このサイトを正しく表示するには、最新のブラウザを使用し、Javascriptを有効化してください。

BitLockerのパスワードと回復キーの違いについて

山崎

本日、新しいディスクにWindows 11をインストールしました。データ用のパーティションで一度BitLockerをオフにし、再度オンにしたところ、ドライブのロックを解除するためのパスワードを求められました。パスワードを設定した後、コントロールパネルを見ると、「パスワード」と「回復キー」の両方が表示されています。

このパスワードと回復キーの主な違いは何でしょうか？もしこのドライブを別のPCに移動させて復号化する場合、両方が必要になりますか？

両方が必要でない場合、なぜ2種類の「キー」が存在するのでしょうか？

ヒノコウジ

簡単に言うと、役割が異なります。

パスワード：日常的にPCを起動し、暗号化されたドライブのロックを解除するために使用する、覚えやすい文字列です。
回復キー：パスワードを忘れた場合や、PCのハードウェア構成（マザーボード交換など）が大幅に変更された際に、ドライブへのアクセスを回復するための「マスターキー」です。非常に長い文字列で、普段は使いません。

別のPCにドライブを移動させた場合は、通常のパスワード認証は機能しないため、回復キーの入力が必須となります。

泥棒がドライブだけを盗んで別のPCに接続しても、回復キーがなければデータを見ることはできません。これがセキュリティの要です。

巧真

ヒノコウジ

ありがとうございます。「日常的な使用」とは、具体的にどのタイミングでパスワード入力が必要になるのでしょうか？

ヒノコウジ

基本的にPCを再起動またはシャットダウンした後の起動時に、パスワードの入力が求められます。スリープからの復帰では通常、要求されません。

巧真

ヒノコウジ

なるほど。ということは、もしパスワードを忘れてしまった場合でも、回復キーを使えばロックを解除できる、という認識で合っていますか？

ヒノコウジ

はい、その通りです。パスワード入力画面で「その他のオプション」をクリックし、「回復キーを入力する」を選択すれば、パスワードの代わりに使用できます。

ですので、回復キーは絶対に紛失しないよう、印刷したり、別の安全な場所に保管したりしてください。これを失うと、データに二度とアクセスできなくなる可能性があります。

Assistant

補足させていただきます。

技術的には、BitLockerの暗号化は「ボリュームマスターキー（VMK）」というキーによって行われています。このVMK自体は、PCに搭載されているTPM（Trusted Platform Module）というセキュリティチップによって保護されています。

普段、PC起動時に行われているのは、TPMによるPC構成のチェックです。問題がなければVMKが自動的に解放され、OSが起動します。ここで設定した「パスワード」は、TPMが利用できない環境や、追加のセキュリティ層として機能します。

一方、「回復キー」は、このTPMの保護メカニズムをバイパスして、VMKを直接復号するための唯一の手段です。マザーボードの交換などでTPMのチェックが失敗した際や、パスワードを忘れた際の最終手段となります。

まとめると以下のようになります：

パスワード：日常的なロック解除のための便利な認証方法。（TPMと連携、またはTPMの代わり）
回復キー：TPMの保護やパスワード認証が使えない緊急事態に、データを救出するための「最後の鍵」。