知らないと“いざ”というときに詰む「BitLocker回復キー」

Windows 11 Homeでもメーカー製PCは暗号化されている

　普段は、ほとんど意識することなはないが、いざというときに困るのがデバイスの暗号化やBitLockerで暗号化されたドライブを暗号解除するための回復キーだ。セーフモードでの起動やドライブからのデータ救出など、BitLocker回復キーが分からないと先に進めなくなる。確認方法を覚えておこう。

ドライブが暗号化されている場合は要注意

　メーカー製のPCなど、対応しているデバイスの場合、Windows 11 Homeであっても、自動的に「デバイスの暗号化」によってドライブが暗号化されている。また、自分でBitLocker(Proエディション以上)を有効化した場合も、ドライブが暗号化されている。

　どちらの場合にしろ、ドライブの暗号化はデバイスを紛失したときや、不要になったPCを処分したときなどに、ドライブ上のデータを暗号化することによって情報漏洩を防ぐことができる有効な手段となる。

　しかし、これらの機能の安全性は、トラブルシューティングの際などに、かえって障害になる可能性がある。

　例えば、起動しなくなったPCをセーフモードで起動しようとした場合、ドライブが暗号化されているとBitLocker回復キーの入力を求められる。

　また、自作PCなどで、Cドライブを交換した際、古いデータを救い出そうと別のPCに暗号化されているSSDを接続したとしても、BitLocker回復キーを入力して暗号化を解除しない限りデータを読み出せない。

　つまり、いざというときに、BitLocker回復キーが分からないと、「詰む」可能性が高いわけだ。

このタイミングで、回復キーが分からないと詰む

Microsoftアカウントにあれば安心

　暗号化を解除するためのBitLocker回復キーは、通常はMicrosoftアカウントに保存されている。

　このため、インターネットに接続可能であれば、Microsoftアカウントで以下のサイトにアクセスすることで、回復キーを参照することができる。

Microsoftアカウントに保存されていればオンラインで確認可能

　ただし、必ずしもここに回復キーが保存されているとは限らない。例えば、BitLockerで暗号化した際にMicrosoftアカウントへの保存を選択しなかった場合や、メーカー製のPCなどデバイスの暗号化が実施されている場合、別のアカウントでセットアップしていた場合などが考えられる。

　また、Microsoftアカウントに保存されていたとしても、同じホスト名のPCが複数存在し、どの回復キーが該当するPCのものなのかが分かりにくい場合もある。

　このため、PCが暗号化されている場合は、一度は回復キーのバックアップを実施しておくのが無難だ。

BitLocker回復キーのバックアップ

　BitLocker回復キーは、コントロールパネルの［システムとセキュリティ］にある［BitLockerドライブ暗号化］または［デバイスの暗号化］から確認できる。

　［回復キーのバックアップ］を選択すると、［Microsoftアカウントに保存する(デバイス暗号化の場合は選択できない)］、［ファイルに保存する］、［回復キーを印刷する］の選択肢が表示される。

回復キーのバックアップを忘れずに実行しておく

Microsoftアカウントに保存するのがオススメ

　前述した通り、Microsoftアカウントに保存できる場合は、それがおすすめだが、［回復キーを印刷する］を選択し、紙に印刷したり、出力時にPDFを選択して別ドライブやUSBメモリにファイルとして保管したりするのがおすすめだ。

印刷でPDF化しておくと汎用性が高い

　また、以下のようにコマンドを使って確認することもできる。

コマンドでも確認可能

　これさえあれば、PCが起動しなくなっても、回復キーを入力してセーフモードで起動したり、ドライブの暗号化を解除してデータをサルベージしたりすることが可能になる。

　意識せずに暗号化されている場合もあるので、一度はバックアップしておくことをおすすめする。