WindowsでBitLockerと代替手段を使ってフォルダを暗号化する方法

PCに保存されているデータを保護することは、もはや必須です。Windowsは、コンピューターが盗難に遭った場合や、他のシステムから誰かがアクセスしようとした場合など、データへの不正アクセスを防ぐための多層的なセキュリティを提供しています。組み込みツール（例えば、BitLockerでフォルダーを暗号化するなど）を使えば… ファイル、フォルダ、ドライブ全体、外部デバイスを暗号化します 数回クリックするだけで。

このガイドでは、BitLockerやその他の代替手段を使ってフォルダを暗号化するために必要なすべての情報を紹介します。必要なWindowsのエディション、コンピュータにTPMが搭載されているかどうかを確認する方法、個々のアイテムにEFSを使用する方法などについて説明します。 回復キーを作成して適切に保存する方法また、TPM がない場合の対処法、選択するアルゴリズムとキーの長さ、パフォーマンスに及ぼす可能性のある影響、パスワードで保護されたコンテナー/ISO などを探している場合に利用できるオプションについても説明します。

Windows ではどのような暗号化オプションが提供されており、それらはどう違うのでしょうか?

Windows では、次の 3 つのアプローチが共存します。

• デバイスの暗号化ハードウェアが特定の要件を満たしている場合、自動的に保護が有効になり、初回サインイン後に回復キーがMicrosoftアカウントにリンクされます。通常はWindows Homeでも利用可能ですが、すべてのコンピューターで利用できるわけではありません。
• ビットロッカー, Pro、Enterprise、Educationの各エディションで利用可能なこの暗号化は、システムドライブやその他の内蔵ドライブ、外付けドライブ（BitLocker To Go）のフルディスク暗号化です。主な利点は、ボリューム全体をエンドツーエンドで保護できることです。
• EFS（暗号化ファイルシステム） 個々のファイルやフォルダ向けに設計されており、ユーザーアカウントにリンクされているため、暗号化したユーザーのみが同じプロファイルからファイルやフォルダを開くことができます。少数の機密文書の保護には最適ですが、包括的な保護という点ではBitLockerに代わるものではありません。

デバイスがデバイス暗号化とTPMをサポートしているかどうかを確認する方法

「デバイス暗号化」の互換性を確認するには、スタートメニューから「システム情報」を検索し、右クリックして「管理者として実行」を開きます。「システム概要」で「デバイス暗号化サポート」の項目を探します。「前提条件を満たしています」と表示されれば設定完了です。「前提条件を満たしています」というメッセージが表示された場合は、 「TPM は使用できません」、「WinRE が構成されていません」、または「PCR7 バインディングはサポートされていません」これらの点を修正する必要があります (TPM/セキュア ブートを有効にする、WinRE を構成する、起動時に外部ドックまたはグラフィック カードを取り外すなど)。

TPM が搭載されているかどうかを確認するには、Windows キー + X キーを押し、「デバイス マネージャー」を開き、「セキュリティ デバイス」でバージョン 1.2 以降の「Trusted Platform Module (TPM)」を探します。Windows キー + R キーで「tpm.msc」を実行することもできます。 BitLockerはTPMと併用すると最適に機能しますしかし、そのチップなしでアクティブ化する方法をさらに下で説明します。

EFS でファイルとフォルダを暗号化する (Windows Pro/Enterprise/Education)

特定のフォルダまたは少数のファイルのみを保護したい場合は、EFS が迅速かつ簡単です。項目を右クリックし、「プロパティ」に移動して「詳細設定」をクリックします。「内容を暗号化してデータをセキュリティで保護する」にチェックを入れて確定します。フォルダを暗号化する場合、変更をフォルダのみに適用するか、サブフォルダとファイルにも適用するかを尋ねられます。 ニーズに最適なオプションを選択してください。.

有効化すると、アイコンに小さな南京錠が表示されます。EFSは現在のユーザーに対して暗号化を行います。そのため、そのファイルを別のPCにコピーしたり、別のアカウントで開こうとすると、読み取ることができません。一時ファイル（WordやPhotoshopなどのアプリからのものなど）には注意してください。ルートフォルダが暗号化されていない場合は、 パンくずが保護されない可能性があるそのため、ドキュメントが含まれているフォルダー全体を暗号化することをお勧めします。

暗号化証明書のバックアップを強くお勧めします。Windows は「今すぐキーをバックアップしてください」というメッセージを表示します。証明書のエクスポートウィザードに従い、キーを USB ドライブに保存し、強力なパスワードで保護してください。 Windows を再インストールしたり、ユーザーを切り替えたりする際にキーをエクスポートしなかった場合、アクセスできなくなる可能性があります。.

復号化するには、次の手順を繰り返します：プロパティ、詳細設定、 「データを保護するためにコンテンツを暗号化する」のチェックを外す そして、それは当てはまります。Windows 11でも動作は同じなので、手順も同じです。

BitLocker でフォルダーを暗号化する (Windows Pro/Enterprise/Education)

BitLockerは、内部ボリュームと外部ボリュームの両方を暗号化します。ファイルエクスプローラーで、保護したいドライブを右クリックし、「BitLockerを有効にする」を選択してください。このオプションが表示されない場合は、お使いのWindowsのバージョンにはBitLockerが搭載されていません。TPMが見つからないという警告が表示された場合は、 ご心配なく、TPMなしでも使えます必要なのはポリシーの調整だけです。これについては後ほど説明します。

アシスタントがドライブのロックを解除する方法を尋ねます。パスワードかスマートカードのどちらかです。エントロピーの高いパスワード（大文字、小文字、数字、記号）を使用することをお勧めします。次に、回復キーの保存場所を選択します。Microsoftアカウント、USBドライブ、ファイル、または印刷してください。 Microsoftアカウントに保存 これは非常に実用的です (onedrive.live.com/recoverykey からアクセス) が、追加のオフライン コピーが付属しています。

次のステップでは、使用済み領域のみを暗号化するか、ドライブ全体を暗号化するかを選択します。新しいドライブの場合は前者のオプションの方が高速ですが、以前使用していたコンピューターの場合は、削除されたデータ（復元可能なデータ）を保護するために、ドライブ全体を暗号化することをお勧めします。 セキュリティが強化されると、初期時間も長くなります。.

最後に、暗号化モードを選択します。最新のシステムの場合は「新規」、古いバージョンの Windows を搭載した PC 間でドライブを移動する場合は「互換」を選択します。 「BitLocker システム検証を実行する」 そして、それは続きます。システムドライブの場合は、コンピューターが再起動し、起動時にBitLockerパスワードの入力を求められます。データドライブの場合は、バックグラウンドで暗号化が開始され、作業を継続できます。

気が変わった場合は、エクスプローラーで暗号化されたドライブを右クリックし、「BitLocker の管理」に移動して、そのコンピューターで無効化、パスワードの変更、回復キーの再生成、または自動ロック解除の有効化を行うことができます。 BitLockerは少なくとも1つの認証方法がないと動作しません.

TPMなしでBitLockerを使用する: グループポリシーとスタートアップオプション

TPMをお持ちでない場合は、「gpedit.msc」（Windows + R）でローカルグループポリシーエディターを開き、「コンピューターの構成」>「管理用テンプレート」>「Windowsコンポーネント」>「BitLockerドライブ暗号化」>「オペレーティングシステムドライブ」に移動します。「スタートアップ時に追加の認証を要求する」を開き、「有効」に設定します。「互換性のあるTPMがなくてもBitLockerを許可する」の横にあるチェックボックスをオンにします。 変更を適用し、「gpupdate /target:Computer /force」を実行します。 その適用を強制する。

システムディスク上でBitLockerウィザードを起動すると、2つの方法が表示されます。「USBフラッシュドライブを挿入する」（起動時に毎回接続する必要がある.BEKブートキーを保存します）または「パスワードを入力する」（プリブートPIN/パスワード）です。USBを使用する場合は、BIOS/UEFI設定でブート順序を変更し、コンピューターがUSBドライブから起動できるようにしてください。 その USB ドライブから起動しないでください。プロセス中は、すべてが完了するまで USB ドライブを取り外さないでください。

暗号化する前に、BitLockerは 「システムテスト」 起動時にキーにアクセスできることを確認してください。起動メッセージが表示されて失敗した場合は、起動順序とセキュリティオプション（セキュアブートなど）を確認して、もう一度お試しください。

BitLocker To Go: USBドライブと外付けハードドライブを保護する

外付けデバイスを接続し、ファイルエクスプローラーでドライブを右クリックし、「BitLockerを有効にする」を選択します。パスワードを設定し、回復キーを保存します。「このPCでは次回から確認しない」にチェックを入れると、自動ロック解除が有効になります。他のPCでは、 接続時にパスワードが要求されます 内容を読むことができるようになる前に。

非常に古いシステム（Windows XP/Vista）では、ネイティブロック解除はサポートされていませんが、MicrosoftはFAT形式のドライブの読み取り専用アクセス用に「BitLocker To Go Reader」をリリースしました。下位互換性を維持する場合は、 「互換性のある」暗号化モード ウィザードで。

暗号化アルゴリズムと強度、そしてそれらがパフォーマンスに与える影響

デフォルトでは、BitLockerは内蔵ドライブでは128ビットキーのXTS-AES、外付けドライブではAES-CBC 128を使用します。設定で暗号化を256ビットに増やしたり、アルゴリズムを調整したりできます。「BitLockerドライブ暗号化」>「暗号化方法と強度を選択…」。Windowsのバージョンに応じて、ドライブの種類（ブート、データ、リムーバブル）ごとに設定が異なります。 XTS-AESが推奨されます 堅牢性とパフォーマンスを実現します。

最新のCPU（AES-NI）では、影響は通常最小限ですが、Windows 11 Proを搭載した特定のSSDでは、ハードウェア暗号化されたドライブにBitLockerをソフトウェアで適用した場合、特にパフォーマンスが低下する場合があります。特定のモデル（Samsung 990 Pro 4TBなど）では、ランダム読み取りで最大45%のパフォーマンス低下が測定されています。深刻なパフォーマンス低下に気付いた場合は、以下の対策を講じてください。 1) BitLockerを無効にする 1) そのボリュームで (セキュリティを犠牲にする)、または 2) 信頼できる場合は SSD 自体のハードウェア暗号化を再インストールして強制する (より複雑なプロセスで、製造元によって異なります)。

強力な暗号化 (256 ビット) は負荷がわずかに高くなることに注意してください。ただし、現在の機器では、その差は通常、管理可能な範囲です。 安全を優先する 機密データや規制対象データを扱う場合。

回復キー：保存場所と使用方法

BitLockerを有効にする際は、必ず回復キーを作成して保存してください。利用可能なオプションは、「Microsoftアカウントに保存」（集中アクセス）、「USBフラッシュドライブに保存」、「ファイルに保存」、「キーを印刷」です。キーは48桁のコードで、パスワードを忘れた場合や、 BitLockerがブート異常を検出した場合 システムユニット上。

複数のドライブを暗号化した場合、各キーには一意の識別子が付与されます。キーのファイル名には通常、BitLocker が回復時に要求する GUID が含まれます。Microsoft アカウントに保存されているキーを確認するには、サインインした状態で onedrive.live.com/recoverykey にアクセスしてください。 同じ暗号化ドライブにキーを保存しないようにする オフラインコピーを保存します。

BitLockerは、 管理コンソール ここでは、パスワードの変更、セキュリティ対策 (パスワード、PIN + TPM、スマート カード) の追加または削除、回復キーの再生成、不要になった暗号化の無効化を行うことができます。

パスワード保護されたISO：Windows 11の信頼できる代替手段

Windowsはネイティブの「パスワード保護されたISO」を提供していません。一部のユーティリティは独自の形式（PowerISOの「.DAA」など）に変換しますが、「.ISO」ファイルを保存する必要がある場合は理想的ではありません。代わりに、 VeraCryptで暗号化されたコンテナ 必要に応じてマウントできます。パスワードで保護された「仮想ドライブ」として機能し、ポータブルです。

軽量なファイルを共有したい場合は、最新のアーカイバでAESによる暗号化が可能です。7-ZipやWinRARなどのツールを使ってパスワード保護された「.zip」または「.7z」形式のアーカイブを作成し、ファイル名を暗号化するオプションを選択してください。外付けドライブの場合、Windows ProではBitLocker To Goが推奨されます。Homeでは、 VeraCrypt はその目的を完璧に果たします。.

上記のすべてにより、EFSでフォルダを暗号化するか、BitLockerでドライブ全体を暗号化するか、またはコンテナを作成するかを決めることができます。 ベラクリプト重要なのは、Windows のエディションとハードウェアに適した方法を選択し、回復キーを安全に保管し、優先順位に応じてアルゴリズムや長さを調整することです。 これら 3 つのポイントに注意すれば、生活を複雑にすることなくデータを保護できます。.