2021年6月に「BitLocker考」と言う記事を書かせて頂いたのですが、今年の秋に登場したWindows11 24H2から、この機能が初期値インストールされることになると言うことで、あちこちの投稿記事やyoutubeなどで注意するように、と書かれています。
弊社では上記記事でも書かせて頂いた通り「BitLocker機能は無効にした方が良い」と考えており、その理由については省略いたしますが、先日お客様のパソコンを拝見した際に改めてその思いを強くした次第です。
お客様のパソコンはメーカーダイレクトショップで2年程前に購入なさったWindows11Homeです。購入後WindowsUpdateなどを実施されておりますので、現在のバージョンは以下のようにWindows11Home 23H2となっています。
このあとまさかなあ...と思いつつBitLocker機能を確認したところ
画面が見づらくて申し訳ありません。
「BitLockerデバイス暗号化」がON状態になっていました。
ネットに載っている情報ではWindows11 24H2からデバイス暗号化が標準ONになる、と言う記載が多く見られるのですが、現実的にはこのお客様パソコンのように23H2で既に暗号化がONになっているケースもあるようです。
この画面には「BitLockerドライブ暗号化」という項目があります。
このドライブ暗号化はWindows10の頃からありますが、この機能は「Windows Pro、Enterprise、Education の各エディションで使用でき」、「デバイス暗号化」は「Windows Home を実行するデバイスを含む幅広いデバイスで使用」可能とMicrosoftのページで解説されています。
つまり24H2以前のバージョンを含む含まないはともかくとして、これからはデバイス暗号化がどのエディションでも標準で搭載されるようになる(若しくは既にそうなっている)という認識を持っておいた方が良い、ということですね。
ではドライブ暗号化とデバイス暗号化って何が違うんでしょうか。
上記のMicrosoftの解説ではデバイス暗号化は「オペレーティング システム ドライブと固定ドライブに対して BitLocker暗号化を自動的に有効にする」と書いてありますが、まあ一般的なケースではそれらはすべてHDDなりSSDなりのドライブに格納されている訳ですので、ここで言うドライブとデバイスの違いはほぼないんじゃないでしょうかね。もしかすると将来「ドライブ暗号化」は「デバイス暗号化」機能に包括されていく過渡期的な表現なのかなあという気がしないでもありません。
それにしても怖いですね。
これまで何回か書かせて頂きましたが、現在のWindowsパソコンはインストール時にMicrosoftアカウントにログインすることが求められます。ですので当然BitLockerデバイス暗号化機能(もしくはドライブ暗号化)はONでセットアップされることになります。
個人で利用されている方の多くが、言い方は悪いですがその場しのぎでMicrosoftアカウントを新たに作ってインストールを行い、インストールが終わるころにはMicrosoftアカウントのパスワードを忘れてしまい、やがてアカウントを作ったことすら忘れてしまうケースが多いのではないでしょうか。
またセットアップを業者さんにお願いするケースもあると思いますが、使用したMicrosoftアカウント情報が業者さんから利用者へしっかり伝達されていますでしょうか。
BitLocker回復キーを調べるためにはMicrosoftアカウントにログインする必要があると言うことをあらかじめ把握してMicrosoftアカウント作成・管理しないといざというとき大変なことになってしまいます。
Microsoftアカウントにログインするための情報が、BitLocker回復キーの入力を求められているパソコンにログインしないと分からないと言う状況に陥ってしまった場合は、もう絶望しかないですね😭。
まさか「必要なアカウント情報は紙に書き出して大切に保管しましょう」と言うアドバイスするんでしょうかねえ。
