窓辺の小石 第161回 暗号数字

画像提供：マイナビニュース

Windowsには、BitLockerと呼ばれるドライブの暗号化機能がある。Homeエディションには、BitLockerがないと説明されているが、Homeエディションでも利用できる「デバイスの暗号化」（Windowsデバイス暗号化とも）は、実はBitLockerの簡易版だ（表01）。

「デバイスの暗号化」は、Windows 11の全てのエディションで利用できるが、モダンスタンバイが必要など、BitLocker自体よりも動作条件が厳しい。しかし、条件を満たしている場合、デバイスの暗号化は自動的に適用される。

これに対して、BitLockerは、Pro/Enterprise/Educationエディションでのみ有効で、メーカー製PCなどの場合、初期状態で有効にされていることがある。

どちらが有効なのかを見分ける方法だが、「設定 ⇒ プライバシーとセキュリティ ⇒ セキュリティ」に「デバイスの暗号化」（写真01）があれば、すでにデバイスの暗号化が有効になっている。また、コントロールパネルに「BitLocker ドライブ暗号化」アイコン（写真02）があるなら、BitLockerが利用できる状態だ。Pro以上のエディションであれば、ユーザーが再インストールしたときの状況で、両方が使える状態かつ、どちらも有効になっていないときがある。

また、暗号化されたドライブの情報などは、PowerShellの「Get-BitLockerVolume」コマンドで得られる。

どちらも起動ドライブ（Cドライブ）を含む、ボリューム単位（ファイルシステム単位）の暗号化を行う。これにより、ドライブが取り外されて他のマシンに装着された場合勝手に中身を見られてしまうことがない。また、ログインせずにWindowsを再インストールするにはBitLockerやデバイス暗号化を解除しない場合にはパーティションを削除して上書きする必要がある。

BitLockerは、どちらかというとモバイルPCを想定した保護技術だ。デスクトップPCに適用することを妨げるものはないが、外に持ち出さないので置き忘れなどの問題はない（盗難される可能性はあるが……）。高速化されているとはいえ、オーバーヘッドはゼロはなく、外に持ち出すことのないデスクトップPCでは、必ずしもBitLockerを有効にする必要はない。そもそもBitLockerの適用がユーザー選択となっているのも、こうした理由があるからだろう。「デバイスの暗号化」は、モバイルPCを想定したモダンスタンバイなどの仕様が要求されるため、条件を満たせば自動で適用される。