BitLockerで暗号化した仮想ディスクを作る

2025.06.04
BitLocker

Windows Vista以降、ProエディションではBitLockerというストレージ全体を暗号化する機能が搭載されていますが、パソコンに接続している物理ディスクだけでなくHyper-Vなどに使われている仮想ディスクも暗号化出来る事はあまり知られていません。WindowsのProエディションで作成出来るVHDX形式の仮想ディスクはマウント後に通常のハードディスク(以下HDD)やSSDのように扱う事が出来る為、VHDX形式の仮想ディスクをBitLockerで暗号化する事で第三者に見られたくないファイルや外部に情報が漏れると困る重要なファイルを厳重に管理する事が出来るようになります。

要は昔あったTrueCryptや、その後継ソフトのVeraCryptのようにWindowsの標準機能で暗号化領域を作ってしまおうという話。HDDやSSD全体を暗号化するのは復号化出来なくなった場合のリスクを伴いますが、作成した仮想ディスクのみを暗号化すればリスクは最小限に抑えられます。しかもVHDX形式の仮想ディスクは可変型にする事が出来るので、TrueCryptやVeraCryptのように事前に割り当てた容量と同じ容量を消費する事は無いので利便性は圧倒的に上回ります。

仮想ディスクの作成

まずは仮想ディスクを作成していきます。Windowsのボタン上で右クリックしてメニューにある「ディスクの管理」を選択。

スタートボタンの右クリックメニュー

ディスクの管理画面を開いたら上部メニューの「操作」から「VHDの作成」を選択。

ディスクの管理画面

仮想ハードディスクの作成と接続の画面が表示されます。「場所」で保存先を「参照」から選択。その下の「仮想ハードディスクのサイズ」で容量を指定しますが、可変の場合は上述したように割り当てた容量分を消費する事はありません。「仮想ハードディスク フォーマット」ではWindows 10以上であれば「VHDX」を選択、「仮想ハードディスクの種類」は「可変容量」にしておきます。

仮想ハードディスクの作成と接続画面

仮想ディスク作成後、即認識された状態になっているので「不明」となっているディスク上で右クリックして「ディスクの初期化」を行います。

ディスクの初期化

ディスクの初期化画面で「パーティションスタイル」を「GPT」にして「OK」。

パーティションスタイルの選択

「未割り当て」となっている領域をクリックして選択状態にし、右クリックして「新しいシンプルボリューム」を選択します。

新しいシンプルボリュームの作成

「新しいシンプルボリュームウィザード」画面が表示されるので「次へ」で進みます。

新しいシンプルボリュームウィザード画面

「ボリューム サイズの指定」で最大容量が割り当てられているのを確認して「次へ」で進みます。

ボリューム サイズの指定画面

「ドライブ文字またはパスの割り当て」で好きなドライブ文字を選択。XYZあたりを割り当てておくと他の機器と被らないのでお勧め。

ドライブ文字またはパスの割り当て画面

「パーティションのフォーマット」でファイルシステムを何にするかは好みですが「NTFS」のままにしておくのが無難。他は変更する必要は無いので「次へ」で進みます。

パーティションのフォーマット画面

最後に「新しいシンプルボリュームウィザードの完了」と表示されます。下部の「完了」ボタンをクリックして画面を閉じます。

新しいシンプルボリュームウィザードの完了画面

エクスプローラでPC画面を表示すると一般的なHDDやSSDと同じように仮想ディスクが表示されているのが確認出来る筈です。ディスク上で右クリックして「取り出し」から仮想ディスクをアンマウントでき、アンマウント状態だとVHDXファイルを自由に移動する事が出来ます。再びマウントする場合はVHDXファイルをダブルクリックするだけです。

マウントされた仮想ディスク

BitLockerで暗号化

ここからは上で作成した仮想ディスクをBitLockerで暗号化していきます。まずはディスク上で右クリックして「BitLockerを有効にする」を選択。

BitLockerを有効にする

「このドライブのロック解除方法を選択する」画面が表示されるので確認用も含めパスワードを入力。パスワードは画面内の記載通り大文字、小文字、数字、空白、記号を含めておく必要があります。パスワードを入力したら「次へ」で進みます。

このドライブのロック解除方法を選択する画面

「回復キーのバックアップ…」画面ではパスワードを忘れた際に使用する回復キーの保存方法を選択出来ますが、「ファイルに保存する」で回復キーが記載されたテキストファイルを任意の場所に保存する方法が最も手軽です。「次へ」で進みます。

回復キーのバックアップ方法の選択画面

「ドライブを暗号化する範囲の選択」画面では「使用済みの領域のみ暗号化する」のままにしておくのがお勧め。「次へ」で進みます。

ドライブを暗号化する範囲の選択画面

「使用する暗号化モードを選ぶ」画面では画面内の説明にあるように、Windows 10(Version 1511)以降のOSでは「新しい暗号化モード」を選択。それ以前の場合は「互換モード」にします。

使用する暗号化モードを選ぶ画面

最後に「このドライブを暗号化する準備ができましたか?」と表示されるので下部にある「暗号化の開始」ボタンをクリックして実行します。

暗号化準備完了画面

暗号化ディスクの操作

BitLockerで暗号化した直後はロックが解除された状態になっていますが、Windowsの再起動後や取り出しからアンマウントして再びマウントした場合は鍵のアイコンに変化してロック状態になっています。これを解除するにはダブルクリック後に表示される入力欄に上で設定しておいたパスワードを入力。

BitLockerのパスワード入力画面

万が一パスワードを失念してしまった場合はパスワード入力欄の下にある「その他のオプション」から「回復キーを入力する」を選択し、保存しておいた48桁の回復キーを入力します。

BitLockerの回復キー入力画面

BitLockerについて

今回掲載したBitLockerによる暗号化は厳密にはBitLocker To Goと呼ばれる機能らしいのですが、1つの仮想ディスクのファイルをマウントする事で通常のHDDやSSDの様に使えて、暗号化で第三者に見られたくないファイルを隠せるのは非常に便利です。強いて欠点を挙げるならWindowsでしか扱う事が出来ないという点でしょうか。その点、TrueCryptの後継として開発されているVeraCryptはオープンソースで開発されておりLinuxやmacOS用も提供されている事から、これらのソフトと比べて互換性の面で劣るとも言えます。またWindowsのHomeエディションでは使用出来ない点も欠点と言えますが、私的にはBitLocker To Goの為だけでもProエディションを買う価値があると考えています。

他、暗号化ソフトにはCryptomatorという物もあり、BitLocker To Goと同じような事が出来る上にOne DriveやGoogle Driveといったクラウド上に暗号化領域を作成するといった事まで出来るのですが、Cryptomatorについては後日別のページに掲載予定です。

コメント

タイトルとURLをコピーしました