TPMなしでBitLockerセキュリティを有効にする方法

Microsoft の BitLocker は、ドライブを暗号化してデータを安全に保つのに非常に便利です。特に、コンピュータにTrusted Platform Module (TPM)が搭載されている場合は便利です。ほとんどの新しいマシンでは、BitLocker を有効にするのは非常に簡単です。コントロール パネル > システムとセキュリティ > BitLocker ドライブ暗号化 でスイッチを切り替えるだけで、準備完了です。ただし、一部の古いシステム、仮想マシン、カスタム ビルドなど、TPM チップが搭載されていない場合は、少し複雑になります。それでも、運がないわけではありません。いくつか設定を微調整することで、TPM なしで BitLocker を動作するように設定できますが、少し手動で、追加の手順が必要になります。

問題は、TPMが搭載されていない場合、起動時にパスワードかUSBメモリを使った認証が必要になることです。少し面倒ですが、一応動作します。ただし、この方法では、ドライブのロック解除に手動入力やデバイスが必要になるため、セキュリティが強化されます。セキュリティを確保したいのであれば、何もしないよりはましです。ただし、正直に言って、この方法は少し時間がかかり、パスワードやUSBメモリを忘れるとロックアウトされるなど、予期せぬ問題が発生する場合があります。この点に留意して進めてください。

TPMのないシステムでBitLockerを有効にする方法

方法1: グループポリシーを使用してTPMなしでBitLockerを許可する

この方法は、WindowsにTPMモジュールなしでBitLockerを有効化しても問題ないことを伝えるというものです。これは、カスタムセットアップや仮想マシンで作業する場合、あるいはハードウェアにTPMモジュールが搭載されていない場合に便利です。この変更により、Windowsは起動時にパスワードまたはUSBキーを受け入れるようになります。これは、このようなケースでは標準的な方法です。

やるべきことは次のとおりです:

• ローカルグループポリシーエディターを開きます。 を押しWindows + R、入力してgpedit.mscEnterキーを押します。簡単ですよね？ドメインに参加しているマシンの場合は、ITチーム経由でポリシーをプッシュするか、ドメインコントローラーを使用する必要があるかもしれません。
• [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [BitLocker ドライブ暗号化] > [オペレーティング システム ドライブ]に移動します。
• 「起動時に追加の認証を要求する」というポリシーを見つけて有効にします。これをダブルクリックして「有効」に設定し、オプションで「互換性のあるTPMなしでBitLockerを許可する（USBデバイスにパスワードまたはスタートアップキーが必要）」にチェックを入れます。

なぜそうするのでしょうか？Windowsは通常、TPMを搭載していないドライブの暗号化を、特に指示がない限りブロックするからです。このポリシーを有効にすると、Windowsは基本的に「はい、分かりました。パスワードやUSBメモリを使っても大丈夫です」と言っているようなものです。

完了したら、 「コントロールパネル」>「システムとセキュリティ」>「BitLockerドライブ暗号化」に進み、ドライブの横にある「BitLockerを有効にする」をクリックします。プロンプトが表示されたら、パスワードオプションまたはUSBキーのいずれか、ご自身の環境に適したものを選択してください。

回復キーを保存するよう求めるプロンプトがいくつか表示されます。これは非常に重要です。このキーはパスワードマネージャーや印刷物など、安全な場所に保管してください。パスワードを忘れた場合やUSBデバイスを紛失した場合などに必要になります。

設定が完了したら、ノートパソコンを再起動し、BitLockerプロンプトでパスワードを入力するか、USBメモリを挿入してドライブのロックを解除します。その後、暗号化プロセスが開始され、バックグラウンドで静かに実行されます。同じBitLockerドライブ暗号化ウィンドウ、またはトレイアイコンで進行状況を確認できます。トレイアイコンで進行状況を確認できる場合もあります。

注：一部のシステムでは、ディスクサイズとデータ量に応じて最初の暗号化に時間がかかる場合がありますが、複雑なものではありません。暗号化中もシステムを通常通りご利用いただけます。

ちょっとしたヒント：すぐにうまくいかない場合は、再起動したり、オプションを切り替えたりすると改善することがあります。Windowsはこうした点がおかしくなることがあり、特にグループポリシーを初めていじる場合はその傾向が顕著です。

オプション 2: コマンドラインを使用する (制御を好む上級ユーザー向け)

コマンドラインに慣れている場合は、manage-bdeコマンドやPowerShellを使って、TPMなしでBitLockerを直接有効化することもできます。例えば、PowerShellでは管理者として以下のコマンドを実行します。

Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes128 -TpmProtector

ただし、セットアップに TPM がないため、TPM プロテクターをスキップし、代わりに次のようなパスワード プロテクターを追加します。

Manage-Bde -on C: -Password

これらのコマンドはよりシンプルですが、コマンドラインの知識が多少必要です。それでも、すべてを手動で行うのは満足感があり、暗号化の管理方法を制御できます。

留意点:

どの方法を選ぶにしても、回復キーは必ず安全に保管してください。パスワードを忘れたり、ロックの問題が発生した場合の最後の手段となります。また、ドライブのサイズによっては暗号化に多少時間がかかる場合があるので、それを考慮して計画を立ててください。

結局のところ、TPMなしでBitLockerを有効にするのは、どこを見ればよいかがわかればそれほど難しくありません。ポリシーと設定を少し調整するだけです。確かに少し手間はかかりますが、うまく機能します。再起動すれば、追加のハードウェアを必要とせずにドライブが保護されます。

まとめ

• グループ ポリシー「互換性のある TPM なしで BitLocker を許可する」を有効にします。
• [コントロール パネル] > [システムとセキュリティ] > [BitLocker の管理]に移動します。
• 希望するロック解除方法（パスワードまたは USB）を選択します。
• 回復キーは必ず保管してください。紛失しないでください。バックアッププランとしてお考えください。
• 光沢のある TPM チップがなくても、再起動して暗号化されたドライブをお楽しみください。

まとめ

TPMなしでBitLockerを動作させるのは最初は少し面倒ですが、設定を変えてしまえばかなり簡単です。Windowsがなぜ複雑なのかは分かりませんが、まあ、それがMicrosoftのやり方です。回復キーを安全に保管しておけば、新しいハードウェアを必要とせずにドライブをロックダウンできます。誰かの時間と手間を省くのに役立つことを願っています！

---

---