今回はBitlockerについて投稿いたします。

Bitlockerとは、Windowsに備わっている暗号化機能です。
Bitlockerを有効化することによってストレージの中身を暗号化することができ、万が一盗難や紛失したとしてもリスクを大幅に減らすことができます。(もちろん紛失しないように日ごろから細心の注意をしなければいけませんが...)
Bitlockerを利用するために必要なことは、有効化ぐらいなので専用の暗号化ソフトを買わなくていいところは良い点だと思います。

このBitlockerですが、有効化している状態でストレージを外して別のPCで読み込もうとすると、回復キーを求められます。
この回復キーがないと、読み込むことができません。
同じく有効化している状態で初期化しようとしても、回復キーの入力を求められます。

解除やアクセスするのに求められる回復キーですが、有効化する際に発行されます。
発行方法としては、紙に印刷するかフォルダに保存するかの2択になります。
※ローカル環境には保存ができないため、USBや別のサーバーなどに保存して管理する必要があります。

有効化するためには、コントロールパネルから【Bitlockerドライブ暗号化】を探すか、画面左下の検索窓に【Bitlocker】と打つと、
Bitlockerの管理が検索結果として出てきます。
【Bitlockerを有効にする】をクリックすると、回復キーの保存方法や暗号化の方法など設定して有効化となります。

設定が簡単で盗難・紛失対策に良いBitlockerですが、弱点が2つあると思っています。

弱点1.管理者権限のあるアカウントでログインされると、簡単に解除できてしまう
→実はBitlockerの突破方法で一番簡単なのはこの方法だと思います。そのため、紛失したPCで管理者権限のあるアカウントの
 ログインパスワードを突破されると、そのまま無効化できてしまいます。無効化する際は回復キーは不要です。

弱点2.回復キーを紛失すると、何かあった時に解除できなくなる。
→当たり前かもしれませんが、ロックを解除するための鍵がないと開けることができません。家の鍵と同じですね。
 回復キーは数字の羅列が48桁あるため、簡単には突破することができません。
 盗難ではなく、PC利用中に不具合が起きて、初期化せざるを得ない時があり、その際にも回復キーを求められますので、
 必ず保管場所を把握するようにしましょう。
 万が一紛失した際は、Microsoftアカウントに紐づいている可能性があるため、問い合わせるといいでしょう。

弱点の対策としては、従業員に管理者権限を持ったアカウントを付与しないことです。
ドメインアカウントには権限をつけずに、IT管理者しか知らないローカルアカウントのみに管理者権限をつけるのが良いかと思います。
またはローカルグループポリシーの設定でBitlockerを使って、Windows起動時にPIN入力も求める設定をすることで対策することができます。
ここまで設定すると、セキュリティとしてはかなり強固なものになるかと思います。(※回復キーは必須です)


今回はBitlockerについて紹介いたしました。社内の管理では物理的にロックをかけることができるワイヤーロックがありますが、
営業などでノートPCを持ち歩く時までワイヤーロックはかけられないので、万が一の備えとしてBitlockerを有効化するのは効果的かと思います。

もっと厳重にするのであればBIOSロックを有効化すると、PCを起動する際にパスワードを求められるため、さらに突破することが難しくなりますが、
PCを起動する際にパスワードを打ち込む煩雑さや、パスワードを忘れたときの対処(PCを分解してCMOSクリア)が面倒なこともあるので、持ち出すPCにどこまでセキュリティをかけるかが、一つの判断基準かと思います。

個人的には、windows起動時のPIN入力とBitlockerの保護の2つがあれば良いと思います。
どちらも回復キーがあれば解除することができるので、対応するのもそこまで手がかからないです。