【Windows】管理者の承認なしでドライブの暗号化を解除させないための規則設定

企業のPCでBitLockerドライブ暗号化を運用している場合、従業員が誤って、または意図的に暗号化を解除してしまうリスクを懸念するかもしれません。

管理者の承認なしにBitLockerの暗号化解除を禁止する設定は、情報セキュリティの維持に不可欠です。

この記事では、Windows 11を基準として、BitLockerの解除を制限する具体的なグループポリシー設定手順を詳しく解説します。

BitLockerの解除を制限する目的と前提

BitLockerは、Windowsに搭載されているドライブ暗号化機能です。PCの紛失や盗難時に、ドライブ内のデータを保護する重要な役割を果たします。

企業環境では、情報漏洩のリスクを最小限に抑えるため、BitLockerによるドライブ暗号化が必須となるケースが多いです。しかし、ユーザーが自由に暗号化を解除できる状態では、セキュリティポリシーが形骸化する恐れがあります。

管理者がBitLockerの解除を制御することで、セキュリティポリシーの順守を徹底し、企業データの保護を強化できます。この設定は、Windows 10 ProまたはEnterprise、Windows 11 ProまたはEnterpriseエディションで利用できる「ローカルグループポリシーエディター」を用いて行います。

グループポリシーとは

グループポリシーは、Windowsの動作やセキュリティ設定などを一元的に管理するための機能です。個々のPCに対して、管理者権限を持つユーザーが様々な規則を適用できます。

本記事で解説する設定は、このグループポリシーを利用して、BitLockerの暗号化解除に関するユーザー操作を制限します。設定を有効にすることで、一般ユーザーがBitLockerの解除操作を実行できなくなります。

管理者の承認なしにBitLocker解除を禁止する手順

BitLockerの暗号化解除を制限するグループポリシー設定を適用します。ここではWindows 11を例に説明しますが、Windows 10でも同様の手順で設定できます。

1. ローカルグループポリシーエディターを開く
   WindowsキーとRキーを同時に押し、「ファイル名を指定して実行」ダイアログを開きます。「gpedit.msc」と入力し、Enterキーを押すか「OK」ボタンをクリックします。
2. BitLockerドライブ暗号化のポリシー項目へ移動する
   ローカルグループポリシーエディターの左ペインで、「コンピューターの構成」を展開します。「管理用テンプレート」を展開し、「Windowsコンポーネント」を展開します。さらに「BitLockerドライブ暗号化」を展開します。
3. OSドライブの暗号化解除を禁止する設定
   「BitLockerドライブ暗号化」の下にある「OSドライブ」をクリックします。右ペインに表示されるポリシー項目の中から、「OSドライブのBitLocker保護を解除しないようにする」をダブルクリックして開きます。
4. OSドライブのポリシーを有効にする
   開いたダイアログで「有効」を選択します。「適用」ボタンをクリックし、続いて「OK」ボタンをクリックして設定を保存します。これにより、OSドライブのBitLocker暗号化解除が禁止されます。
5. 固定データドライブの暗号化解除を禁止する設定
   左ペインで「固定データドライブ」をクリックします。右ペインから「固定データドライブのBitLocker保護を解除しないようにする」をダブルクリックして開きます。
6. 固定データドライブのポリシーを有効にする
   開いたダイアログで「有効」を選択します。「適用」ボタンをクリックし、「OK」ボタンをクリックして設定を保存します。PC内の固定データドライブのBitLocker暗号化解除が禁止されます。
7. リムーバブルデータドライブの暗号化解除を禁止する設定
   左ペインで「リムーバブルデータドライブ」をクリックします。右ペインから「リムーバブルデータドライブのBitLocker保護を解除しないようにする」をダブルクリックして開きます。
8. リムーバブルデータドライブのポリシーを有効にする
   開いたダイアログで「有効」を選択します。「適用」ボタンをクリックし、「OK」ボタンをクリックして設定を保存します。USBメモリなどのリムーバブルメディアのBitLocker暗号化解除が禁止されます。
9. グループポリシーの更新を適用する
   管理者権限でコマンドプロンプトを開きます。Windowsキーを押し、「cmd」と入力し、検索結果の「コマンドプロンプト」を右クリックして「管理者として実行」を選択します。コマンドプロンプトで「gpupdate /force」と入力し、Enterキーを押します。これにより、設定したグループポリシーが即座にシステムに適用されます。
10. 設定の確認
    設定後、BitLockerで暗号化されたドライブを選択し、右クリックメニューから「BitLockerの管理」を開きます。暗号化解除のオプションがグレーアウトしている、または「この操作を実行する権限がありません」のようなメッセージが表示されることを確認します。

設定時の注意点と確認事項

BitLockerの解除制限設定を行う際は、いくつかの重要な注意点があります。これらのポイントを把握しておくことで、予期せぬトラブルを避け、スムーズな運用が可能になります。

設定がすぐに反映されない場合

グループポリシーの設定は、通常はシステム再起動時や定期的な更新時に適用されます。手順9で説明した「gpupdate /force」コマンドを実行することで、手動で即座に適用できます。

それでも反映されない場合は、PCを再起動してみることを推奨します。また、WindowsのエディションがProまたはEnterpriseであることを確認してください。Homeエディションではローカルグループポリシーエディターは利用できません。

BitLocker回復パスワードの管理

BitLockerを運用する上で最も重要なのが、回復パスワードの適切な管理です。

暗号化解除を禁止しても、システムに問題が発生した場合や、ドライブを別のPCに接続してデータにアクセスする必要がある場合に、回復パスワードが必要になります。

回復パスワードは、OneDrive、Microsoftアカウント、ファイルへの保存、印刷などの方法で安全にバックアップし、アクセス可能な場所に保管してください。特に、組織で運用する場合は、IT部門で一元管理することが望ましいです。

ユーザーへの周知と教育

BitLockerの解除を禁止する設定を適用する前に、対象となるユーザーへその旨を周知することが大切です。

なぜ解除が禁止されているのか、解除が必要になった場合の対応方法などを事前に説明することで、ユーザーからの問い合わせを減らし、円滑な運用を促します。不用意な解除操作を試みて、エラーに遭遇するケースも防げます。

グループポリシーとレジストリ編集の比較

Windowsの設定を変更する方法として、グループポリシーの他にレジストリを直接編集する方法もあります。ここでは、両者の特徴と適用シーンを比較します。

項目	グループポリシー	レジストリ編集
対象エディション	Pro、Enterprise	すべてのエディション
設定方法	GUIによる操作	レジストリエディターによる直接編集
適用範囲	PC全体、またはユーザー単位	PC全体、またはユーザー単位
推奨ユーザー	IT管理者、中級者以上	上級者
誤操作のリスク	比較的低い	高い(システム不安定化の可能性)
集中管理	Active Directory環境で可能	個別PCでのみ可能

グループポリシーは、GUIで視覚的に設定できるため、誤操作のリスクが比較的低いです。特に複数のPCに同じ設定を適用する場合、Active Directory環境では集中管理ができます。

一方、レジストリ編集は、設定値がより細かく、すべてのWindowsエディションで利用できます。しかし、誤った値を設定するとシステムが不安定になる可能性があるため、慎重な操作が求められます。通常はグループポリシーでの設定を推奨します。

まとめ

この記事で解説したBitLockerの解除禁止設定により、企業PCのドライブ暗号化セキュリティを強化できます。

管理者の承認なしにBitLockerが解除される事態を防ぎ、情報漏洩のリスクを大幅に低減できるようになります。

今後は、BitLocker回復パスワードの適切な管理と、従業員へのセキュリティ意識向上に関する教育も併せて実施し、より堅牢なセキュリティ体制を構築してください。