BitLocker to GoでUSBメモリを暗号化する方法
BitLocker to GoはUSBメモリを暗号化するWindowsに標準搭載されている機能です。この機能を使うことで、USBメモリ暗号化ソフトが同梱されていないUSBメモリでも暗号化することができます。
この記事では実際にUSBメモリをBitLocker to Goで暗号化する方法について解説しています。機能の解説記事や動作環境などはこちらをご確認ください。
前提条件
- Windows 7 Ultimate Windows 8/8.1 Pro Windows 10/11 Pro
- セキュリティチップ(TPM)搭載
- USBメモリ(2.0でも可)
BitLocker to Go暗号化設定
まずは暗号化したいUSBメモリをPCに挿入します。挿入すると外付けドライブとして認識されますので、PCを開いてドライブを右クリック⇒BitLockerを有効にする をクリックします。
少し待つとパスワードの設定画面が表示されますので、”パスワードを使用する”にチェックを入れてパスワードを入力します(”大文字、小文字、数字、空白文字、記号を含めてください”とありますが、含めなくても設定はできます)。
つづいて回復キーのバックアップ方法を選択します。回復キーは万が一さきほど設定したパスワードを忘れてしまった場合にUSBメモリのBitLocker to Goを解除するために必要な予備の鍵です。
どの方法を利用するのかは運用方針により異なりますが、ここではファイルに保存で進めます。
回復キーを保存するとこのようなテキストファイルが出力されます。
回復キーの保存を確認したら設定画面に戻って”次へ”進めます。
ドライブを暗号化する範囲の選択画面が表示されます。ここでは”使用済みの領域のみ”か”全体を暗号化”の2つが選択できます。暗号化の範囲が少ないので、当然前者の方が処理時間は短いです。
新品のUSBメモリの場合は”使用済みの領域のみ”でOKですが、一度でもデータの書き込みをしたことのあるUSBメモリなら必ず”ドライブ全体”にしましょう。
続いて暗号化モードの選択になります。Windows 10 Ver1511以降のWindowsデバイスのみで利用する場合は新しい暗号化モードを設定してください。
Windows 8.1やMacといったWindows以外のOSで利用が想定される場合は互換モードにします。
なお、互換モードにしたからといってセキュリティ上の致命的な欠点はいまのところありません。
最後の確認画面が表示されます。このあと、USBメモリの暗号化が開始されますが下記のような環境だと暗号化に数時間かかることもあるのでご注意ください。暗号化の間、PCのスリープやシャットダウンはしないようにしてください。
- ドライブ全体暗号化にしている
- USBメモリの保存容量が大きい(16GB、32GBなど)
- USB2.0ポートに接続している、またはUSBメモリがUSB3.0非対応
- 既に大容量のデータを保存している
ドライブの暗号化が実行されます。処理の途中でどうしてもUSBメモリを取り外さないといけない、PCをシャットダウンしないといけない、という場合は必ず”一時停止”をしてから実施してください。
なお、暗号化中でもUSBメモリの読み書きは可能ですが、暗号化処理により大量の読み書き処理が動いているので処理速度はかなり落ちます。
また、思わぬエラーや暗号化の停止を招かないためにも暗号化中はできるだけUSBメモリの読み書きをしないことをおすすめします。
暗号化が終了すると下記のようなメッセージが表示されます。
暗号化したUSBメモリはPCで見ると南京錠のアイコンがつきます。
BitLocker to Goで暗号化されたUSBメモリを読み取る
BitLocker to Goで暗号化されたUSBメモリを接続すると、下記画像のようにパスワードの入力画面が表示されます。
正しいパスワードを入力するとUSBメモリのデータを確認することができます。
なお、BitLocker to Goで暗号化したUSBメモリの読み書きはWindows 7/8/8.1/10/11 Homeでも可能です。USBメモリの暗号化をするにはProエディション以上が必要になります。
自動ロック解除を有効にする
BitLocker to Goで暗号化したUSBメモリを利用するPCが毎回決まっている場合は、何度もパスワード入力をしなくても済むように自動ロック解除を有効にすることができます。
USBメモリを接続してパスワードを入力してからPC⇒USBドライブのプロパティ⇒BitLockerの管理 と進みます。
続いてオプションメニューの中から”自動ロック解除の有効化”をクリックします。
自動ロック解除の有効化を設定したPCに、対象のUSBメモリを接続するとパスワードの入力なく自動的にロックが解除されます。
ただし、自動ロック解除を有効にしたPCでも別のBitLocker to Goで暗号化されたUSBメモリを接続するとパスワードの入力が必要です。
あくまで同じPC、同じUSBメモリの組み合わせで自動ロック解除が有効になります。
回復キーでロック解除する
パスワードを忘れてしまった、という出来事は日常茶飯事かもしれません。その場合は事前に保存しておいた回復キーを利用することでロックを解除できます。
なお、パスワードを忘れ自動ロック解除を有効にしておらず回復キーも紛失した場合はUSBメモリのデータは読み出し不可能になりますので、回復キーの管理は十分注意してください。
パスワード入力画面でその他のオプションを表示して”回復キーを入力する”をクリックします。
回復キーを入力してロック解除をクリックします。正しく回復キーが入力されるとロックが解除されUSBメモリのデータを読み書きすることができるようになります。
パスワードが不明な状態が続いている場合は後述のパスワード変更を必ず実施してください。
忘れたロックパスワードを変更する
先ほどと同様にBitLockerの管理を開きます。
パスワードの変更をクリックします。
”忘れたパスワードをリセットする”をクリックします。
新しいパスワードを入力して完了ボタンをクリックします。
これでパスワードが変更されます。
なお、ロック解除パスワードを変更しても回復キーは変わらないので回復キーを再度バックアップする必要はありません。
※だからこそ回復キーの管理は厳格に行う必要があります。回復キーを漏えいした場合、パスワードを変更しても回復キーでロック解除が可能です。回復キーを変更する場合は、一度BitLocker to Goの暗号化そのものを解除してから再度BitLocker to Goで暗号化しなおす必要があります。