自宅で使う Windows11 Home「デバイスの暗号化」はオフがいい理由

IT

ノートパソコンの持ち出し中に、紛失や盗まれるおそれはあります。
その場合に備えて内蔵ストレージや外部記憶装置を暗号化することは意味があります。

ただ、BitLockerと呼ばれる暗号化機能には注意を要します。

Windows10/11 の Homeエディションでは、BitLocker暗号化がデフォルトでオンとなっているからです。

この機能は、個人が自宅で使う場合には要らないと思われます。
個人的には、オフにしたいものです。

今回は、BitLockerの概要、「デバイスの暗号化」と「BitLockerドライブ暗号化」の違いについて紹介します。

BitLockerとは

マイクロソフトのサポートには
「BitLockerは、ドライブを暗号化してデータを保護する Windowsセキュリティ機能です。この暗号化により、誰かがオフラインでディスクにアクセスしようとしても、そのコンテンツを読み取ることができません。」とあります。
また「BitLockerは、機密情報を安全に保つため、デバイスが紛失または盗難にあった場合に特に重要です。使いやすく、Windowsオペレーティングシステムとシームレスに統合されるように設計されているため、セットアップと管理が簡単です。」と言っています。

内容を整理すると

・ドライブを暗号化してデータを保護する
・そのため、誰かがオフラインでディスクにアクセスしようとしても読み取ることができない
・例えば、デバイスが紛失または盗難にあった場合に機密情報の安全を確保できる
・Windows OS と一体化して利用できるように設計されているので管理が簡単

ということになります。

「デバイス暗号化」と「BitLockerドライブ暗号化」

また、マイクロソフトは、BitLockerの2つの機能に言及しています。
2つの機能とは「デバイス暗号化」と「BitLockerドライブ暗号化」です。

「デバイス暗号化」

サポート対象:Windows Home、Windows Pro以上のエディション

「デバイス暗号化」は、使いやすさを考慮して設計
※通常は自動的に有効になる

OSシステムドライブと固定ドライブに対して BitLocker暗号化を行います。
複雑なセキュリティ設定の管理が不要です。
※外部USBドライブは暗号化されない

「BitLockerドライブ暗号化」

サポート対象:Windows Pro以上のエディション

「BitLockerドライブ暗号化」は、高度なシナリオ向けに設計
※手動で暗号化できる

「デバイス暗号化」と「BitLockerドライブ暗号化」の暗号化技術は同じ

「デバイス暗号化」は、BitLocker 暗号化技術が使われる点で、「BitLockerドライブ暗号化」と同じです。

ただ、先に見たように、サポート対象、暗号化される対象が異なります。

デバイスやドライブの暗号化が役立つ場面

パソコンに強固なパスワードを設定しても、パソコン自体が盗まれてSSDなどのストレージが外されると、その内部情報が見られてしまいます。
※パソコン自体のパスワード設定が不問とされる

その場合でも、BitLockerの暗号化がされていると、SSDなどのストレージがパソコンから取り外されても、データは暗号化状態のままです。
この暗号化されたデータを読み取るには回復キーの入力が必要です。

つまり、パソコン自体が盗まれる、SSDなどのストレージが外される、という場面でのセキュリティとなります。

デバイスやドライブの暗号化の弊害

デバイスやドライブの暗号化のセキュリティは鉄壁です。

ただ、弊害もあります。

・パソコンが壊れたときのデータ復旧
・SSDの交換
・OSが正常起動しなくなってシステムの自動修復が実行されたとき
・回復パーティションや回復ドライブ経由でOSをリカバリするとき
などは、回復キーの入力が必要です。

さらに
・デバイスのファームウェアを更新
・Windows Update の失敗
・パソコンの強制終了
・BIOSのアップデート
・メモリの増設
・ハードウェアの構成変更
などによっても、システムが不正アクセスと誤認識して回復キーの入力を求めてくることがあります。

なかでも、デバイスのファームウェア更新、Windows Update の失敗、パソコンの強制終了、などは日常のことです。

回復キーは、自動作成された48桁のランダムな数値です。
もちろん、回復キーを知っていれば済むことですが、Windows11 Home の「デバイス暗号化」は自動的に有効になっているため、その存在自体が意識されず、回復キーを控えていないことが多いと言えます。

「BitLocker回復」画面が出たとき、「このドライブの回復キーを入力してください」欄に回復キーを入力できなければ、その Windowsパソコンは起動できません。

他のいかなる方法でも起動できないので、そのパソコンは初期化するしかありません。
そうなると、元々保存していたデータは全て消失します。

デバイスやドライブの暗号化には、そうした弊害もあります。

Windows11 Home「デバイスの暗号化」はオフがいい理由

自宅でのみ使うなら、Windows11 Home「デバイスの暗号化」はオフがいいと思います。

なぜならこの機能は、パソコンの紛失や盗まれる想定での情報漏洩対策だからです。
主にノートパソコンの持ち出し場面において、暗号化の意味があります。

逆に、そもそも持ち出さないパソコンなら、暗号化の意味は薄いと言えます。

そのため筆者は、自宅で使うデスクトップPCの暗号化はオフにしています。

ただし自宅であっても、窃盗の不安があるならオンでいいと思います。

「デバイスの暗号化」をオフにする手順

Windows11 Home での「デバイスの暗号化」をオフにする手順は以下になります。

「スタート」ボタンから「設定」をクリックします。

「設定」画面から、「プライバシーとセキュリティ」の「デバイスの暗号化」をクリックします。

「デバイスの暗号化」の「オン/オフ」変更画面になります。

「オン」になっていたので、クリックして「オフ」にします。

「デバイスの暗号化の無効化」確認画面が開いたら「オフにする」をクリックします。

暗号化解除が進行中になります。
筆者の場合は15分くらいで終わりました。

さいごに

Windows11 Home の「デバイスの暗号化」は、パソコンの紛失や盗難時に情報を守るための強力な機能ですが、個人で利用する時には「回復キー」を自分で管理しなければならない点に気を付ける必要があります。
「デバイスの暗号化」が自動的に有効になっていて、そのことを知らないなら、後に回復キーの入力を求められても対処のしようがありません。

やはり、Windows11 Home「デバイスの暗号化」はオフがいいと思います。

参考になりましたら幸いです。

スポンサーリンク
タイトルとURLをコピーしました