会社のPCでBitLockerドライブ暗号化が有効になっていると、セキュリティは強化される一方で、ハードウェアの変更やファームウェア更新などの際に一時停止が必要になるケースがあります。誤った操作で停止しないまま変更を加えると、次回起動時に回復キーを求められたり、最悪の場合データにアクセスできなくなるリスクがあります。本記事では、どのような場面でBitLockerの一時停止が必要なのか、不要な場面との違いを具体的に解説します。また、一時停止の正しい手順や、失敗した場合の対処法、管理者に確認すべきポイントについても詳しく説明します。これらを理解することで、トラブルを未然に防ぎ、安全にPCを運用できるようになります。
【要点】この記事で確認すること
- 最初に見る場所: デバイスの変更計画がある場合、事前に「BitLockerの一時停止」が必要かどうかを判断する基準を確認します。特にBIOS/UEFI設定変更、ファームウェア更新、マザーボード交換などは注意が必要です。
- 切り分けの軸: 一時停止が必要な変更は「TPM(トラステッド・プラットフォーム・モジュール)の状態や起動シーケンスに影響を与える操作」が基準です。対して、ソフトウェアの更新や外付けドライブの追加などは基本的に不要です。
- 注意点: 会社PCではグループポリシーや管理ツールでBitLockerの設定が制限されている場合があります。ユーザー権限で一時停止ができないケースもあるため、事前に管理者に確認してください。また、一時停止はあくまで「一時的」であり、作業後は必ず再開する必要があります。
ADVERTISEMENT
目次
1. BitLocker一時停止が必要な典型的な場面
BitLockerはWindowsの起動時にTPMと呼ばれるハードウェアモジュールと連携して暗号化キーを保護しています。そのため、TPMの状態や起動シーケンスに影響を与える操作を行う場合、一時停止が必要です。代表的なケースを以下に挙げます。
1-1. BIOS/UEFIファームウェアの更新
マザーボードのファームウェア更新は、TPMのファームウェアバージョンや起動時の測定値(PCR)に影響を与える可能性があります。更新後にBitLockerが起動時の状態を検証できず、回復キーの入力が必要になることがあります。このため、計画的なBIOS更新の前にはBitLockerを一時停止するのが推奨されます。
1-2. マザーボードやTPMモジュールの交換
ハードウェアを交換する場合、特にマザーボードやTPMチップそのものを交換すると、新たなTPMに移行する必要があります。この作業前にBitLockerを一時停止しておかないと、再起動後に暗号化キーがTPMから読み取れず、回復キーが必要になります。業務用PCの部品交換時は必ず一時停止してください。
1-3. 起動順序やセキュアブート設定の変更
UEFI設定でBoot Orderを変更したり、セキュアブートを無効化するなどの操作は、起動プロセスに変化をもたらします。BitLockerは起動時の環境が変わったことを検知し、回復キーを要求することがあります。このような設定変更の前には一時停止を検討してください。
1-4. 内蔵ドライブのパーティション変更
システムドライブ(通常Cドライブ)のパーティションサイズを変更したり、新しいパーティションを作成する場合、BitLockerのメタデータ領域に影響を与える可能性があります。ディスク管理ツールでの操作は一時停止後に実施するのが安全です。
2. 一時停止が必要ない場面と誤解しやすいケース
一方で、次のような操作は基本的にBitLockerの一時停止は不要です。ただし、誤って停止が必要だと思い込んで不必要な操作をすると、かえってリスクを高める可能性があります。
2-1. Windows Updateやドライバの更新
OSやデバイスドライバの更新は、再起動を伴いますが、TPMの状態や起動シーケンスは変わりません。BitLockerはそのまま動作し続けます。ただし、BitLocker自体の更新ドライバが含まれるWindows Updateの一部(特に累積更新プログラム)では、一時停止が推奨される場合があるため、管理者の指示に従ってください。
2-2. 外付けUSBドライブやSDカードの接続
BitLocker To Go で暗号化されたリムーバブルドライブは別として、システムドライブには影響しません。外付けデバイスを追加するだけでBitLockerの一時停止は不要です。
2-3. ソフトウェアのインストールやアンインストール
アプリケーションの追加や削除はハードウェア構成を変更しないため、一時停止は必要ありません。ただし、アンチウイルスソフトなどが起動時に深く介入する場合でも、BitLockerの暗号化状態には影響しません。
2-4. デスクトップの壁紙変更やフォルダオプションの変更
これらのユーザー設定の変更は、BitLockerとは無関係です。一般的な業務操作では一時停止を考慮する必要はありません。
| 操作内容 | 一時停止の要否 | 理由 |
|---|---|---|
| BIOS/UEFIファームウェア更新 | 必要 | TPM測定値が変わる可能性 |
| マザーボード交換 | 必要 | TPMハードウェアの変更 |
| セキュアブート設定変更 | 必要 | 起動環境の変化 |
| システムドライブのパーティション変更 | 必要 | メタデータ領域への影響 |
| Windows Update | 通常不要 | TPM状態不変(ただし例外あり) |
| ドライバ更新 | 不要 | 起動シーケンスに影響なし |
| 外付けUSB接続 | 不要 | システムドライブ以外 |
| ソフトウェアのインストール | 不要 | ハードウェア構成変化なし |
3. BitLocker一時停止の正しい手順
一時停止が必要と判断したら、以下の手順で実行します。作業中はBitLockerによる保護が一時的に無効になるため、安全な環境で行ってください。
- 管理者権限でコマンドプロンプトまたはPowerShellを開きます。 スタートメニューで「cmd」または「PowerShell」を右クリックし、「管理者として実行」を選択してください。
- 現在の状態を確認します。
manage-bde -status C:と入力して、BitLockerの保護状態が「オン」になっていることを確認します。ここで変換状態が「完全暗号化」であることも確認しておきましょう。 - 一時停止を実行します。
manage-bde -protectors -disable C:と入力します。このコマンドで、次回再起動まで保護が一時停止されます。あるいはmanage-bde -protectors -disable C: -RebootCount 0とすると、再起動しても自動で再開しません(注意:通常は再起動後に再開させるため、-RebootCount 1を推奨)。 - 必要な作業(BIOS更新など)を実施します。 一時停止が完了したら、目的のハードウェア変更やファームウェア更新を行ってください。作業中はPCをシャットダウンしても問題ありませんが、可能な限り連続して完了させることを推奨します。
- BitLockerを再開します。 作業後、管理者コマンドプロンプトで
manage-bde -protectors -enable C:と入力して保護を再有効化します。正常に再開されたか、ステータスを確認してください(manage-bde -status)。
補足: 設定アプリからも一時停止できます。「スタート」→「設定」→「プライバシーとセキュリティ」→「デバイスの暗号化」→「BitLockerドライブ暗号化」で「保護を中断」を選択しますが、会社PCでは管理ポリシーでこのオプションが表示されない場合があります。その場合はコマンドラインを使用してください。
ADVERTISEMENT
4. 失敗パターンと対処法
一時停止をせずに操作を行ってしまった場合や、一時停止後に再開を忘れた場合の失敗例と、その対処法を紹介します。
4-1. 一時停止せずにBIOS更新した場合
再起動時に「BitLocker回復キーの入力」画面が表示されます。このとき、回復キーがわからなければPCを起動できません。回復キーは通常、Microsoftアカウントに保存されているか、会社のActive Directoryにバックアップされています。業務用では管理者に問い合わせて取得してください。回復キーを入力後、一度起動してからBitLockerを一時停止し、再度BIOS更新を行う必要があります。
4-2. 一時停止後に再開を忘れた場合
一時停止したまま放置すると、PCは暗号化された状態のまま保護が無効になっているため、ドライブの盗難などに対して脆弱になります。また、次回のWindows UpdateなどでBitLockerが自動的に再開されるまで保護されません。忘れずに再開コマンドを実行するか、再起動時に自動再開される設定(-RebootCount 1)にしておきましょう。
4-3. 間違ったドライブを一時停止した場合
システムドライブ以外のデータドライブ(Dドライブなど)もBitLockerで暗号化している場合があります。不要なドライブを一時停止しても大きな問題はありませんが、再開を忘れるとセキュリティリスクとなります。必要なドライブのみ操作するよう注意してください。
5. 管理者に確認すべき情報
会社のPCでは、BitLockerの管理ポリシーによってユーザーが一時停止できないよう制限されていることがあります。以下の項目を管理者に問い合わせておくとスムーズです。
- ユーザーに一時停止の権限があるかどうか: グループポリシーで「BitLockerドライブ暗号化の保護を一時停止するために必要な追加の認証」が構成されている場合、標準ユーザーでは操作できません。管理者に依頼して一時停止してもらいましょう。
- 回復キーのバックアップ場所: 万が一起動しなくなった場合に備え、回復キーがどこに保管されているか(Active Directory、Microsoftアカウント、Azure ADなど)を把握しておきます。
- 一時停止が禁止されているポリシー: セキュリティポリシーで一時停止そのものが許可されていない場合、業務上の理由であっても例外申請が必要です。事前に相談してください。
- 代替手段の有無: ファームウェア更新などが頻繁に発生する場合、管理者側で一括管理しているツール(SCCMやIntune)を使ってBitLockerを自動でサスペンドする方法を検討することも可能です。
6. よくある質問
Q1: 一時停止中にPCの電源を切っても大丈夫ですか?
はい、大丈夫です。一時停止の状態はディスクに保存されるため、シャットダウンしても有効です。ただし、再開を忘れないように注意してください。再開するまでは保護が無効のままです。
Q2: 一時停止はどのくらいの期間有効ですか?
コマンドで指定しない限り、通常は次回の再起動まで有効です。manage-bdeコマンドで-RebootCount 1と指定すると、再起動後に自動で再開されます。再起動なしで長時間放置したい場合は、-RebootCount 0と指定して手動で再開する必要がありますが、セキュリティ上は推奨できません。
Q3: 回復キーを紛失した場合どうすればいいですか?
管理者に連絡してください。Active Directoryにバックアップされているか、Microsoftアカウント経由で回復キーを取得できる場合があります。また、会社のポリシーによってはTPMのリセットなど別の手段が用意されていることもあります。
Q4: BitLockerを完全に無効化(暗号化の解除)するのと一時停止の違いは?
一時停止は保護メカニズムだけを休止するもので、ドライブは暗号化されたままです。完全な無効化(復号化)はすべてのデータを復号するため、ドライブが大容量だと長時間かかります。業務で必要な変更のみ一時停止で対応し、不要なら復号化は避けるべきです。
7. まとめ
BitLockerの一時停止は、TPMや起動シーケンスに影響を与えるハードウェア変更やファームウェア更新の前にのみ必要です。一時停止の要否を判断するには、変更内容がTPMの状態や起動プロセスを変えるかどうかが基準になります。操作はコマンドラインで数秒で完了し、再開も忘れずに行いましょう。会社PCの場合は管理者のポリシーを事前に確認し、必要に応じてサポートを仰いでください。適切な判断と手順でBitLockerトラブルを回避し、安全に業務を続けることができます。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Windows・PCの人気記事ランキング
- 【Edge】起動時や新しいタブを「Google」にする設定!ニュースを消してシンプルにする方法
- 【Windows】「ゲーミングサービス」がインストールできない!Xboxアプリとの無限ループを脱出する修復コマンド
- 【直し方】F7でカタカナにならない!ファンクションキーが効かず音量などが変わる時のFnロック解除法
- 【Windows】標準アプリのショートカットアイコンが白い紙になった時の情報の更新
- 【Windows】デスクトップのアイコンが「白い紙」になった!アイコンキャッシュを削除して元に戻すコマンド
- 【Windows】パスワードなしで起動!PIN入力を省略して自動ログイン(サインイン)させる設定手順
- 【Windows】サブモニターが映らない!HDMIを挿しても「信号なし」になる時の認識・設定手順
- 【PC周辺】2台のモニターで壁紙を「別々」にする方法!Windows11での配置と調整
- 【Windows】音が出ない!スピーカーに×が付く・ミュート解除しても無音になる時の直し方5選
- 【Windows】デスクトップアイコンの「緑のチェック」は何?OneDriveの同期マークを非表示にする方法