暗号化されたハード ドライブ

• 適用対象:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

概要

暗号化されたハード ドライブは、ハードウェア レベルで自己暗号化され、ユーザーに対して透過的な状態で完全なディスク ハードウェア暗号化を可能にするハード ドライブのクラスです。 これらのドライブは、BitLocker Drive Encryption によって提供されるセキュリティと管理上の利点と、自己暗号化ドライブの機能を組み合わせています。

暗号化ハード ドライブは、ハードウェアで暗号化操作を実行することにより、BitLocker のパフォーマンスを向上させ、CPU の使用率と電力消費を削減します。 暗号化されたハード ドライブはデータをすばやく暗号化するため、BitLocker の展開をエンタープライズ デバイス間で拡張でき、生産性への影響はほとんどありません。

暗号化されたハード ドライブには、次のメリットがあります。

• パフォーマンスの向上: ドライブ コントローラーに統合された暗号化ハードウェアにより、ドライブはパフォーマンスの低下なしで完全なデータ レートで動作できます
• ハードウェアに基づく強力なセキュリティ: 暗号化は常 にオン であり、暗号化のキーがハード ドライブから離れることはありません。 ユーザー認証は、オペレーティング システムとは別に、ロックを解除する前にドライブによって実行されます
• 使いやすさ: 暗号化はユーザーに対して透過的であり、ユーザーはそれを有効にする必要はありません。 暗号化されたハードドライブは、オンボード暗号化キーを使用して簡単に消去されます。ドライブ上のデータを再暗号化する必要はありません
• 保有コストの削減: BitLocker は既存のインフラストラクチャを使用して回復情報を格納するため、暗号化キーを管理するための新しいインフラストラクチャは必要ありません。 プロセッサ サイクルを暗号化プロセスに使用する必要がないため、デバイスの動作効率が高くなります

暗号化されたハード ドライブは、次のメカニズムを使用してオペレーティング システムでネイティブにサポートされます。

• 識別: オペレーティング システムは、ドライブが 暗号化されたハード ドライブ デバイスの種類であることを識別します
• アクティブ化: オペレーティング システム ディスク管理ユーティリティは、ボリュームをアクティブ化し、作成し、必要に応じて範囲/バンドにマップします
• 構成: オペレーティング システムは、ボリュームを作成し、必要に応じて範囲/バンドにマップします
• API: BitLocker ドライブの暗号化に関係なく、暗号化されたハード ドライブを管理するアプリケーションの API サポート
• BitLocker のサポート: BitLocker コントロール パネルとの統合により、シームレスな BitLocker ユーザー エクスペリエンスが提供されます

Warning

Windows 用の自己暗号化ハード ドライブと暗号化されたハード ドライブは、同じ種類のデバイスではありません。

• Windows 用の暗号化されたハード ドライブでは、特定の TCG プロトコルと IEEE 1667 コンプライアンスのコンプライアンスが必要です
• 自己暗号化ハード ドライブにはこれらの要件がありません

展開を計画するときは、デバイスの種類が Windows 用の暗号化されたハード ドライブであることを確認することが重要です。

オペレーティング システムが暗号化されたハード ドライブを識別すると、 セキュリティ モードがアクティブになります。 このアクティブ化により、ドライブ コントローラーは、ホスト コンピューターが作成するすべてのボリュームの メディア キー を生成できます。 ディスクの外部に公開されることのないメディア キーは、ディスクから送受信されるすべてのバイトのデータを迅速に暗号化または暗号化解除するために使用されます。

暗号化されたハード ドライブを実装する方法の詳細を探しているストレージ デバイス ベンダーの場合は、 暗号化されたハード ドライブ デバイス ガイドを参照してください。

システム要件

暗号化されたハード ドライブを使用するには、次のシステム要件が適用されます。

データ ドライブとして使用される暗号化されたハード ドライブの場合:

• ドライブが初期化されていない状態である必要があります
• ドライブがセキュリティ非アクティブ状態である必要があります

スタートアップ ドライブとして使用される暗号化されたハード ドライブの場合:

• ドライブが初期化されていない状態である必要があります
• ドライブがセキュリティ非アクティブ状態である必要があります
• コンピューターは UEFI 2.3.1 ベースで、 が EFI\_STORAGE\_SECURITY\_COMMAND\_PROTOCOL 定義されている必要があります。 このプロトコルは、EFI ブート サービス環境で実行されているプログラムがドライブにセキュリティ プロトコル コマンドを送信できるようにするために使用されます
• コンピューターには、UEFI で互換性サポート モジュール (CSM) が無効になっている必要があります
• コンピューターは常に UEFI からネイティブに起動する必要があります

Warning

正しく機能するには、暗号化されたすべてのハード ドライブを RAID 以外のコントローラーに接続する必要があります。

Windows エディションとライセンスに関する要件

次の表は、暗号化されたハード ドライブをサポートする Windows エディションの一覧です。

Windows Pro	Windows Enterprise	Windows Pro Education/SE	Windows Education
はい	はい	はい	はい

暗号化されたハード ドライブ ライセンスの権利は、次のライセンスによって付与されます。

Windows Pro/Pro Education/SE	Windows Enterprise E3	Windows Enterprise E5	Windows Education A3	Windows Education A5
はい	はい	はい	はい	はい

Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。

暗号化されたハード ドライブをスタートアップ ドライブとして構成する

暗号化されたハード ドライブをスタートアップ ドライブとして構成するには、標準ハード ドライブと同じ方法を使用します。

• メディアからの展開: 暗号化されたハード ドライブの構成は、インストール プロセスを通じて自動的に行われます
• ネットワークから展開する: この展開方法では、Windows PE 環境を起動し、イメージング ツールを使用してネットワーク共有から Windows イメージを適用します。 この方法では、拡張ストレージのオプション コンポーネントを Windows PE イメージに含める必要があります。 サーバー マネージャー、Windows PowerShell、または DISM コマンド ライン ツールを使用して、このコンポーネントを有効にします。 コンポーネントが存在しない場合、暗号化されたハード ドライブの構成は機能しません
• サーバーからの展開: この展開方法では、暗号化されたハード ドライブが存在するクライアントを PXE で起動します。 暗号化されたハード ドライブの構成は、拡張ストレージ コンポーネントが PXE ブート イメージに追加されると、この環境で自動的に行われます。 デプロイ中に、 の TCGSecurityActivationDisabled 設定によって unattend.xml 、暗号化されたハード ドライブの暗号化動作が制御されます
• ディスクの複製: この展開方法では、以前に構成したデバイスとディスクの複製ツールを使用して、暗号化されたハード ドライブに Windows イメージを適用します。 ディスク デュプリケーターを使用して作成されたイメージが機能しない

ポリシー設定を使用してハードウェア ベースの暗号化を構成する

BitLocker でハードウェア ベースの暗号化を使用する方法と使用する暗号化アルゴリズムを管理するには、3 つのポリシー設定があります。 暗号化されたドライブが装備されているシステムでこれらの設定が構成または無効になっていない場合、BitLocker ではソフトウェア ベースの暗号化が使用されます。

• 固定データ ドライブに対するハードウェア ベースの暗号化の使用を構成する
• リムーバブル データ ドライブのハードウェア ベースの暗号化の使用を構成する
• オペレーティング システム ドライブのハードウェア ベースの暗号化の使用を構成する

暗号化されたハード ドライブ アーキテクチャ

暗号化されたハード ドライブは、デバイス上の 2 つの暗号化キーを使用して、ドライブ上のデータのロックとロック解除を制御します。 これらの暗号化キーは、 データ暗号化キー (DEK) と 認証キー (AK) です。

• データ暗号化キーは、ドライブ上のすべてのデータを暗号化するために使用されます。 ドライブは DEK を生成し、デバイスから離れることはありません。 これは、ドライブ上のランダムな場所に暗号化された形式で格納されます。 DEK が変更または消去された場合、DEK を使用して暗号化されたデータは回復できません。
• AK は、ドライブ上のデータのロックを解除するために使用されるキーです。 キーのハッシュはドライブに格納され、DEK の暗号化を解除するための確認が必要です

暗号化されたハード ドライブを備えたデバイスが電源オフ状態の場合、ドライブは自動的にロックされます。 デバイスの電源が入るにつれて、デバイスはロックされた状態のままであり、AK が DEK を復号化した後にのみロック解除されます。 AK が DEK を復号化すると、デバイスで読み取り/書き込み操作を実行できます。

ドライブにデータが書き込まれると、書き込み操作が完了する前に暗号化エンジンを通過します。 同様に、ドライブからデータを読み取るには、暗号化エンジンがそのデータをユーザーに渡す前にデータの暗号化を解除する必要があります。 AK を変更または消去する必要がある場合は、ドライブ上のデータを再暗号化する必要はありません。 新しい認証キーを作成し、DEK を再暗号化する必要があります。 完了すると、新しい AK を使用して DEK のロックを解除できるようになり、ボリュームへの読み取り/書き込みを続行できます。

暗号化されたハード ドライブを再構成する

多くの暗号化されたハード ドライブ デバイスは、使用するために事前に構成されています。 ドライブの再構成が必要な場合は、使用可能なすべてのボリュームを削除し、ドライブを初期化されていない状態に戻した後、次の手順を使用します。

1. ディスク管理を開く (diskmgmt.msc)
2. ディスクを初期化し、適切なパーティション スタイル (MBR または GPT) を選択します
3. ディスク上に 1 つ以上のボリュームを作成します。
4. BitLocker セットアップ ウィザードを使用して、ボリュームで BitLocker を有効にします。