BitLockerとは？ 10分でわかりやすく解説

UnsplashのMauro Sbicegoが撮影した写真      

大切なデータが入ったPCを紛失したり盗難に遭ったりしたとき、まず怖いのは「中身を見られること」です。この記事では、Windowsに標準搭載されているディスク暗号化機能「BitLocker」について、何を守れて、どう設定し、運用で何に注意すべきかを初心者向けに整理します。読了後には、あなたの環境でBitLockerを使うべきか、使うなら何を決めておくべきかが判断できるようになります。

BitLockerとは

BitLockerの概要

BitLockerは、Windowsに標準搭載されているドライブ（ディスク）暗号化の機能です。OSが入っている内蔵ドライブ（通常はCドライブ）や、データ用ドライブ、USBメモリなどのリムーバブルメディアを暗号化し、第三者がオフラインで中身を読み取ることを難しくします。

典型的に効果を発揮するのは、ノートPCの紛失・盗難、廃棄・返却前のデータ保護、持ち出し用USBメモリの保護などです。暗号化が有効な状態では、正しい認証（TPM、PIN、回復キーなど）を通過しない限り、ドライブを開けません。

BitLockerで「守れること／守れないこと」

• 守れること：PCが手元から離れたときに、ディスクを別PCにつないで解析される／ドライブを抜き取られて読み取られる、といった「オフライン攻撃」からデータを守る。
• 守れないこと：PCにログイン済みの状態での不正操作（マルウェア感染、なりすましログイン、社内不正など）をそれ自体で防ぐものではない。暗号化は万能ではないため、アカウント保護・多要素認証・EDR等の対策と併用が前提。

BitLockerの特徴

1. ドライブ（ボリューム）単位で暗号化できる（OSドライブ／データドライブ／USBなど）
2. TPM（Trusted Platform Module）と連携し、起動時の整合性確認と鍵保護を行える
3. 起動時にPINやスタートアップキー（USB）を併用し、セキュリティを強化できる
4. 企業ではグループポリシーやMDM（Intune等）で設定を統制し、回復キー管理を集中化できる

運用の要点は、暗号化を有効にすること自体よりも、回復キーをどこに保管し、誰が取り扱うかを決めておくことです。

BitLockerの動作原理（ざっくり理解）

1. 暗号化の有効化時に、ドライブ暗号化に必要な鍵と回復キー（復旧用）が用意される
2. ドライブ上のデータが暗号化される（以後、正しい認証がないと読み取れない）
3. 起動時またはドライブ接続時に、TPM／PIN／回復キーなどでロック解除が行われる

特にOSドライブでは、起動プロセスの改ざん検知（Secure Boot等の仕組みと連動）と組み合わせて安全性を高められるのがポイントです。

BitLockerの対応OS・エディション

BitLocker（管理機能を含む「BitLocker ドライブ暗号化」）は、一般にPro/Enterprise/Education系エディションで利用されます。Windows Home系では、端末条件を満たす場合に「デバイスの暗号化（Device encryption）」として同等の暗号化が提供されるケースがあります（画面上の名称や管理方法が異なります）。 

BitLockerの設定方法

BitLockerを有効にする手順（個人・小規模向け）

Windowsの設定画面またはコントロールパネルから、対象ドライブのBitLockerを有効化します。OSのバージョンやUIの変更で表示名が変わることがありますが、流れは共通です。

1. 設定（またはコントロールパネル）から「BitLocker」関連の項目を開く
2. 暗号化するドライブを選び、「BitLocker をオンにする」を実行する
3. 起動時保護（TPMのみ／PIN追加／USBキーなど）の方針を選ぶ
4. 回復キーの保存先を決めて保管する
5. 暗号化範囲（使用領域のみ／ドライブ全体）などを選び、暗号化を開始する

この手順で最も重要なのは、暗号化そのものより回復キーの保管です。回復キーがなければ、正当な利用者でも復旧できなくなる可能性があります。

BitLockerのセキュリティオプション（TPM／PIN／USBキー）

• TPM（推奨）：暗号鍵をハードウェアで保護し、起動環境の改ざん検知と組み合わせられる。
• PIN（TPM＋PIN）：端末を盗まれただけでは起動できないようにする。「端末」＋「知識」の要素を追加するイメージ。
• スタートアップキー（USB）：起動時にUSBの鍵ファイルが必要になる。物理的な運用（紛失・持ち出しルール）が重要。

セキュリティを上げるほど、ユーザーの手間や運用負荷も上がります。重要端末（役員端末、個人情報を扱う端末、持ち出しが多い端末など）ほど、TPM＋PINのような強めの構成を検討する価値があります。 

回復キー（Recovery Key）の管理が「運用の本体」

BitLockerの回復キーは、ロック解除できなくなったときの最終手段です。たとえば次のような場面で、回復キーが求められます。

• TPM周りの状態変化（BIOS/UEFI設定変更、起動構成変更など）で保護が作動した
• 起動PINの入力ミスが続いた
• ディスクを別PCに接続してアクセスする必要が生じた

保管方法の代表例は以下です。

• （個人）Microsoftアカウントに紐づけて保存
• （企業）Entra ID（旧Azure AD）やAD DSに回復キーを保管し、管理者が参照できるようにする
• （バックアップ）印刷して金庫等で保管、または厳格に管理された媒体へ保管

「どこに保存するか」だけでなく、誰が取り出せるのか、紛失時にどうするかまで決めて初めて、BitLockerは業務で安心して使える状態になります。 

企業・組織での統制（グループポリシー／MDM）

組織利用では、端末ごとの手動設定に頼ると抜け漏れが起きやすく、回復キー管理も破綻しがちです。グループポリシーやMDMで次の点を統制する運用が現実的です。

• 暗号化方式・強度（例：XTS-AES 128/256など）の標準化
• 回復キーの保管先（AD/Entra ID 等）を強制し、保管されるまで暗号化を許可しない
• OSドライブ／固定データドライブ／リムーバブルの扱い（USBは必須暗号化にする、など）

暗号化方式は既定値やポリシーで変わり得るため、「うちは何の方式で暗号化されているのか」を管理側で把握できるようにしておくと、監査や説明が楽になります。

Network Unlock（参考：企業向けの自動ロック解除）

Network Unlockは、社内ネットワークに接続されていることを条件に、起動時の追加認証を自動化する仕組みです。現場の運用負荷を下げられる一方で、インフラ要件（ネットワークや展開基盤）と設計が必要で、基本的に企業向けの機能として扱われます。

BitLockerの利点と注意点

BitLockerを使うメリット

• 紛失・盗難時の情報漏洩リスクを下げられる：ストレージを抜き取られても、暗号化されていれば解析が難しい。
• コンプライアンス対応の土台になる：暗号化は「端末を持ち出すなら最低限必要」とされやすい基本対策の一つ。
• 追加コストを抑えやすい：Windows標準機能のため、要件に合えば別製品を導入せずに始められる。

BitLockerを使う際の注意点

• 回復キーを失うと、正当な利用者でも復旧できない：保管・参照権限・手順を最初に決める。
• 設定変更が「回復キー要求」の引き金になることがある：BIOS/UEFI設定変更、起動構成の変更、セキュリティ機能の切り替えなどは影響し得る。
• 運用の整備がないと、セキュリティではなく業務停止につながる：担当者不在、キーが見つからない、退職者が握っている――この状態が最悪。

ほかの暗号化手段との比較（位置づけ）

• BitLocker：ドライブ単位の暗号化（端末紛失・盗難の「持ち出しリスク」に強い）。
• EFS：ファイル単位暗号化。運用・復旧設計が別物で、用途が異なる。
• サードパーティ製：クロスプラットフォーム対応や詳細機能が魅力になる場合があるが、導入・運用設計は要検討。

「持ち出し端末のストレージ保護」という目的に対しては、BitLockerは分かりやすく効果が出やすい選択肢です。一方で、ログイン後の脅威に備える対策（認証強化、端末防御、権限管理など）を置き換えるものではありません。

まとめ：BitLockerの活用方法

BitLockerは、Windowsに標準搭載されているドライブ暗号化機能で、PCの紛失・盗難時の情報漏洩リスクを大きく下げられます。導入の成否は、暗号化の設定よりも回復キーを確実に保管し、必要なときに取り出せる運用を作れるかどうかで決まります。持ち出し端末や機密情報を扱う端末では、TPMの活用やPIN併用なども含めて、業務とセキュリティのバランスが取れる形で設計していきましょう。 :contentReference[oaicite:9]{index=9}

よくある質問（FAQ）