ここが変わったWindows Vista 100連発! ― 第89回
【Vista 100連発 特別編】
Vistaの暗号化機能 BitLockerを本気で試してみた
2008年07月06日 12時00分更新
起動キーと回復パスワードは複数保存が基本
準備ツールで起動ボリュームを作成したら、いよいよ暗号化だ。コントロールパネルにある「BitLockerドライブ暗号化」を選択する。
すると、BitLockerで暗号化できる対象のHDDが一覧されるので、OSボリューム(ほとんどの場合はCドライブ)の下にある「BitLockerをオンにする」をクリックする。
 | コントロールパネルから「BitLockerドライブ暗号化」を実行。対象となるボリュームを選んで「オンにする」をクリック |
|---|
まずは起動キーの設定を行なう。今回はUSBメモリーのみを使用するので、鍵を保存するUSBメモリーをパソコンに装着して、「スタートアップUSBキーを要求する」を選択。該当のUSBメモリーに鍵を保存する。
 |  |  | ||
|---|---|---|---|---|
| TPMのないごく普通のパソコンでUSBメモリーをキーにできるよう設定した場合、選択できるのは3つめの項目だけ | 起動キーにするUSBメモリーを選択 | 起動キーとは別に回復パスワードを保存する。起動キーの中に保存してもいいが、印刷や複製も用意しておくべき |
続いての「回復パスワードの保存」は、48桁のパスワードを保存、または印刷する作業だ。回復パスワードは起動キーのUSBメモリーを紛失したり、起動ボリュームになんらかの変更があった場合などに使用する。暗号化ボリューム上には保存できないので、印刷したりUSBメモリーに保存する。
ちなみに起動キーや回復パスワードの複製は、BitLockerで暗号化を行なったあとにもできる。回復パスワードのファイル自体は単なるテキストデータなので、自分宛にメールで送っておくという手もある。どちらも複数用意しておくべきだが、これらが盗まれたりすれば、せっかくの暗号化も無意味になってしまう。扱いは慎重を要する。
 |  | |
|---|---|---|
| 暗号化後に起動キーや回復パスワードを複製するには、赤枠内の「BitLocker キーの管理」を実行する | ||
最後のダイアログでは、「BitLockerシステムチェック」を行なうか否かを指定するが、デフォルトのまま「続行」していい。その際には、回復パスワードを保存したUSBメモリーをUSBポートに挿しておくように。続行するとパソコンは再起動されて、BIOSからUSBメモリーにアクセスできるかどうかが確認される。
 | BitLockerシステムチェックでは、BIOSがきちんとUSBメモリーを読めるかどうかが確認される。Vistaを使うようなパソコンならまず問題はないが、もしNGとなれば暗号化は行なわれない |
|---|
暗号化にはかなりの時間がかかる
再起動後にWindowsにログオンすると、自動で暗号化が始まる。暗号化の処理中もWindowsは使える。暗号化処理はVistaの「ロープライオリティI/O」を利用して、優先度の低いディスクアクセスとして処理しているのだろう。
 |  | |
|---|---|---|
| 再起動すると、暗号化がはじまる。バックグラウンドで行なわれており、暗号化中も普段の作業をできるが、未使用時に行なった方が安全ではある | ||
ただし、暗号化自体はかなり時間がかかる。特にデータ量が多く空き領域が少ないボリュームほど時間がかかる。テストでは容量144GB程度、使用領域25GB程度のOSボリュームを暗号化したのだが、ぴったり90分の時間がかかった※1。暗号化処理の進展を見ていると、データがある部分の暗号化には、1%分の処理に3分も要している場合があった。
※1 テストに使用したマシンの主な仕様は、CPU:Pentium D 930(3GHz)、メモリー:1GB、HDD:160GB SATA(7200rpm)など。
 | 暗号化作業中のHDDは、エクスプローラ上では赤く表示される |
|---|
 |  | |
|---|---|---|
| 暗号化終了後に再起動をかけると、BIOS処理に続いてOSの起動処理に入ったとき、このような画面が出てUSBメモリーの挿入と再起動をうながされる | 正当な起動キー入りのUSBメモリーを挿入して起動すると、起動キーを認識してOSが起動する。以降は通常のVistaと同じだ |
