Crucial^® SEDのハードウェア暗号化のセットアップにおけるBitLockerの利用

Windows® 8.1以降では、BitLocker®と呼ばれるアプリケーションを使用してSEDの暗号化キーを自動的に管理することができます。Bitlockerによるハードウェア暗号化を有効にするには、以下の要件が満たされている必要があります（BitLocker以外の暗号化ソフトウェアでは、追加または異なる要件が求められる場合があります）。

注：以下は、Microsoft® eDriveに対応しているCrucial SEDに対してBitLockerを使用してハードウェア暗号化を有効にする手順です。Microsoft eDriveに対応していないCrucial SEDもあるため、本ガイドの手順に進む前に、ご使用のドライブがこの仕様に対応しているかご確認ください。Microsoft eDriveに対応していないドライブに本手順を使用すると、BitLockerを使用したソフトウェア暗号化は有効にできますが、ハードウェア暗号化は有効にできません。Crucial MX500シリーズまたはそれ以前のSEDをお持ちの場合は、以下の手順に進んでください。Crucial M.2 NVMe SEDをお持ちの場合は、「Crucial NVMe® SSDのハードウェア暗号化の有効化」の記事で提供している情報に従う必要があります。

• TPMモジュール：BitLockerはTPMのバージョン1.2および2.0以降にのみ対応しています。また、Microsoftが提供するTPMドライバーを使用する必要があります（BitLockerはTPMなしでも機能しますが、パスワードを設定する場合はUSBフラッシュドライブが必要になります）。TPMについて不明な点がある場合は、ご使用のシステムのメーカーにお問い合わせください。
• UEFI 2.3.1以降：ホストコンピューターのUEFIが2.3.1以降で、EFI_STORAGE_SECURITY_COMMAND_PROTOCOLが定義されている必要があります。これにより、SEDとの間でセキュリティプロトコルのコマンドを送受信できます。要件を満たしているか不明な場合は、ご使用のホストコンピューターのメーカーにお問い合わせください。
  
• セキュアブート：システムのBIOS設定でセキュアブートを有効にしておく必要があります。Windows 8.1以降の多くのシステムではこの機能は自動的に有効になっています。この機能を有効にする方法については、システムのメーカーにお問い合わせください。
  
• Opal 2.0対応：システムがOpal 2.0セキュリティ規格に対応している必要があります。Opal 2.0規格には下位互換性がありません。このためCrucial SEDはOpal 1.0に対応していません。ご使用のシステムがOpalに準拠しているか不明な場合は、システムメーカーにお問い合わせください。
  
• Microsoft eDrive：BitLockerまたはグループポリシーを使用したSEDのハードウェア暗号化でMicrosoftが採用しているセキュリティ仕様です。この仕様は、TCG OPALおよびIEEE 1667規格に基づいています。SEDのOSでBitLockerまたはグループポリシーを使用してハードウェア暗号化を有効する場合にのみ必要です。サードパーティのソリューションでは、厳密には、ハードウェア暗号化の有効化にこの機能が必要でないこともあります。
• UEFIモード：ホストコンピューターは必ずUEFIから起動する必要があります。「Compatibility」または「legacy」ブートモードは無効にする必要があります。Crucial SEDを取り付ける前に、システムをUEFI専用モードにすることをお勧めします。CSM（Compatibility Support Mode）も無効にする必要があります。これらの設定については、ご使用のシステムのメーカーにお問い合わせください。
  
• パーティション2つ（1つは暗号化なし）：SSDには2つのパーティションが必要であり（一般にWindowsがインストールされているドライブにはパーティションが2つある）、暗号化するメインのパーティションはNTFSである必要があります。暗号化されないセカンダリパーティションには1.5GB以上の容量が必要です。このパーティションは認証目的で使用され、暗号化が機能するために必要です。
  
• ベーシックディスク：BitLockerではダイナミックディスクはサポートされません。Windows 8およびWindows 10ドライブは、GPTパーティションレイアウトのベーシックディスクとして構成され、ハードウェア暗号化を使用するにはこのレイアウトが必要です。
  

SEDを取り付けるにあたっては、下記の例に示すように、ホストシステムのUEFIがSEDを正しく認識するように設定しておくことをお勧めします。システムのセットアップの詳細は、各種機能の名前同様、システムによって異なりますが、似ており、一つの例を紹介するだけで十分と思われます。個々のUEFIのセットアップの詳細は、ご使用のコンピューターのメーカーにお問い合わせください。

1. セキュアブートを有効にします。Windows 8.1またはそれ以降のシステムを実行するには、Microsoftのセキュアブートが必須です。出荷時にWindows 8.1/10/11用に構成されているコンピューター（Windows 8、Windows 10、Windows 11のラベルが付いているコンピューター）は、セキュアブートが当初から有効になっています。ご使用のホストシステムがWindows 7またはそれ以前のOS用に構成されている場合は、以下に示すように、セキュアブートが有効になっていることを確認してください。

2. UEFIブートモード/CSMのサポート。ホストコンピューターシステムはUEFI専用モードである必要があります（下記を参照）。通常、UEFI専用モードでは、CSMは自動的に無効になります。ただし、実際に確認して、必要があればCSMを無効にしてください。

3. Windows 8.1/10/11をインストールします。ハードウェア暗号化を実行する最も簡単な方法は、新たにOSをクリーンインストールすることです。Windows 8.x、10、および11のEnterprise版やProfessional版にあるBitLockerのバージョンは、SEDのハードウェア暗号化をサポートしています。この機能に特別な手順は不要です。Microsoftが記載する通常のOSインストール手順に従ってください。OSのインストールが完了したら、「BitLockerの有効化」セクションに進みます。
   注：BIOSの起動優先順位の設定で、最初にSSDから起動するように設定する必要があります。USBやCDを優先してはいけません。
4. システムのクローンの作成。Crucial SEDはeDriveに対応しているため、BitLockerを有効にすると、特殊なパーティションが作成されます。これらのパーティションはeDriveの機能を有効にするために必要です。eDriveが有効なSSDのクローンを作成すると、それらの特殊なパーティションがターゲットドライブに正しくコピーされない場合があります。ターゲットドライブは機能しても、有効なプロセスとは見なされず、潜在的なパフォーマンスの問題の原因になることがあります。Bitlockerのソフトウェア暗号化を使用してソースディスクを暗号化した場合は、BitLockerが無効になっていることを確認してからCrucial SEDへのイメージクローン操作を行ってください。ソースシステムでBitlockerをソフトウェア暗号化モードで使用している場合、BitLockerを無効にするには暗号化解除プロセスが必要です。ユーザー数とドライブ上のOSのデータ量よっては、このプロセスに数時間を要する場合があります。

1. Windowsキー（通常は<Ctrl>キーと<Alt>キーの間にある）を押し、This PCと入力してEnterキーを押します。
2. システムドライブのアイコンを右クリックし、ポップアップメニューからBitLockerをオンにするを選択します。

3. 次に、BitLockerが構成中であることを確認するステータスボックスとステータスバーが表示されます。この処理はすぐに完了します。
4. Microsoftの説明に従って回復キーを保存するためのオプションのいずれかを選択します。Crucialが特に推奨するオプションはありませんが、この手順は無視しないでください。これがSSDからデータを回復する唯一の方法になる場合もあります。認証キーまたはパスワードを紛失した場合、Crucialではデータを回復するためのバックドア手法は出荷時に用意していません。キーを保存したら次へを選択して操作を続行します。
   

5. このドライブを暗号化する準備ができましたか？というメッセージが表示されたら、続行をクリックします。このプロセスを完了するにはシステムを再起動する必要があります。

6. 再起動が完了すると、BitLockerの鍵マークのアイコンでBitLockerが有効になっていることがわかります。

この後の動画では、このプロセスを詳しく解説しています。