特集
【警告】「回復キー」がないと即終了。BitLockerによるデータ全消失を防ぐ絶対ルール
2026年6月24日 06:12
Windowsに標準で搭載されているドライブ暗号化機能「BitLocker」。この暗号化技術は非常に強力で、BitLockerを利用して内蔵ストレージを暗号化しておけば、もしPCから内蔵ストレージが抜き取られたとしても、回復キーを入力しない限り保存データの読み出しが事実上不可能となる。
PCの紛失や盗難などによるデータ流出を防ぐ優れたセキュリティ機能だが、その仕組みを知らず事前準備を怠っていると、PCが起動しなくなったり、保存データを取り出せなくなるなど重大なトラブルを招くことになる。
そこで今回は、BitLockerがどういった暗号化機能なのか復習を兼ねて紹介するとともに、BitLockerにまつわるトラブルを回避するにはどうすればいいのか解説する。
BitLockerやデバイスの暗号化は、事実上復元不可能なほど強固
「BitLocker」は、2007年登場のWindows Vistaで初めて搭載された、Windows標準のドライブ暗号化機能だ。Windows 11では、Windows 11 Pro、Enterprise、Educationで利用できる。
BitLockerでは、内蔵ストレージをボリューム(パーティション)単位で暗号化する。内蔵ストレージにOSをインストールしたCドライブのみが確保されている場合には、Cドライブ全体が暗号化される。また、ボリュームごとや全ボリュームの暗号化にも対応。メモリなどのリムーバブルメディアを暗号化する「BitLocker To Go」という暗号化機能も利用可能だ。
BitLockerが採用する暗号化アルゴリズムは、標準で「XTS-AES 128bit」と呼ばれるものだ(BitLocker To Goの暗号化アルゴリズムは「AES-CBC 128bit」)。暗号化されたデータを復元するための暗号鍵の組み合わせは、2の128乗という途方もない数で、現在最強の演算能力を誇るスーパーコンピュータをもってしても解読には天文学的な時間が必要となり、事実上復元不可能だ。また、より強力な「XTS-AES 256bit」という暗号化アルゴリズムも利用できる。
一方、一般ユーザー向けエディションのWindows 11 Homeでは、BitLockerではなく「デバイスの暗号化」という暗号化機能が用意されている。こちらはBitLockerのようなボリュームを指定した暗号化は行なえず、回復パーティションなどを除く全ボリュームが一括で暗号化される。また、BitLocker To Goも利用できない。
とはいえ、デバイスの暗号化も、暗号化アルゴリズムはBitLockerと同じXTS-AES 128bitを利用しており、暗号の強度はBitLockerと同等だ。基本的にBitLockerの機能限定版と考えていい。そういう意味では、Windows 11 HomeでもBitLockerは無関係ではなく、こちらも正しい鍵がないと事実上復元不可能となる。
このように、非常に強固な暗号化アルゴリズムを利用しているBitLockerやデバイスの暗号化だが、PCに搭載されているセキュリティモジュール「TPM(Trusted Platform Module)」を活用し、普段は暗号化されていることを意識することなく利用できるのも特徴だ。
Windows 11の動作要件としてTPM 2.0の搭載が必須となり話題となったが、BitLockerおよびデバイスの暗号化で利用する暗号鍵は、TPM内の安全な場所に保存される。そして、PC起動時にシステムの整合性に異常がないことをTPMが確認した後、保存している暗号鍵を利用して暗号化されたデータを復号し、正常に読み出せるようになる。
通常は、これが自動的に行なわれるため、利用者が特別なパスワードなどを入力することなく、暗号化を意識せずに利用できるわけだ。
「知らないうちに有効」が増加中
通常利用の中では、暗号化をほぼ意識せず利用できるが、PC起動時にTPMがシステムの整合性に異常があると判断した場合は事情が変わる。PCの起動がストップし、BitLockerやデバイスの暗号化を有効化したときに自動的に発行される「回復キー」と呼ばれる数字48桁のパスワードを入力しない限りPCが起動しなくなるのだ。
この回復キーは、暗号鍵とは異なるもので、簡単にいうとトラブル発生時のリカバリ用パスワードとなる。10の48乗と、こちらも天文学的な組み合わせとなるため、暗号鍵同様に総当たりでの試行は事実上不可能。つまり、もしPC起動時に回復キーの入力が求められた場合、回復キーが分からなければ保存データを復元することは事実上不可能となる。
そのほかにも、PCのハードウェア構成を変更したとき、マザーボードのBIOS/UEFIをアップデートしたり内容を変更したとき、ログインパスワードやPINを規定回数以上連続で間違って入力したときなどにも、TPMがシステムの整合性に問題があると判断し、回復キーの入力を求められる場合がある。
もちろん、PCからストレージを取り出して、ほかのPCに接続して保存データを読み出そうとする場合にも、回復キーの入力が求められる。
こういった挙動は、不正にデータを読み取られないようにするという意味で、BitLockerやデバイスの暗号化が正しく機能している証だ。ただ最近、利用者が意図していない場面でいきなり回復キーの入力が求められ、慌ててしまう場面が増えている。その大きな要因と考えられるのが、BitLockerやデバイスの暗号化が自動的に有効となるPCが増えている、というものだ。
Windows 11 バージョン24H2以降、暗号化の自動有効化の条件が緩和された。具体的には、バージョン24H2以前に条件として含まれていた「プラットフォームがモダンスタンバイまたはHSTIに準拠」と「許可されていないダイレクトメモリアクセス(DMA)インターフェイスがない」という2つの項目が削除された。
これにより、バージョン24H2までは条件を満たすのが主にノートPCやタブレットPCなどだったのに対し、バージョン24H2以降はデスクトップPCや自作PCも対象となり、暗号化が自動で有効となるPCが大幅に増えたのだ。
それら対象となるPCでは、PC購入後またはWindows 11クリーンインストール後に、Windows 11にMicrosoftアカウント、職場または学校アカウントで初めてサインインまたは設定すると、暗号化が自動で有効となる。
実際に、ミニPCと自作PCにWindows 11 Homeをクリーンインストールし、Microsoftアカウントでサインインしてみたところ、自作PCは条件を満たしていないと判断されデバイスの暗号化が有効とはならなかったが、ミニPCではデバイスの暗号化が自動的に有効となった。
同様に、Windows 11 Proをクリーンインストールし、Microsoftアカウントでサインインした場合も、ミニPCではBitLockerが自動的に有効となった。
なお、クリーンインストール時に暗号化が自動で有効となる場合、そのPCに複数のドライブを搭載し複数のパーティションが存在している場合でも、暗号化されるのはシステムをインストールしたパーティションであるCドライブのみとなる。
そして、いずれの場合も、インストール途中に暗号化が有効になることは一切知らされなかった。
こういったことから、知らない間に暗号化が有効になっている、という状況が発生することが十分考えられる。そして、それらPCでBIOS/UEFIのアップデートやハードウェア構成の変更を行なうと、回復キーの入力が求められて慌ててしまう、というわけだ。
ちなみに、以下の記事で紹介している方法などを利用し、Windows 11をローカルアカウントでセットアップした場合には、暗号化は自動で有効とはならない。
まずは暗号化が有効になっているか確認
このように、利用者が意図せず暗号化が有効になっているPCが増えたことを踏まえ、自分が使っているPCで暗号化が有効になっているかどうか確認するよう心がけたい。自動的に有効となるPCが多く存在するということからも、PC購入後やWindows 11のクリーンインストール後には、忘れず確認しよう。
ボリュームのアイコンで確認
確認方法は簡単だ。「エクスプローラー」を開いて左ペインから「PC」をクリック。すると、右ペインに搭載されているストレージがボリューム(ドライブ)単位で一覧で表示されるが、各ボリュームのアイコンに鍵マークが付いていれば暗号化が有効になっている証拠だ。暗号化されているとこの鍵マークが表示されるのは、Windows 11のエディションによらず同じなので、最も簡単な確認手段といえる。
なお、鍵マークの鍵が空いている場合はロックが解除されアクセス可能な状態、鍵が閉じている場合はロック状態でアクセス不能な状態を示す。
設定画面で確認
また、設定画面からも確認できる。Windows 11 Homeの場合、「設定」アプリの「プライバシーとセキュリティ」を開き、その中にある「デバイスの暗号化」をチェック。スイッチが「オン」になっていれば、暗号化が有効になっていると分かる。
Windows 11 Proなどそのほかのエディションでは、上述の方法に加え、「デバイスの暗号化」や「コントロールパネル」を通じて「BitLockerドライブ暗号化」を開き、そこで「BitLockerが有効です」という表記を確認することで、有効になっていると分かる。
ディスクの管理で確認
スタートボタンを右クリックして開くメニューから「ディスクの管理」を開く方法もある。ディスクの管理では、PCに搭載しているストレージデバイスと確保しているボリュームの状況を確認できるが、そのボリューム表示部に「BitLockerで暗号化済み」と表示されていれば、暗号化が有効となっている証拠となる。
有効ならすぐに回復キーをバックアップしよう
確認して暗号化が有効だった場合には、とにかくすぐに回復キーをバックアップしよう。
回復キーのバックアップは、Windows 11 Homeでは「コントロールパネル」から「システムとセキュリティ」、「デバイスの暗号化」と進み、「回復キーのバックアップ」から行なう。
Windows 11 Pro/Enterprise/Educationでは、「コントロールパネル」を起動して「システムとセキュリティ」を開き、「BitLockerドライブ暗号化」画面から、同じく「回復キーのバックアップ」をクリックすると行なえる。その先の操作はどちらも同じだ。
回復キーのバックアップ方法としては、以下の3つがある。
- Microsoftアカウントを利用してクラウドにバックアップ
- USBメモリなどにテキストファイルでバックアップ
- 紙に印刷
ただし、回復キーのバックアップは管理者アカウントでサインインしていなければ操作できないので注意したい。
Microsoftアカウントにバックアップ
このうち、最も簡単かつ確実なのは、Microsoftアカウントを利用してクラウド保存する方法だ。Microsoftアカウントでサインインしているのであれば、回復キーは自動的にMicrosoftアカウントに紐付いてクラウドに保存される。クリーンインストールなどで自動的に有効となった場合も同様だ。そのため、Microsoftアカウントを削除しない限り、簡単に確認できる。
回復キーの確認方法は、BitLocker、デバイスの暗号化とも同じ。Webブラウザで「Microsoftアカウントダッシュボード」にアクセスし、利用しているMicrosoftアカウントでサインイン。左メニューの「デバイス」をクリックすると、利用しているPCが一覧表示されるので、回復キーを知りたいPCを見つけて「詳細を見る」をクリック。そして「BitLockerデータ保護」の「回復キーの管理」をクリックすると、回復キーが表示される。
このMicrosoftアカウントの設定ページは、スマートフォンでアクセスした場合でも回復キーを確認できるので、1台しかないPCで回復キーの入力が求められる状況になった場合でも安心だ。
なお、操作としては最初に対象のPCを選択するものの、実際にはそのMicrosoftアカウントで利用しているすべてのPCの回復キーが、過去のものも含めて一覧で表示される。もし回復キーが複数存在する場合には、回復キー入力画面に表示されているキーIDが合致するものを探そう。
テキストファイルや紙で保存
ローカルアカウントを利用して暗号化している場合には、テキストファイルで保存するか、プリンタで印刷しておくといい。こちらは、バックアップメニューから「ファイルに保存する」か「回復キーを印刷する」をクリックして指示通り進めるといい。
なお、ファイルに保存する場合、暗号化されたパーティションには保存できない。また暗号化されていない内蔵ストレージでもルートフォルダには保存できない。基本的には別途USBメモリを用意するのがいいだろう。
暗号化を引き続き使うか考えよう
あわせて考えたいのが、暗号化を継続して使用するか、それとも無効にするかの判断だ。暗号化を有効または無効にするには、管理者アカウントでサインインしていないと操作できないので注意したい。
まず、回復キーの入力が求められるという状況を確実に回避したいというのであれば、暗号化を無効にするのが最も簡単な手段だ。
家に設置して利用し外に持ち出すことがほぼないデスクトップPCや自作PCなどは、PCや内蔵ストレージが盗難に遭う危険性は低く、重要なデータを一切保存していないということであれば、暗号化をオフにして運用しても大きな問題はないだろう。
また、暗号化が有効となっている場合、ストレージのアクセス速度、特にランダムアクセス速度が遅くなるという影響もある。実際にWindows 11 ProでBitLockerが有効の場合と無効の場合でSSDのアクセス速度をチェックしてみたところ、BitLockerが有効の場合にはランダムアクセス速度が大幅に低下することが確認できた。
これは、特にゲーミングPCで大きな影響をおよぼす可能性が高く、少しでも快適なゲームプレイを優先したい場合には、暗号化を無効にしたほうが有利だ。システムとゲームインストール用でパーティションを分けて、システム側だけ暗号化するといった運用もいいだろう。
ただし、暗号化を無効にした場合、セキュリティ性が大幅に低下する。デスクトップPCであっても、盗難の可能性が皆無とは言い切れない。また、そのPCや内蔵ストレージを売却したり、友人に譲ることになった場合、フォーマットしたとしても保存データを復元される可能性がある。
暗号化を有効にしておけば、そういったリスクをほぼ回避できるため、不安を感じるのであれば有効のまま利用したい。また、ノートPCやタブレットPCのように外に持ち出すPCでは、紛失や盗難の危険性が高まるため、有効のまま利用するのがベストだ。もちろん、企業が利用するPCでは、デスクトップPCであろうとノートPCであろうと、無効化は避けるべきだ。
最終的には、自分がPCを何に使うのか、PCにどういったデータを保存するのかを考慮しつつ、リスクと利便性のバランスを考えながら、判断するといいだろう。