Windows起動前からBitLockerでPCを保護する方法

PINの総当たりなどをしようとしても再起動が要求されたり、TPMのロックアウト機能によって制限がかけられたりして保護される

　BitLockerを利用するとPCのストレージを暗号化することができる。しかし、そもそもWindowsにログイン可能な状態だと暗号化が解除されてしまうため、データの保護が難しくなってしまう。より安全性を高めるには、OSの起動時にもBitLockerのPINが要求されるようにしておくと安心だ。

OSの起動に制限をかける

　BitLockerは、PCのストレージを暗号化する機能だ。Windows 11からはTPMが必須になったことで、BitLockerの暗号化に使用する鍵をTPMに保存可能になり、より高い安全性を確保できるようになった。

　これにより、仮にPCが盗難され、内部からSSDを取り出されたとしても、そこからデータを解読することは困難となる。しかし、盗難されたPC上で利用する限り、このSSDは解読される可能性はゼロとは言えない。

　当たり前だが、普段、自分がPCを利用するときと同じように、第三者がWindows起動時に登録済みのアカウントでサインイン(PIN、もしくはMicrosoftアカウントのパスワード)すれば、暗号化は解除されデータを参照可能になってしまう。

　もちろん、PINの場合であれば、一定回数間違えるとチャレンジフレーズの入力に切り替わり、チャレンジフレーズの入力に成功しても、さらにPINを間違えると、再起動が必要になる。そして、この失敗は、TPMのロックアウトカウントに記録され、標準では累計で32回に到達すると2時間ロックされるようになっている。

　このため、実際にはそれほど心配する必要はないのだが、念には念を入れたいという場合は、今回紹介するPINを利用したスタートアップ時のドライブロック解除機能を利用することも可能だ。なお、この機能は、BitLockerおよびグループポリシーを設定する必要があるため、Windows 11 Homeでは基本的に利用できないことをあらかじめお断りしておく。

スタートアップ時の追加の認証を有効化する

　まずは、グループポリシーを構成する。ファイル名を指定して実行で「gpedit.msc」を指定してグループポリシーエディターを起動し、以下の項目を開く。

　そして、［スタートアップ時に追加の認証を要求する］を開いて、このポリシーを有効化する。オプションはそのままでもかまわないが、PINのみでかまわなければ、USBキーで起動したい場合は［BitLockerを許可する(USBフラッシュドライブでパスワードまたはスタートアップキーが必要)］をオフにしておく。

グループポリシーで［BitLockerドライブ暗号化］の［オペレーティングシステムのドライブ］を構成

［スタートアップ時に追加の認証を要求する］を有効化

　設定後、PCを再起動すると、コントロールパネルの［BitLockerドライブ暗号化］の項目から［スタートアップ時にドライブのロックを解除する方法の変更］が表示されるので、これをクリックしてPINを設定すればいい。

スタートアップ時にドライブのロックを解除する方法の変更を設定

PINを選択

PINを入力。6桁以上が必要となる

　設定が完了すると、Windowsの起動時にPINの入力が要求されるようになる。起動の度に入力が要求されるため、手間はかかるが、機密性の高い情報を扱う法人環境などでは導入を検討する価値があるだろう。

　なお、解除は簡単で、サインイン後、同様にコントロールパネルの［BitLockerドライブ暗号化］の［スタートアップ時にドライブのロックを解除する方法の変更］で、［BitLockerでドライブのロックを自動的に解除する］を選択すればいい。

起動時にPINの入力が必要になる

自動的に解除に変更すれば、次回からPINの入力は不要となる