bde d: e: -pw -lf c:\log.txt

このボリュームをロック解除するためのパスワードを入力します:
BitLocker メタデータのスキャンを開始しています。

ブート セクターでメタデータへのポインターをスキャンしています: 100%
BitLocker メタデータのスキャンが完了しました。
暗号化解除を開始しています。
暗号化を解除しています: 100% 完了。
暗号化解除が完了しました。

必要な操作: 暗号化解除されたデータを表示する前に、'chkdsk e: /f' を実行してください。

トラブル対処法

暗号化できない

ドライブ暗号化アルゴリズムは、このセクター サイズでは使用できません。」として暗号化に失敗するときには、暗号化モードを互換モードにしてみます。

暗号化するとき、99.9%で停止する

あせらず待ちます。

パスワード入力欄が表示されない

パスワード入力欄が表示されず、入力状態を確認できないことがあります。

異常 正常

フォーカスが入力欄にあれば、そのままパスワードを入力してロックを解除できますが、入力できているかどうか確認できないのは不便です。この状態は[その他のオプション]をクリックすることで改善できます。それにはウィンドウ中段の[その他のオプション]が表示されていると推測される位置をクリックするか、Tabキーで[ロック解除]にフォーカスを合わせてからTabTabSpaceの順にキーを押下します。

アクセスできない

場所が利用できない

場所が利用できません」「*** にアクセスできません。アクセスが拒否されました。」としてBitLockerで暗号化したドライブにアクセスできないときには、コマンドプロンプトからロックの解除を試みます。

PC またはドライブ自体に問題がある

PC またはドライブ自体に問題があるため、BitLocker はこのドライブにアクセスできません。エラー コード: 0x80070015

この0x80070015はERROR_NOT_READYのエラー コードであり、「デバイスの準備ができていません。(The device is not ready.)」を意味します。

ロックを解除できない

新しい暗号化モードになっているドライブをWindows 10 1511より前の環境で解除しようとすると、パスワードが正しくても[入力されたパスワードは間違っています。]として解除に失敗します。この場合には新しい環境で解除を試みます。

ロック解除後に開けない

BitLocker ドライブ暗号化で保護されたドライブは既にロック解除されています。」としてドライブを開けないときには、コンテキストメニューから[開く]を実行します。これはそのメニューの[ドライブのロックを解除]が、既定の動作から変更されないのが原因です。この状態は、エクスプローラを再起動することで解決できます。

互換性がない

ロックを解除しようとしたとき「このドライブの BitLocker 暗号化は、使用中の Windows バージョンと互換性がありません。新しいバージョンの Windows を使用してドライブを開いてください。」として、アクセスを拒否されることがあります。そのときロックの解除を試みたPCが暗号化したPCと同一ならば、Windowsのバージョンの問題ではなく、ボリュームに問題が発生している可能性があるためイベントを確認します。

  1. ソース Microsoft-Windows-BitLocker-Driver / ID 24615 : メタデータの初期の読み取り: ボリューム n: 上にプライマリ メタデータ レコードが見つかりませんでした。ボリュームを回復する必要があります。
  2. ソース Microsoft-Windows-BitLocker-Driver / ID 24655 : BitLocker ドライバーは、ボリューム n: のメタデータに対する自己復旧操作を開始しました。

アクティブ化を待機中となっている

コントロールパネルで「BitLockerはアクティブ化を待機中です (waiting for activation)」と表示される場合、BitLockerは有効になっているものの保護されたキーが作成されていないため、ドライブは安全な状態ではありません。Checking BitLocker status with the control panel - BitLocker basic deployment (Windows 10) - Microsoft 365 Security | Microsoft Learn

このときディスクの管理では「BitLockerで暗号化済み」、Manage-bdeでは「保護はオフです」「ロック解除」と表示されます。

この状態を解消するには保護されたキーを追加するか、これが意図したものでなければ管理者権限を持つユーザーの【設定 → デバイスの暗号化】にある[オフにする]からこれを無効にします。デバイスの暗号化を有効にする

複数のダウンロードサイトから、まとめて検索