個人のための!Windows 10 Proのツボ

データの入ったHDD、処分に困っていませんか?

text by 阿久津 良和

  • Cactus:阿久津 良和

2016年12月23日 07:01

DSP版Windows。Homeのほうが5,000~7,000円ほど安いが、後からProにしようとすると税込13,000円以上かかる。

 Windows 10はコンシューマー向けに「Home」「Pro」と2つのエディションがある。

 この2つは対応ハードウェア(*1)や様々な機能が異なるが、「家で使うならHomeで十分」と言われることも多い。それは間違いではないし、Homeの方が若干安価なため「家で使う=Home」と考えてHomeを導入する人もいるだろう。しかし、個人利用でも「かゆいところに手が届く」便利さがあるのがProエディション。

 そこで、Homeで十分か、またはProにするべきかを検討できるよう、「Proを個人で使う」ことにフォーカスした集中連載を掲載したい。年末年始、PCを新調する人も多いと思うが、Windows 10のエディションを選ぶ際、参考にして貰えれば幸いだ。

*1 利用できる物理メモリ容量の違い(64bit版Homeは128GBで同Proは2TB、32bit版はどちらも4GB)や、最大CPUソケット数(Homeは1、Proは2)など。

【個人のためのWindows 10 Proのツボ】
(1)安定最優先、新機能の追加を後回しにする方法
(2)データの入ったHDD、処分に困っていませんか?
(3)自分だけの「秘密USBメモリ」作れます
(4)安全チューニングならグループポリシーエディタ
(5)家に忘れた「あれ」を使いたい!

その2データの入ったHDD、処分に困っていませんか?

不要になったHDDの破棄。この問題に頭を抱える読者も少なくないだろう

 「昔のHDDが捨てにくくて困っている」という人は多いのではなかろうか? 市区町村が定めたルールに従って破棄するのは簡単だが、多くのデータを格納したHDDをそのまま捨てるのはセキュリティ上、抵抗がある。

 対策として、無意味なデータを上書きしてファイルの復元を抑止するゼロフォーマットなどもあるが、Windows 10が備えるBitLockerドライブ暗号化(以下、BitLocker)を使えばより簡単になることをご存じだろうか。

 普段からBitLockerで暗号化していてもよいし、捨てる前に暗号化する、という使い方もできるだろう。

そもそもBitLockerとは……

BitLockerを使って暗号化すると、起動にはTPMや鍵の入ったUSBメモリが必要になる

 BitLockerはディスク全体を暗号化するセキュリティ機能で、OSをインストールしたシステムドライブすべてのファイルを暗号化、ブートコンポーネントの整合性チェックなども行うことで、HDD盗難時、ファイルへの不正アクセスを防止できる。

 歴史的にはWindows Vistaから搭載されており、以来、Proエディション(以上)の専用機能となっている。

 そして、BitLockerの利用には、TPM(Trusted Platform Module)バージョン1.2/2.0の搭載が望ましい。高額なマザーボードやビジネス向けノートPCでは、標準搭載しているケースも少なくないが、必ずしも必須ではない。USBメモリーに暗号化を解く鍵を保存することで、システムドライブに対してもBitLockerによる暗号化を施すことが可能だ。利便性やパフォーマンス(Microsoftは10%未満のオーバーヘッドが発生すると説明)は低下してしまうが、安全性を高めるという意味では有益だろう。

 とはいえ、自作PCでは、TPMを搭載していないケースも多いため、本稿ではTPMなし環境を前提に解説を進めたい。

システムドライブをBitLockerで暗号化する

 まずはTPMのない状態でのBitLocker暗号化を可能にしよう。

 「gpedit.msc」を実行してグループポリシーエディターを起動し、左のツリーペインで<ローカルコンピューターポリシー/コンピューターの構成/管理用テンプレート/Windowsコンポーネント/BitLockerドライブ暗号化>を展開する。ここから「スタートアップ時に追加の認証を要求する」を開き、<有効>を選択、さらに<互換性のあるTPMが搭載されていないBitLockerを許可する>にチェックを入れよう。

グループポリシーエディターを使い、TPMなし環境でもBitLockerを利用できるようにする

 この状態でコントロールパネルの「BitLockerドライブ暗号化」を起動し、該当ドライブの<BitLockerを有効にする>をクリックするとウィザードが起動する。

該当ドライブの<BitLockerを有効にする>をクリックする

 最初にドライブのロック解除方法選択をうながされるので、USBメモリーもしくは回復パスワード(48桁の数字)のいずれかを選択する。

<USBフラッシュドライブを挿入する><パスワードを入力する>のいずれかをクリックする。ここでは前者を選択した

 次に回復キー(BitLockerによる暗号化を復号する鍵。256ビットのバイナリーデータ)の保存先を選択されるが、図に示したとおり複数の場所に保存する仕組みだ。ローカルアカウントではなく、Microsoftアカウントでサインインしている場合は、Microsoftアカウントへの紐付けを行うとよい。この後の手順は割愛するが、暗号化の範囲は<使用済みの領域のみ暗号化する>、暗号化モードは<新しい暗号化モード>を選択する。

「回復キー」の保存方法は複数提示されるので、可能な限り各所に保存しておこう

 そのまま指示に従ってPCを再起動すれば、Windows 10へサインインした後、ドライブの暗号化が始まる。完了まで待った後、通常と同じようにPCを利用すればよい。

 なお、BitLockerが有効な状態では鍵の入ったUSBメモリーを使うか、回復パスワードを入力しないと内部のデータを確認できなくなる。この状態でHDDを破棄すれば安全だ。

システムドライブのBitLockerを有効にした状態。アイコンに南京錠が加わる
OS起動時は回復キーを保存したUSBメモリーの接続が必要となる

データドライブをBitLockerで暗号化する

 一方、データ用ディスクの場合は、TPMの有無やグループポリシーエディターによる設定変更は不要。

 コントロールパネルの「BitLockerドライブ暗号化」を起動し、該当ドライブの<BitLockerを有効にする>をクリックすればよい。

 暗号化ドライブのロック解除には回復パスワードの入力、もしくはスマートカードを利用することになる。システムドライブはパスワード(任意の英数字)による解除ができない(セキュリティを配慮したものだろう)が、データ用ディスクは可能となっていることは覚えておきたい。

 これらの設定を行い、HDD内の暗号化が完了すれば、パスワードなどを使わずに中のデータを確認することはできなくなる。誰かが拾って覗こうとしても、フォーマットするほか無いだろう。

ウィザードを起動した状態。データ用ディスクの暗号化はTPM不要。解除方法はパスワードを利用した方が簡単だ
暗号化済みディスクを別PCに接続した状態。マウントされずに南京錠がかかった状態になっている
暗号化済みディスクへアクセスするには、パスワードの入力が必要になる

[制作協力:菱洋エレクトロ]