前回更新プログラムの影響でBitLocker 周りで最近トラブルも多いことをご紹介。そしてその際の対処法として、BitLocker回復キーの確認方法などについてご紹介しました。
この中でもちょっと触れましたが、デバイスを保護する方法として、「BitLockerによる保護」の他、Windows には、「デバイスの保護」という機能があることにも触れ、この機能の違いについてもちらっとご紹介しました。
さて今回は内容的には、基本操作からはちょとはずれますが、Windows というOSを活用する上で知っておいてもらいたい機能の一つともなる「デバイスの保護機能」について取り上げてみました。
【デバイスの暗号化とBitlocker暗号化の違い】
昨今の PC はその性能も向上し、さらにセキュリティ的にもよりセキュアな環境で利用できるようになりつつあります。従来であれば法人向けの PC でないと搭載していることのなかった TPM モジュールも標準搭載し、PCの起動ディスク、起動方法、周辺機器の認識と管理などを定義しているファームウェアでもある BIOS (Baisic Input Output System)も、よりセキュアな BIOSの仕様に関する新たな定義となる UEFI(Unified Extensible Firmware Interface)へと変わりました。
こうしたハード&ソフト的な、スペックの向上とともにデバイスを保護ずる方法も変わってきました。
-- Professional エディション以上でなくてもデバイスを保護:
従来、HDDドライブなどのデバイスを暗号化し保護する方法として Windows には、「BitLocker による保護」が用意されていました。ただしこれは、あくまでも Professional エディションなどの OS を搭載している PC 向けの機能。一般ユーザーの多くが利用する Home エディションでは利用できない機能でした。
昨今こうしてデバイスの性能が向上し一般ユーザーが使用するPCであっても、それなりにセキュアな環境が整いつつある今日。ある一定の仕様を満たす PC であれば、デバイスを保護する機能が Windows 10 より導入されました。これが「デバイスの保護」という機能になります。
従来からある「BitLocker による保護」との違いは以下の通りです。
- BitLocker:Windows 10 などで、Professional エディション、Enterprise エディションなどの上位OSを搭載したデバイス
- デバイスの保護:TPMなど一定の仕様を満たす Windows の Home エディションを含むOSを搭載したデバイス
「BitLocker による保護」の場合には、OSの仕様を満たしていないPCでは、表示すらされません。
逆に、Windows 11 Home とかであっても、昨今の PC であれば、セキュアブートにも対応し、TPMモジュールも搭載しているので、BitLockerは利用できなくても、「デバイスの保護」は利用が可能なこともあります。
前回の記事の中でも一部ご紹介しましたが、DELL や Dynabook、富士通などメーカーによっては、機種によっては既定でこの「デバイスの保護」が有効になっているようです。
【デバイスの暗号化の有効・無効】
Windows 11 Pro の例ですが、「デバイスの保護」機能は以下のところにあります。
スタート > 設定 > プライバシーとセキュリティ > デバイスの暗号化 という項目があります。
Windows 10 の場合には、
スタート > 設定 > 更新とセキュリティ と開くと、左ペインに、「デバイスの暗号化」という項目があります。
ちなみに、手持ちのデバイスでは、一番新しいPCを除くと、"デバイスの暗号化" に対応していないので、項目すら表示されません。
なので参考までに、「[Windows 10] デバイスの暗号化をオン(有効)にする方法を教えてください/富士通」のサイトを例にご紹介すると以下のような感じで有効化が可能になります。
富士通の上記のサイトのアドバイスの中でも、「管理者のアカウントでサインインしている状態で「デバイスの暗号化」が表示されない場合は、お使いの機種はデバイスの暗号化に対応していません」と紹介されているように、対応していないデバイスの場合には、こうした項目が表示されません。
-- デバイスの暗号化に必要なシステム要件:
さてではもうちょっと具体的にこのデバイスの暗号化が有効になるためのシステム要件についてみていきます。
「デル製システムにおけるWindowsデバイスの自動暗号化/BitLocker」(DELL)のWebサイトに以下のようにありました。
- BIOSは、UEFIモードであること
- TPMまたはPTTが有効であること
- セキュアブートが有効になっていること
- Windows 10 でコア分離が有効になっていること
TPMには対応している、UEFIモードは有効だし、セキュアブートも問題ないといったケースでも「デバイスの暗号化」が表示されないというケースもあります。
この場合、システム情報(msinfo32.exe)を管理者として起動すると、利用できない理由が表示されています。上記のうちのPCだと、そもそもTPM自体に全く対応していないので、その仕様的に論外ということになりますね。
ここで確認してみた時に、「デバイス暗号化のサポート」のところに、「デバイスの自動暗号化が失敗した理由:」という項目があり、何が要因で利用できないかが表示されます。「TPMは使用できません」「PCR7バインドはサポートされていません」「許可されないDMA対応バス/デバイスが検出されました」などといった表示があれば、「デバイスの自動暗号化」が利用できないケースは、そのあたりから確認していく必要があるようです。
もちろん仕様的に対応できないケースもありますが、それ以外にも何かが要因でうまく機能していないだけのケースもあるので、その要因は様々なようです。PCの仕様的には対応しているはずであって、よくわからない場合には、PCメーカーのサポートなどに相談してみるのも一つの方法かと思います。
-- 暗号化を無効にしないといけないケース:
普段使いでは問題ないと思いますが、ちょうど先日も富士通のノートPCで、BIOS の更新をお手伝いをした際に、その手順でも紹介されてましたが、BIOSの更新などの際には、デバイスの暗号化をいったん無効にする必要がありました。
以前であれば、そんなこと気にしないで Update してたわけですが、デバイスの暗号化が有効になっていた Windows 11 Home の PC でしたが、こうしたPCの場合には事前に暗号化をオフにする必要があるわけですね。更新が終わったら、また必要に応じて暗号化を有効にします。
暗号化の解除していると、「暗号化を解除しています」という表示になって、それなりに時間もかかります。この間、他の作業をしていても問題ありませんが、解除が終わるまでしばらくお待ちいただく必要があります。
前回ご紹介した 「KB5012170」 の更新についても失敗する場合には、BitLocker 保護をいったん中断して行う必要もあるなど、デバイスの保護やBitlockerによる保護の解除が必要なケースもあるので、Windows Update や BIOS の更新など 状況によって毎回 有効・無効 を切り替える必要が出てきます。
<参照>