サピエ図書館に毎月登録されている日経パソコンの2019年3月号のQ and Aコーナーで、USBを暗号化する方法が紹介されていた。
BitLockerという言葉は耳に止めてはいたが、Windows上に限定されるものの、比較的簡単にリムーバブルディスクを暗号化できそうだったので試してみることにした。
時々、学校の先生が、生徒の成績や連絡先の入っているメモリーを紛失したなどというニュースを聞く。他人事だと笑っているわけにもいかない。紛失することはやむを得ないとして、暗号化さえしておけば、被害を最小限にすることは可能だ。
Windows 10、スクリーンリーダーがPC-TAlker 10 Version 1.28で検証してみたが、問題なく動作したので、必要があれば試していただければと思う。
なお、今回はリムーバブルディスクを暗号化する。この機能の正式名称はBitLocker To Goだが、ここではBitLockerに統一して説明している。
これからUSBメモリー(リムーバブルディスク)をBitLockerで暗号化していく。ダイアログボックスでは各項目を設定、確認して次へと進んでいく、先に進めない場合、適切な設定が行われていない可能性が高い。ダイアログボックスの内容をよく読んで確認してほしい。
PCにUSBメモリーを差し込み、エクスプローラーでドライブ一覧を表示させる。F:が対象となるドライブレター。メモリーは空のものを利用した。
通常であれば、[enter]を押せば、誰でもドライブの中身を閲覧することができる。このドライブに、BitLockerを利用して、パスワードを設定し、ドライブを保護する。
f:にフォーカスを合わせたら、アプリケーションキーを押してメニューを開き、「BitLockerを有効にする」を選択する。ウィザードが起動するので、以下設定を行う。
BitLockerのロックを解除する方法を選択する。 パスワードおよびスマートカード(対応しているICカード)を選択することができる。
パスワードで暗号化するので迷わず、パスワードを使用するにチェックを入れる。
パスワードの入力を求められるので、自分で決めたパスワードと、確認のためのパスワードを入力する。
パスワードは、単純な英小文字ではなく、英小文字大文字、記号の組み合わせが望ましい。単純すぎると判断された場合、次に進めなくなるので注意。
回復キーは、パスワードを忘れてしまった場合や、何らかの理由でシステムにエラーが起きた場合に利用する。
マイクロソフトアカウント、ファイル、印刷の中から、最低一つの方法を選択する。今回はファイルに保存してみた。保存方法はメモ帳などで、名前をつけて保存のときと同じ。
なお、回復キーは、BitLocker設定後、新たに生成することも可能だ。
暗号化対象のディスクのうち、使用中の領域のみを暗号化するか、ディスク全体を暗号化するかを選択する。
通常はドライブ全体を暗号化でかまわない。
このディスクを、新しいWindowsで使うのであれば最新の暗号化アルゴリズム、他のWindows環境で使用することを想定するのであれば互換モードを選択する。
新しいアルゴリズムを選択する方が、より強固に暗号化することが可能だが、他のPCに接続して使うことを考えて、ここでは互換モードを選択した。
以上ですべての準備が完了。「暗号化の開始」でディスクの暗号化が始まる。
今回はドライブ全体を暗号化した。容量にもよるが、暗号化が完了するまでにはそれなりの時間がかかる。ダイアログを確認しながら気長に待つこと。
私のPCでは、8GBのUSBメモリーで30分程度かかった。官僚のメッセージが表示されたら暗号化は完了。
PCからUSBメモリーを取り外して次のステップへ進む。
ここでは、先ほどBitLockerで暗号化したUSBメモリーを暗号化ディスクと呼ぶことにする。
暗号化ディスクをPCに挿入すると、「f:にアクセスできません、アクセスが拒否されました」のようなメッセージが表示される。これはBitLockerできちんとディスクが保護されていることを意味している。
エクスプローラーで暗号化ディスクを開くと、パスワード入力を促すダイアログボックスが表示される。正しいパスワードを入力してロック解除ボタンを押せば、ディスクの読み書きが可能になる。
普段使っているPCの場合、暗号化ディスクを使うたびにパスワードを入力するのは煩わしい。次の手順でパスワード入力を省略することができる。
上述のロック解除の場面で、パスワードを入力後、「その他のオプション」を押す。
「このPCで自動的にロックを解除する」にチェックを入れておくと、次回から、同じPC及び同じユーザーであれば、パスワード入力を省略することができる。
とても便利ではあるが、その分、セキュリティーが甘くなる点に注意する必要がある。
暗号化ディスクのパスワードを変更することができる。
エクスプローラーで暗号化ディスクにフォーカスを合わせ、アプリケーションキーでメニューを表示。 「BitLockerパスワードの変更」を選択するとダイアログボックスが表示される。既存のパスワード、新しいパスワード、新しいパスワードの確認、各項目に適切な値を入力、「パスワードの変更」を押すと新しいパスワードに置き換わる。
パスワードを忘れてしまったり、なんらかの理由でロックの解除ができない場合、回復キーを使ってロックを解除することができる。
回復キーは、下記の手段で保存する方法が用意されている。
今回暗号化ディスクを作る際、すでにファイルとして回復キーを保存した。
暗号化ディスクを作成した際に保存したファイルにフォーカスを合わせる。ファイル名は「BitLocker 回復キー 1DBC707B-B143-4D6A-85A9-9E7F2E907CB1.TXT」などとなっているはず。
見かけはテキストファイルだが、通常のように開いても「BitLocker ドライブ暗号化の回復キー」という1行が表示されるだけ。
回復キーを確認するためには、アプリケーションキーを押してメニューを開き、「編集」を選択する。メモ帳が開き、IDとキーを確認することができる。内容は下記の通り。
BitLocker ドライブ暗号化の回復キー
これが適切な回復キーであることを確認するには、次の ID の先頭と、PC に表示されている ID 値とを比較してください。
ID:
1DBdf07B-B5a3-316A-85A9-9E7F2E907CB1
上記の ID が PC に表示されている ID と一致する場合は、次のキーを使用してドライブのロックを解除します。
回復キー:
123456-654321-123456-654321-123456-654321-123456-654321
上記の ID が PC に表示されている ID と一致しない場合、ドライブのロックを解除するための適切なキーではありません。
別の回復キーを試してみるか、https://go.microsoft.com/fwlink/?LinkID=260589 で詳細を確認してください。
回復キーをクリップボードにコピー、ロック解除のダイアログボックスで「その他のオプション」ボタンを押す。「回復キーを入力」ボタンを押し、コピーした回復キーをペースト、「ロック解除」ボタンを押せばロックが解除され、暗号化ディスクを使うことができるようになる。
回復キーファイルは、できれば他の媒体に保管することが望ましい。回復キーがわかってしまえば、パスワードなしでロックを解除されてしまう危険性が高くなる。
マイクロソフトアカウントを持っているのであれば、そちらに保存しておくことができる。
保存した回復キーは、マイクロソフトの回復キーにサインインすれば確認することができる。