Surface 3（Windows 10）でBitLocker回復キーを保存する

（注：Surface Proをお使いの方は、この記事をご覧ください）

歴代Surfaceシリーズと、歴代Surface ProシリーズにはTPMチップと呼ばれるセキュリティチップが搭載されていまして。C:ドライブがBitLockerで暗号化されています。

ただし、賢明な方ですとご存知かもしれませんが、BitLockerはWindows 8.1 ProやWindows 10 Proにしかついていない機能なのです。Windows 8.1 ProかWindows 10 Proが標準インストールされている歴代Surface Proシリーズや、WIndows RTがインストールされているSurface RTとSurface 2はともかく、Surface 3はWindows 10 Home（またはWindows 8.1）がインストールされています。なので、BitLockerは使えないはず。ところが・・・

C:ドライブには鍵マークがついています。つまり、BitLockerで暗号化されているというわけです。恐るべしマイクロソフト。Surface 3用にWindows 10 HomeへBitLockerを追加したってことですか。

BitLockerでドライブ暗号化されているということは、BitLocker回復キーを保存しておかないとまずいです。理由を説明する前に、そもそもBitLockerって何ってところから説明しますと、BitLockerいうのは、ドライブを丸ごと暗号化する技術でして、これを使うと悪い輩がドライブを外したり、USBから他のOSをブートしてデータを盗むといったことができなくなります。故に、ブートするときにはUSBメモリを抜かなければいけません。

歴代Surfaceシリーズと歴代Surface Proシリーズの場合、BitLockerの暗号化を解除するキーはTPMチップに保存されていまして、起動するときにTPMチップからキーを取り出し、SSDからデータを読むときはこのキーで暗号化を解除しながらデータを読み取っています。データを書き込むときは逆に、このキーで暗号化してから保存します。

しかし、何らかのトラブルでキーを取り出せなかったり（USBブートをした場合を含む）、TPMチップがロックアウトされたりした場合、TPMチップからキーを読み出せなくなります。こうなると、C:ドライブへアクセスできず、Windowsを起動することができなくなります。これはセキュリティ機能でして、本来は悪い輩からC:ドライブ上のデータを守ろうとしているためなのですが、これだと持ち主すらWindowsを起動できなくなってしまいます。

そこで、どうしてもC:ドライブの暗号化を解除できなくなったときの最終手段として、回復キーが用意されています。TPMチップからキーを読み出せなかった場合、回復キーの入力を求められます。ここで回復キーを入力すれば、Windowsを起動できるというわけです。逆を言うと、Windowsが元気な内に回復キーを保存しておかないと復旧不可能となり、C:ドライブは丸ごと消すしかなくなるわけです。

BitLockerの回復キーはMicrosoftアカウントに保存される仕組みになっていますが、念のためにファイルに書き出しておいて、Surface 3本体以外のところへ保存しておいたほうがいいでしょう。BitLockerの回復キーを保存するには、コントロールパネルから［システムとセキュリティ］をクリックします。（コントロールパネルの出し方は、この記事をご覧ください）

次に、システムとセキュリティ画面から、［回復キーのバックアップ］をクリックします。

続いて、［回復キーのバックアップ］をクリックします。

クリックすると、［BitLocker ドライブ暗号化］ウィンドウが開きます。ここで、回復キーのバックアップ方法を聞かれます。［ファイルに保存する］をクリックします。

回復キーの保存場所を指定して、［保存］をクリックします。

回復キーが保存されたファイルと言っても、実態はテキストファイルでして、万一回復キーの入力を求められた時には別のPCからこのファイルを開いて、ファイルで指定された回復キー（て言うかのりはパスワードに近い）を打てばいいというわけです。逆を言うと、他のPCから読めるところに保存しておかないといけないということと（他のPCがない場合は印刷する）、他人に知られない場所に保存しておくのが重要ということです。

いずれにしても、Windowsを起動できなかったら大いに焦るのは間違いないわけで、転ばぬ先の杖として、BitLokcer回復キーはSurface 3を買ったときに保存したほうがいいと思います。