BitlockerをVHDイメージファイルに適用する

概要

• Bitlocker + VHDイメージファイルで暗号化コンテナファイルを作成する。
• Bitlockerはドライブを暗号化し、暗号化されたドライブはパスワードを入力しなければ中を参照出来なくなる。
• 通常はHDDやUSBメモリなどのようなドライブに対してBitlockerを適用するが、VHDイメージファイルを作成し、ドライブとしてマウントし、そのドライブに適用する事も出来る。
• このVHDイメージファイルを暗号化コンテナファイルと呼ぶ。
• 暗号化コンテナファイルは単体のファイルなので、別の場所（ファイルサーバやDropboxのようなオンラインストレージサービス）にコピーする事で簡単にバックアップ出来る。
• このような暗号化コンテナファイルは以前はTrueCryptを利用する事が多かったが、開発停止になった為、現在はBitlocker + VHDXが標準的な方法とされている。
• なお、BitlockerはWindowsのエディションによって対応が違う。Bitlockerを適用するには、Windows 7のUltimateかEnterprice、8のPro以上、10のPro以上が必要。Bitlockerを参照するだけなら、全エディションで可能。
• 今回はWindows 10 Proで作業することとする。

暗号化ドライブの作成手順

1. VHDファイルの作成

• コントロールパネルからディスクの管理ツールを起動。（WIN+Rキー押してdiskmgmt.mscを実行。）
• メニューの操作からVHDの作成を選ぶ。
• 仮想ハードディスクの作成と接続のダイアログが表示されるので、以下の項目を設定する。
  • 場所：（今回はC:\tmp\test.vhdxとした）
  • 仮想ハードディスクのサイズ：（今回は1GBとした）
  • 仮想ハードディスクフォーマット：（今回はVHDXとした）
  • 仮想ハードディスクの種類：（今回は可変容量とした）
  • 注：VHDX対応するのはWindows8以降のみ。
• OKを押す。
• ディスクの管理ツールのディスク一覧に今作成したディスクが「不明」「初期化されていません」として表示されているのを確認する。

2. VHDファイルのディスク初期化・フォーマットとマウント

• ディスクの管理ツールのディスク一覧から、上で作成したディスクを選び、（ウィンドウの左端、「ディスク3」のように表示されている箇所）右クリックしてディスクの初期化を選ぶ。
• ディスクの初期化ダイアログが表示されるので、パーティションスタイルを選ぶ。（今回はMBRにした）
• 今初期化したディスクが「ベーシック」「オンライン」になっているのを確認して、隣の「未割り当て」の箇所を右クリックして新しいシンプルボリュームを選ぶ。
• 新しいシンプルボリュームウィザードが表示される。
• ボリュームサイズの指定はデフォルトのまま、「次へ」を押す。
• ドライブ文字またはパスの割り当てはデフォルトのまま、「次へ」を押す。（今回はドライブ文字はFとした）
• パーティションのフォーマットはデフォルトのまま（クイックフォーマットするにチェックを付けて）、「次へ」を押す。
• ウィザードが完了したので、「完了」を押す。
• ディスクの管理ツールのディスク一覧で、今作成したボリュームが「正常」に表示されているのを確認する。
• ファイルエクスプローラーを開き、今作成したドライブが表示されているのを確認する。
  • もし表示されていなければ、ディスクの管理ツールのディスク一覧を確認し、メニューの操作からVHDの接続を試す。

3. ドライブをBitlocker有効にする

• ファイルエクスプローラーを開き上で作成したドライブを選択し、右クリックしてBitlockerを有効にするを選ぶ。
• Bitlockerをドライブ暗号化ダイアログが表示される。
• このドライブのロック解除方法を選択するは、「パスワードを使用してドライブのロックを解除する」にチェックを付け、パスワードを設定する。次へを押す。
• 回復キーのバックアップ方法を指定してくださいは、ファイルに保存するを選ぶ。ファイルダイアログが表示されるので、適当な場所に保存する。次へを押す。
  • 必要に応じて、USBフラッシュドライブに保存する、回復キーを印刷する、を実行し、複数の方法で回復出来るようにしておく。
• 使用する暗号化モードを選ぶは、互換モードを選択する。次へを押す。
• このドライブを暗号化する準備ができましたか？と確認されるので、暗号化の開始を押す。
• 暗号化が終わると、ファイルエクスプローラーで今のドライブを参照し、ディスクに鍵のアイコンが付いてる事を確認する。

暗号化ドライブの運用手順

ドライブのマウント

• ファイルエクスプローラーを開き、上で作成したVHDXファイル（今回は"C:\tmp\test.vhdx"）を選び、右クリックしてマウントを選ぶ。
• ファイルをマウントできませんでしたという警告が出る。
• ファイルエクスプローラーでマウントしたドライブをダブルクリックする。
• Bitlockerの解除を求められるので、パスワードを入力して、解除する。

ドライブのアンマウント

• ファイルエクスプローラーを開き上で作成したドライブを選択し、右クリックして取り出し選ぶ。

VHDXファイルのバックアップ

• ファイルエクスプローラーを開き、マウントしていれば、ドライブをアンマウントする。
• VHDXファイルを別の場所（ファイルサーバやオンラインストレージサービス）にコピーする。

参考

• https://itc-memo.sfc.keio.ac.jp/googledrive4backup/encrypteddiskimage4win/
• http://www.howtogeek.com/193013/how-to-create-an-encrypted-container-file-with-bitlocker-on-windows/
• http://www.pkg.dk/tips/How-To-Create-Encrypted-Disk-Images-on-Windows-8-Pro/