「Windows 11 ProにアップグレードしたけれどBitLockerの設定方法がわからない」。こうした声は、中小企業のIT管理者から多く聞かれる。Windows 11では、セキュリティ要件が強化され、企業環境では暗号化が実質的に必須となった。特にリモートワーク環境では、紛失・盗難時の情報漏洩リスクを下げるため、BitLockerによるディスク暗号化が重要だ。
この記事では、2026年現在のWindows 11 Pro環境でBitLockerを正しく設定する方法と、企業環境での運用のポイントを解説する。Active Directory環境での一括展開、Intuneでの管理、回復キーのバックアップ方法など、実務で必要な情報を網羅する。
2020年以降、リモートワーク中心の働き方が定着した。社外でPCを使う機会が増えたことで、紛失・盗難時の情報漏洩リスクが高まっている。カフェや移動中にPCを置き忘れた、車上荒らしでPCを盗まれたといった事例は珍しくない。
BitLockerでディスクを暗号化しておけば、万が一PCが第三者の手に渡っても、データを読み取られることはない。パスワードや回復キーなしではWindows自体が起動しないため、物理的に盗まれてもデータは守られる。
Windows 11では、TPM 2.0が必須要件となった。TPM(Trusted Platform Module)は、暗号化キーを安全に保管するためのセキュリティチップだ。Windows 10まではTPMなしでも動作したが、Windows 11ではTPM 2.0搭載が必須となった。
このTPM 2.0を活かすのがBitLockerだ。BitLockerはTPMと連携して、起動時に自動的にディスクを復号化する。従来の暗号化ソフトのように、毎回パスワードを入力する手間がない。
個人情報保護法やGDPRでは、個人情報を扱う企業に対して「適切な安全管理措置」を求めている。具体的には、暗号化による技術的安全管理措置が挙げられる。
BitLockerでディスク全体を暗号化しておけば、この要件を満たせる。監査時に「ディスク暗号化を実施している」と証明できる点も大きい。
BitLockerは、Windows Vista以降のPro/Enterprise/Educationエディションに標準搭載されているディスク暗号化機能だ。ディスク全体を暗号化し、不正アクセスからデータを保護する。
BitLockerは、AES-128またはAES-256の暗号化アルゴリズムを使う。2026年現在のデフォルトはXTS-AES 128ビットで、これは従来のAES-CBCよりも安全性が高い。
暗号化キーはTPMに保管される。Windows起動時、TPMがシステムの整合性を確認し、改ざんされていなければ自動的にディスクを復号化する。ユーザーはパスワード入力なしで通常通りWindowsを使える。
万が一、マザーボードの交換やTPMの故障が起きた場合に備え、「回復キー」をバックアップしておく。回復キーは48桁の数字で、これを使えば手動でディスクを復号化できる。
TPM 2.0は、マザーボードに搭載されたセキュリティチップだ。最近のビジネスPCであれば標準で搭載されている。TPMの役割は、暗号化キーを物理的に保護すること。ソフトウェアだけで暗号化すると、メモリダンプ攻撃などでキーが盗まれるリスクがあるが、TPMを使えばこのリスクを減らせる。
Windows 11では、TPM 2.0が必須となったため、BitLockerの導入ハードルが下がった。Windows 10時代はTPMがないPCも多かったが、Windows 11対応PCは全てTPM 2.0を搭載している。
Windows 11 ProでBitLockerを有効化する手順は以下の通り。
まず、PCがTPM 2.0を搭載しているか確認する。
1. Windowsキー + R を押して「ファイル名を指定して実行」を開く
2. tpm.msc と入力してEnter
3. 「TPMの管理」画面が開く
4. 「状態」欄が「準備完了」であることを確認
もし「TPMが見つかりません」と表示される場合、BIOS/UEFI設定でTPMを有効化する必要がある。PCの再起動時にF2またはDelキーを押してBIOS設定画面に入り、「Security」→「TPM Device」を「Enabled」にする。
1. 設定 → プライバシーとセキュリティ → デバイスの暗号化 を開く
2. 「BitLocker」セクションで「有効にする」をクリック
3. 回復キーのバックアップ方法を選択する
– Microsoftアカウントに保存(個人用PC向け)
– USBドライブに保存
– ファイルに保存(企業環境ではこれを選び、社内の安全な場所に保管)
– 印刷する(物理的に金庫などに保管)
4. 暗号化する範囲を選択
– 「使用済みディスク領域のみを暗号化する」(新規PCならこちらが速い)
– 「ドライブ全体を暗号化する」(既存PCで確実に暗号化したい場合)
5. 暗号化モードを選択
– 「新しい暗号化モード」(Windows 10 1511以降対応、推奨)
– 「互換モード」(古いOSでも読み取る必要がある場合)
6. 「暗号化の開始」をクリック
暗号化には数時間かかる場合がある。暗号化中もPCは通常通り使えるが、シャットダウンせずにそのままにしておく方が安全だ。
回復キーは48桁の数字で、これがないとTPM故障時にデータを取り出せなくなる。企業環境では、以下のいずれかの方法で管理する。
個人の判断でUSBメモリに保存するのは避けるべきだ。USBメモリもPCと一緒に紛失するリスクがある。
Active Directory環境では、グループポリシーを使ってBitLockerを一括展開できる。
1. グループポリシー管理コンソールを開く
2. 新しいGPOを作成(例: 「BitLocker Enablement Policy」)
3. コンピューターの構成 → ポリシー → 管理用テンプレート → Windowsコンポーネント → BitLockerドライブ暗号化 → オペレーティングシステムのドライブ
4. 「スタートアップでの追加の認証を要求する」を有効化
– 「互換性のあるTPMを持つBitLockerを許可する」をチェック
– 「TPMスタートアップを要求する」をチェック
5. 「回復情報をActive Directory ドメインサービスに保存する方法を選択する」を有効化
– 「回復パスワードとキーパッケージをバックアップする」を選択
6. 対象のOUにGPOを適用
これで、対象PCが次回起動時に自動的にBitLockerが有効化され、回復キーがActive Directoryに保存される。
Active Directoryに保存された回復キーは、PowerShellで確認できる。
Get-ADComputer -Identity "PC01" -Properties "msTPM-OwnerInformation" | Select-Object Name, "msTPM-OwnerInformation"
または、Active Directory ユーザーとコンピューターのGUI上で、コンピューターのプロパティから「BitLocker回復情報」タブを見ると確認できる。
Intune環境では、エンドポイント保護ポリシーでBitLockerを管理する。
1. Intune管理センター(endpoint.microsoft.com)にログイン
2. エンドポイントセキュリティ → ディスク暗号化 → ポリシーの作成
3. プラットフォーム: Windows 10以降、プロファイル: BitLocker を選択
4. 設定:
– 「BitLockerを有効にする」: はい
– 「回復キーをAzure ADに保存」: はい
– 「暗号化方法」: XTS-AES 128ビット
– 「システムドライブの暗号化を要求」: はい
5. 割り当て先を選択(「すべてのデバイス」または特定のグループ)
6. 作成
これで、対象デバイスに自動的にBitLockerが適用され、回復キーはAzure ADに保存される。
Intune管理センターで、デバイス → 対象デバイスを選択 → 回復キー から確認できる。
原因: TPMの状態が変化した(BIOSアップデート、マザーボード交換、セキュアブート無効化など)
対処法:
1. 回復キーを入力してWindowsを起動する
2. BitLockerを一時的に無効化する
`cmd
manage-bde -protectors -disable C:
`
3. PC再起動後、BitLockerを再度有効化する
`cmd
manage-bde -protectors -enable C:
`
原因: ディスクエラー、バッテリー切れ、強制シャットダウンなど
対処法:
1. ディスクエラーをチェック
`cmd
chkdsk C: /f
`
2. BitLockerの状態を確認
`cmd
manage-bde -status C:
`
3. 暗号化を再開
`cmd
manage-bde -resume C:
`
原因: バックアップを取っていなかった、または保管場所を忘れた
対処法:
それでも見つからない場合: データを取り出すことはできない。OSを再インストールするしかない。
「暗号化するとPCが遅くなるのでは?」という懸念がある。しかし、2026年現在のPCであれば、体感できるほどの速度低下はない。
ある企業で、同じPC(Dell Latitude 7430、Core i7-1265U、SSD 512GB)でBitLocker有効前後のベンチマークを取った。
| ランダム読み込み | 3200 MB/s | 3180 MB/s | -0.6% |
|---|
| ランダム書き込み | 2800 MB/s | 2750 MB/s | -1.8% |
| Windows起動時間 | 12秒 | 12.5秒 | +0.5秒 |
| Officeアプリ起動 | 2.1秒 | 2.1秒 | 変化なし |
結果として、ほぼ体感できない程度の差しかなかった。最近のCPUにはAES暗号化のハードウェアアクセラレーション(AES-NI)が搭載されているため、暗号化処理がCPUリソースを圧迫しない。
Symantec Endpoint Encryption、McAfee Complete Data Protectionなどのサードパーティ製品もある。しかし、これらは以下の理由で中小企業には向かない。
Windows標準のBitLockerであれば、追加コストなし、運用もシンプル、Microsoftのサポートが続く限り使える。
Windowsには、ファイル単位で暗号化できるEFS(Encrypted File System)もある。しかし、EFSには欠点が多い。
企業環境であれば、ディスク全体を暗号化するBitLockerの方が確実だ。
Windows 11 Proを使っている企業であれば、BitLockerは必ず有効化すべきだ。リモートワーク環境でのPC紛失・盗難リスクは無視できず、個人情報保護法やGDPR対応の観点からも暗号化は必須となっている。
BitLockerの導入は難しくない。Active Directory環境ならグループポリシーで一括展開でき、Intune環境でもエンドポイント保護ポリシーで簡単に設定できる。回復キーをADまたはAzure ADに自動バックアップしておけば、運用も安心だ。
パフォーマンスへの影響はほぼなく、最近のPCであれば体感速度は変わらない。追加コストもかからないため、導入しない理由はない。
—
IT管理者としてセキュリティ対策のスキルを活かしたいなら、セキュリティエンジニア向けの求人をチェックしてみよう。BitLockerやIntune、Active Directoryの実務経験は、企業から高く評価される。