BitLockerはWindowsパソコン内蔵のストレージを暗号化することで、盗難・紛失時の情報漏えいリスクを軽減する。管理者権限があれば無効化も可能だが、セキュリティリスクを踏まえ、常に有効にしておくことが推奨される。この記事では、BitLockerを無効化する手順を解説した上で、その他の暗号化の方法についても紹介する。
BitLockerとは
BitLockerは、Windowsの主要なバージョンに標準で搭載されている。コンピューターに内蔵されたハードディスクやSSDといったストレージを暗号化し、その端末を盗難・紛失した際の情報漏えいリスクを抑制可能だ。
また、パソコン廃棄時の情報漏えいリスクを軽減できるのもBitLockerを利用するメリットの1つと言える。ハードディスクを廃棄する場合、物理的に破壊し、実質的に内部データへアクセスできなくする方法がある。一方、近年パソコンに搭載されることが増えているSSDの場合、専用の装置を使ってさらに細かく粉砕する必要がある。しかし、廃棄の際にパソコンを初期化し、ストレージをフォーマットした上で、BitLockerを使って暗号化をかければ、ファイルの復元はほぼ不可能となる。
BitLockerを利用する上での懸念点
データの安全性を高めるというメリットを享受できるのがBitLockerの暗号化機能だが、その導入の結果としてパソコンに不具合が生じてしまうなど、コンピューターの管理に困る状況に陥るケースがあるのも事実だ。
例えば、パソコン自体が起動しない、ストレージが認識されないといった問題が発生する可能性もあり得る。このような場合、BitLockerを利用しているとストレージ自体が暗号化されているため、ストレージを取り出して、ほかの端末から読み取るといった対応を選択できない。
BitLockerで暗号化したパソコンに問題が発生した際は、セーフモードで起動し、問題を解決していくことになる。そのような場合であっても、BitLockerを設定している限り、回復キーの入力が求められる。回復キーとはBitLocker設定時に発行される48桁の文字列で、BitLockerの管理には欠かせない。
BitLockerを無効化する方法
BitLockerを一時的に無効化したいと考える場合、以下の手順で進めていくことになる。
- 「コントロールパネル」>「システムとセキュリティ」>「BitLockerドライブ暗号化」(Windows 10 Homeの場合は『デバイスの暗号化』)を選択する。
- 「BitLockerを無効にする」をクリックする。
- 確認画面でBitLockerの無効化を選択すると、解除処理が開始される。
BitLockerの設定を変更するには、パソコンの管理者権限が必要になる。企業・組織においてパソコンを一括で管理している場合、BitLockerを無効化する前に社内のIT担当者へ確認する必要があるだろう。その企業・組織のポリシーを遵守しなければならないためだ。
また、コントロールパネルから同様の手順でBitLockerを再度、有効化することも可能だ。その際は回復キーが改めて発行される点に注意しておきたい。回復キーを適切に管理するためにも、自身の利用環境に応じたバックアップの手段を選択しておく必要がある。
BitLockerを停止しなければならない状況
パソコンのOSに影響を及ぼし、正常な起動が困難な状況に陥った結果、起動時にブルースクリーンが表示されるケースがある。その際に、要求されたBitLockerの回復キーを正しく入力したにも関わらず、入力の要求が繰り返される事象が報告されている。このような状況に陥った際には、コマンドプロンプトを利用してBitLockerを停止し、問題を解決する。
具体的には以下のような手順で進めていくことになる。
- ブルースクリーンに表示される「回復オプションの詳細は、Escキーを押してください」の指示に従いEscキーを押下する。
- 「トラブルシューティング」 > 「詳細オプション」 > 「コマンドプロンプト」を選択する。
- BitLockerによってロックされているか状態を確認するコマンド「manage-bde -status c:」を入力する。
- ロック状態にあれば、解除するコマンド「manage-bde -unlock c: -rp 48桁の回復キー」を入力する。
- BitLockerを無効化する場合、コマンド「manage-bde -protectors -disable c:」を入力する。
- 上記対応を行った後、正常にログインできることを確認する。
コマンドプロンプト経由でBitLockerを無効化した場合、ブルースクリーンの原因が解決に至ったのであれば、再びコントロールパネルからBitLockerを有効化することが推奨される。コマンドプロンプトからBitLockerを無効化する場合でも、やはり回復キーの入力が求められる。そのため、回復キーの管理が極めて重要である点は改めて認識しておいてほしい。
BitLockerの代替案
BitLockerはパソコンの紛失・盗難時の情報漏えいリスクを軽減するため、常に有効化しておきたい機能だ。また、企業・組織では暗号化に関するセキュリティポリシーを策定し、全従業員に遵守するよう求めている場合もある。
そのような場合、各ユーザーに管理者権限が付与されている状況は少ないと考えられるが、仮に管理者権限を有している場合であっても、BitLockerの設定変更が必要となる際は、情報システム部など、端末の管理を担当している部署へ事前に確認するのが望ましい。
BitLockerのようなストレージの暗号化を行うソリューションを検討する際は、ほかの選択肢を考慮してもよいだろう。例えば、オープンソースの暗号化ソフトウェアとして無料で提供されているVeraCrypt、Cryptomatorなどを利用する選択肢が候補に挙がる。Windowsに限らず、Mac OSやLinuxでもストレージが暗号化できるというメリットがあるためだ。
また、有償のソリューションも数多くのベンダーから提供されている。一般的に、有償のツールの場合、端末管理の手間やセキュリティポリシーの遵守といった管理者向け機能が優れている。
例えば、ESET PROTECT Completeでは、OSを含めてハードディスクを丸ごと暗号化するフルディスク暗号化「ESET Full Disk Encryption」を搭載している。OS起動前の個人認証(プリブート認証)を使用することが可能。この暗号化機能ではUEFIをサポートしているため、より高い安全性を実現している。
セキュリティ管理ツールから、リモートでクライアント端末のディスクを暗号化と復号することが可能だ。ほかにもユーザーがパスワードを忘れてしまった場合でもリカバリーすることができる。また、マルウェア対策機能とディスク暗号化機能などを統合管理できるため、管理作業の負荷も軽減される。
近年、情報漏えい事件が多数報じられる中、盗難・紛失のリスクを軽減できるディスク暗号化は必須の機能となりつつある。そして、その暗号化を有効化しているかどうかによって、データ漏えい時の被害の規模が大きく変わってくるだろう。万一の際に備え、ストレージの暗号化について対応状況を確認しておきたい。