はじめに:PC暗号化がテレワークの必須セキュリティに
テレワークが当たり前になった現在、会社のパソコンを持ち出す機会が増えています。 カフェで作業したり、自宅で仕事をしたり、移動中にノートパソコンを使ったりすることで、デバイスの紛失や盗難のリスクが高まっています。 もし大切なパソコンが盗まれたら、どうなるでしょうか。 内蔵されたデバイスは、データを失うだけではなく、顧客情報や経営機密といった重要な情報が流出する可能性があります。
こうした危機的な状況を防ぐために、今やPC暗号化は企業のセキュリティポリシーにおいて「あると良い機能」ではなく「必須の機能」となっています。 Windowsの「BitLocker」、macOSの「FileVault」といった暗号化機能は、パソコンの盗難や紛失時に情報流出を防ぐ重要な防壁です。 本記事では、これら暗号化機能の概要から具体的な設定方法まで、テレワーク時代に必知のポイントを詳しく解説します。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
BitLocker とは:Windows の標準暗号化機能
BitLocker の基本概念
BitLockerは、Microsoftが提供するWindows標準のディスク暗号化機能です。 ドライブ全体、または特定のボリュームを暗号化することで、たとえパソコンが他人の手に渡ってもデータへのアクセスを防ぐことができます。 暗号化されたドライブにアクセスするには、正しい認証情報(パスワード、PIN、生体認証)が必要です。 未認証のアクセスでは、ドライブ内のファイルやフォルダを一切読むことができなくなります。
対応するWindows のエディション
BitLockerを利用できるWindowsエディションは限定されています。 Windows 11 Pro、Enterprise、Educationエディションで標準機能として提供されます。 Home エディションを使用している場合は、BitLockerを使用できませんので注意が必要です。 同様に、Windows 10でも Professional、Enterprise、Education エディションでのみ利用できます。
BitLocker を選ぶべき場面
BitLockerは以下のような場面で特に活躍します: 営業職の従業員がクライアント先にノートパソコンを持ち込む場合。 リモートワーク中に自宅や外出先でパソコンを使用する場合。 プロジェクトチームの機密情報を含むパソコンの紛失・盗難対策。 金融機関や医療機関など情報保護が厳しく求められる業界での運用。
FileVault とは:macOS の標準暗号化機能
FileVault の基本概念
FileVaultはAppleが提供するmacOS標準のディスク暗号化機能です。 Macのハードドライブまたはストレージを対象に、完全なディスク暗号化を実現します。 BitLockerと同様に、未認証のアクセスからデータを保護し、盗まれたMacからの情報流出を防ぎます。
###対応するmacOS のバージョン
FileVaultはmacOS 10.13(High Sierra)以降のすべてのバージョンで利用できます。 多くのMacユーザーは既にmacOS 11(Big Sur)以降を使用していると思われますので、ほぼすべてのMacで対応しています。 Monterey、Ventura、Sonoma といった最新版はもちろん、古いバージョンでも利用可能です。
FileVault を選ぶべき場面
FileVaultは以下のような場面で活躍します: デザイナーやエンジニアがクライアント先にMacBook を持ち込む場合。 フリーランサーが外出先で仕事を行う場合。 企業からの支給MacBook上の機密プロジェクトファイルの保護。 個人情報や顧客データを扱うMacユーザーのセキュリティ強化。
BitLocker の具体的な設定方法:Windows 11 Pro の場合
設定を始める前の確認事項
BitLockerを有効にする前に、いくつかの前提条件を確認してください。 まず、Windows 11 Pro以上のエディションであることを確認します。 次に、TPM 2.0(Trusted Platform Module)がシステムに搭載されていることを確認してください。 TPM 2.0がない場合、BitLockerは動作しません。 また、十分なバッテリーがある状態、またはAC電源に接続された状態で作業することが重要です。 暗号化処理は時間がかかる場合があり、途中で電源が切れるとトラブルが発生します。
Step 1:設定アプリを開く
Windows 11で BitLockerを有効にするには、設定アプリを使用します。 画面左下の「Windowsアイコン」をクリックして、スタートメニューを表示させます。 検索ボックスに「BitLocker」と入力すると、候補として「BitLockerドライブの暗号化」が表示されます。 これをクリックして、BitLockerの設定画面を開きます。
Step 2:ドライブの暗号化を開始
BitLockerの設定画面では、暗号化したいドライブが一覧で表示されます。 通常は「OS」と表示されるC:ドライブが対象になります。 「BitLockerを有効にする」ボタンをクリックすると、暗号化の開始ウィザードが起動します。
Step 3:回復キーのバックアップ方法を選択
最も重要なステップが、回復キーのバックアップです。 回復キーとは、BitLockerで暗号化したドライブにアクセスするための「マスターキー」のようなものです。 万が一パスワードを忘れたり、TPMが破損したりした場合、この回復キーがなければドライブの内容にアクセスできなくなります。
バックアップ方法は以下から選択できます:
Microsoftアカウントに保存 Microsoft アカウントにサインインしている場合、回復キーをMicrosoft Accountに自動保存できます。 どのデバイスからでもMicrosoftアカウントにサインインすれば、回復キーを取得できます。 最も便利で、推奨されるバックアップ方法です。
ファイルとして保存 回復キーをテキストファイルとして保存し、USB メモリやクラウドストレージに保存する方法です。 ファイルをダウンロードして、物理的に安全な場所に保管できます。
印刷して保存 回復キーを紙に印刷して、安全な場所に保管する方法です。 デジタル化されていないため、最も安全だと言えます。
Step 4:暗号化スコープの選択
全ドライブを暗号化するか、使用済みスペースのみを暗号化するかを選択できます。 「ドライブ全体を暗号化する」を選択した場合、新しく書き込まれるファイルだけでなく、既存の削除されたファイルもすべて暗号化されます。 セキュリティを重視する場合はこちらを選択してください。
「使用済みスペースのみを暗号化する」を選択した場合、処理が高速に完了します。 ただし、削除されたファイルの復元リスクがあるため、会社のパソコンの場合は「全体暗号化」を推奨します。
Step 5:システムチェックと再起動
設定完了後、システムチェックが実行されます。 PCの再起動が求められますので、大切な作業を保存してから再起動してください。 再起動後、暗号化処理が自動的に開始されます。
FileVault の具体的な設定方法:macOS の場合
設定を始める前の確認事項
FileVaultを有効にする前に、ユーザーアカウントがマシンの管理者権限を持っていることを確認してください。 また、十分なストレージ空き容量があることを確認してください。 FileVaultはディスク全体を暗号化するため、暗号化処理中は他の作業が遅くなる可能性があります。
Step 1:システム環境設定を開く
画面左上のAppleメニューをクリックして、「システム環境設定」を選択します。 macOS の最新版では「システム設定」という名称に変わっている場合があります。
Step 2:セキュリティとプライバシーを選択
左サイドバーから「セキュリティとプライバシー」を探します。 バージョンによっては「プライバシー」や「セキュリティ」として別々に表示されている場合もあります。
Step 3:FileVault タブを選択
設定画面内で「FileVault」タブを探します。 「FileVaultを有効にする」という選択肢が表示されます。
Step 4:回復キーのセットアップ
FileVaultでも、BitLocker同様に回復キーの設定が必要です。 Appleは「iCloud回復キー」として、iCloud アカウントに回復キーを保存することを推奨しています。 iCloudアカウントにサインインすれば、どのAppleデバイスからでも回復キーを取得できます。
ローカルの回復キーを使用することもできますが、この場合、キーを紙に書き出して、安全な場所に保管する必要があります。
Step 5:暗号化の開始
回復キーのセットアップが完了すると、FileVaultの暗号化が開始されます。 暗号化中でも Macは通常通り使用できますが、処理が重くなることがあります。 暗号化処理は数時間から数日かかることがあります。
進行状況は「システム設定」>「セキュリティとプライバシー」>「FileVault」で確認できます。
テレワーク環境における暗号化の運用ポイント
回復キーの社内管理
会社支給のパソコンを暗号化する場合、回復キーの管理が重要です。 従業員が回復キーを紛失すると、トラブル時に対応できなくなります。 IT管理者が一元管理するシステム(例えば Microsoft Intune)を導入し、すべての回復キーを安全に保管することが推奨されます。
リモートワーク従業員への周知
暗号化機能を導入する際は、リモートワーク従業員への十分な周知と教育が必要です。 暗号化の目的、具体的なパスワード設定方法、万が一のトラブル対応の連絡先などを明確に伝えることが大切です。
定期的なセキュリティ監査
暗号化の有効性を維持するために、定期的にセキュリティ監査を実施しましょう。 すべてのパソコンで暗号化が正しく有効になっているか、回復キーが安全に保管されているかを確認してください。
VPN との組み合わせ
PC暗号化はオフライン状態でのデータ盗難を防ぎますが、ネットワーク通信自体は保護されません。 テレワークでは、VPN(仮想プライベートネットワーク)と暗号化を組み合わせることで、より強固なセキュリティ環境が実現できます。 社内システムへのアクセスはVPN経由で行い、デバイス自体は暗号化で保護するという多層防御アプローチが重要です。
暗号化を有効化した後に気をつけるべきこと
パスワードの厳格な管理
BitLockerやFileVault のパスワードは、暗号化の全体セキュリティを左右する重要な要素です。 複雑で強力なパスワードを設定し、定期的に変更することが推奨されます。 同時に、複数のデバイスで同じパスワードを使い回さないようにしましょう。
更新プログラムの適用
Windows や macOS のセキュリティアップデートには、暗号化機能に関する改善やパッチが含まれる場合があります。 リリースされた更新プログラムは速やかに適用し、暗号化機能のセキュリティを常に最新に保つことが大切です。
トラブル発生時の対応
ログインできなくなったり、パスワードを忘れたりした場合は、回復キーを使用してシステムを復旧できます。 ただし、回復キーも失ってしまうと、IT サポートによる復旧も難しくなります。 重要なのは、あらかじめ回復キーを複数の安全な場所に保管しておくことです。
テレワーク時代のセキュリティは暗号化から
パソコン盗難に関するニュースは、残念ながら後を絶ちません。 企業にとって大切なのは、「盗難を100%防ぐ」という不可能な目標ではなく、「万が一盗まれても情報流出を防ぐ」という現実的なセキュリティ対策です。 BitLocker や FileVault による暗号化は、テレワーク時代において、その対策の最も重要な一部です。
本記事で紹介した設定方法は基本的なものですが、企業のセキュリティポリシーに合わせて、より高度な設定を行うことも可能です。 ドメイン環境での一括設定、グループポリシーによる強制的な暗号化の有効化なども検討してみてください。
固定IPで安全なアクセス環境を実現するなら「ロリポップ!固定IPアクセス」
ロリポップ!固定IPアクセスは、今お使いのインターネット回線をそのまま活かして固定IPアドレスを利用できるVPNサービスです。 月額539円(税込)から、初期費用0円・最大2ヵ月無料で始められます。 WireGuardによる高速接続で、VPN特有の速度低下も気になりません。 IP制限をかけたい社内システムやクラウドサービスへのアクセス管理にぴったりです。 BitLocker や FileVault によるデバイス暗号化と組み合わせれば、テレワーク環境のセキュリティがより一層強固になります。 プロバイダの乗り換えも不要で、申し込んだその日から利用できます。
