Windows 11でBitLockerを有効にするのは非常に簡単ですが、必ずしも期待するほどスムーズに進むとは限りません。デバイスがBitLockerに対応していると思っても、対応しているTPM(Trusted Platform Module)が搭載されていない場合は特にそうです。あるいは、セキュリティポリシーによって、設定を調整しないと暗号化できないという問題が発生することもあります。いずれにせよ、特に機密情報を扱う場合は、データをロックダウンすることをお勧めします。このガイドでは、あまり知られていない落とし穴と、BitLockerをスムーズに起動するために必要な手順を解説します。BIOS設定、グループポリシーエディター、コマンドプロンプトでの暗号化状態の確認など、多少の手間がかかることを覚悟してください。これらのちょっとした追加手順が、大きな違いを生む可能性があります。
Windows 11でBitLockerを有効にする際によくある問題を解決する方法
システム要件とTPMサポートを確認してください
この最初のステップは非常に重要です。PCがTPMをサポートしていない場合、または無効になっている場合、BitLockerは正常に動作しません。確認するには、スタートメニューで「tpm.msc」を検索して開きます。デバイスにTPMが搭載されている場合は、その詳細がポップアップ表示されます。場合によっては、BIOSでTPMが無効になっていることがあります。Windowsが明示的に通知してくれるはずなので、少し面倒です。何も表示されない場合、または「互換性のあるTPMが見つかりません」というメッセージが表示される場合は、TPMが存在しないか、有効にする必要があります。おそらくBIOSを再起動し、「セキュリティ」タブでTPM設定を見つけて、有効にして保存し、再起動する必要があります。Windowsは当然のことながら、必要以上に難しくする必要があるからです。
方法1: TPMを有効にしてグループポリシー設定を調整する
これにより、多くの問題が解決されます。特に、デバイスがTPMをサポートしているにもかかわらず、Windowsが暗号化をブロックしている場合に有効です。「スタート」>「ファイル名を指定して実行」>「gpedit.msc」(または「グループポリシーの編集」を検索)に進みます。次に、「コンピューターの構成」>「管理用テンプレート」>「Windowsコンポーネント」>「BitLockerドライブ暗号化」>「オペレーティングシステムドライブ」に移動します。 「スタートアップ時に追加の認証を要求する」という設定を探します。これをダブルクリックして「有効」に設定し、「TPMを許可する」チェックボックスがオンになっていることを確認します。保存して再起動します。BitLockerがポリシーの障害を回避できるのは、これだけの場合があります。
この調整は、組織やセキュリティポリシーによって、手動による承認なしにBitLockerのデフォルトアクティベーションが禁止されている場合によく必要になります。設定によっては、最初は失敗しても、再起動後に魔法のようにうまくいくこともあります。正直なところ、タイミングがおかしい場合もあります。
方法2: コマンドラインを使用してBitLockerを直接アクティブ化する
GUIで解決できない場合は、manage-bdeコマンドを使って解決できるかもしれません。PowerShellを管理者権限で起動し、次のコマンドを実行してください。
manage-bde -status C: これは現在のステータスを示しています。ドライブが暗号化されていない場合は、次のコマンドで起動できます。
manage-bde -on C: -RecoveryPassword -RecoveryKeyPath "D:\RecoveryKeys"C:をドライブレターに変更し、回復キー用のフォルダを指定してください。この方法でGUIをバイパスすると、面倒なポリシーブロックを回避できる場合があります。特に大容量ドライブの場合は時間がかかる場合がありますが、少なくとも進行状況を確認し、エラーが発生していないか確認できます。また、ドライブがNTFSでフォーマットされていることを確認してください。FAT32やexFATではBitLockerが動作しません。
また、システムドライブのパーティションスタイルが互換性があることを確認してください。セキュアブートとTPM機能にはGPT(GUIDパーティションテーブル)が推奨されます。互換性がない場合は、データのバックアップ、パーティションツールの使用、あるいはWindowsの再インストールなど、変換が必要になる場合があります。
スムーズなセットアップのためのヒント
- 暗号化を始める前に重要なデータをバックアップしてください。すべてが簡単に思えても、問題が発生する可能性があるからです。
- 回復キーは安全な場所に保管しておきましょう。クラウドバックアップ(Microsoftアカウントなど)や物理的な金庫などが良いでしょう。紛失すると、ドライブに永久にアクセスできなくなる可能性があります。
- お急ぎの場合は、「使用領域のみを暗号化」を選択してください。初期設定では高速ですが、暗号化の完全性は低くなります。ドライブ全体を暗号化すると安全ですが、暗号化に時間がかかります。
- ドライブが暗号化されていない場合は、干渉する可能性のあるウイルス対策ソフトウェアやその他のセキュリティ ソフトウェアを一時的に無効にすることを検討してください。
- Windows が完全に更新されていることを確認してください。一部の BitLocker の問題は累積的な更新で解決されます。
よくある質問
デバイスに TPM が搭載されていない場合はどうなりますか?
一部のマシンでは、TPMがなくてもBitLockerは動作しますが、グループポリシーまたはレジストリを調整する必要があります。「起動時に追加の認証を要求する」を有効にし、 「互換性のあるTPMがなくてもBitLockerを許可する」オプションにチェックを入れます。もちろん、起動のたびにPINまたはパスワードを入力する必要があり、シームレスではありませんが、実現可能です。
「オンにする」をクリックしても BitLocker がオンにならないのはなぜですか?
多くの場合、これはサポートされていないハードウェア、TPMの無効化、またはポリシーによる制限が原因です。TPMのサポート、BIOS設定、グループポリシーを必ず確認してください。場合によっては、BIOSを再起動してTPMまたはセキュアブートを有効にするだけで状況が改善することがあります。
ドライブの暗号化にはどのくらい時間がかかりますか?
ディスクサイズと、ディスク全体を暗号化するのか、それとも使用領域のみを暗号化するのかによって異なります。通常、256GBのSSDを完全に暗号化するには約20~30分かかりますが、大容量のドライブでは数時間かかることもあります。暗号化を中断すると問題が発生する可能性があるため、しばらくお待ちください。
まとめ
このプロセス全体は、必ずしもスムーズに進むとは限りません。特にハードウェアが扱いにくい場合やポリシーがロックされている場合はなおさらです。しかし、BitLocker が使えるようになれば、データをロックダウンするための安価で効果的な方法になります。回復キーは必ず安全な場所にバックアップしてください。紛失すると暗号化が全て無駄になってしまうからです。特定の方法で問題が解決しない場合は、コマンドラインを試したり、ポリシーを調整したりすると、通常は解決します。ただし、BIOS アップデートや簡単なハードウェアチェックの方が、Windows と格闘するよりも早く問題を解決できる場合もあることをお忘れなく。
まとめ
- デバイスが TPM をサポートしているかどうかを確認し、必要に応じて有効にします。
- 必要に応じて、TPM なしで BitLocker を許可するようにグループ ポリシーを調整します。
- GUI が失敗した場合は、コマンド ライン コマンドを使用して手動で暗号化を有効にします。
- 回復キーを安全な場所にバックアップして、アクセスを失わないようにしてください。
- バグを回避するために、Windows とデバイスのファームウェアを定期的に更新してください。