BitLocker暗号化されたストレージは他のPCで起動できるのか?

これから起こるであろう事象を先回りして実験

Windows11搭載PCの台頭で、今まで以上にBitLocker暗号化が施されたPCの故障という場面に遭遇する機会が増えてくると思います。PCの利用者が暗号化による稼働を希望していなかった場合でも、実は有効化されていて、暗号化したまま利用していたという事例(相談)が多いのも事実です。
この記事は実験の記録です。故障が発生した時の正式な対処方法ではありませんので、その点をご理解の上、体験記としてお読みください。


ここに記載した情報には誤りがない様努めておりますが、万が一情報に誤りがあった場合にはご容赦ください。ここの情報を利用する際はお客様の責任において利用してください。利用されたことによって生じるいかなる不利益も、当方では責任を負いかねます。

解決すべき課題について

大事な役割があるパソコンが、突然起動しなくなる事象。特にパソコンの電源がまったく入らなくなるような重症度が高めな場合、色々な作業が発生します。(1) 修理の可否を調べる検査 (2)修理に出して、修理そのものにかかる期間、(3)修理に出す前にデータ復旧サービスを利用する費用など、時間や費用など、パソコン利用者にとってのデメリットが沢山あります。

いますぐに何とかしたいのに、何もアイデアはないのか ? そういう課題を解決する糸口となる実験になります。

同じパソコンがもう一台あったなら・・・

皆さんも思ったことがあると思いますが、あるパソコンがピクリとも動かなくなった時、もう一台同じパソコンにストレージ(HDD/SSD)だけを移しかえて、そちらのパソコンで動かせないかな?というアイデアです。

法人や事業者を中心に、同じ型番のパソコンが複数台あって、あるパソコンには●●管理システムが導入されていて、ちょっと大事なパソコン。もう一台は普通にWordやExcelで使っている一般的な事務パソコンもある。やっかいなことに『●●管理システム』が導入・稼働している方が故障してしまった。データのバックアップもしていないし、今日このシステムを利用できないと日程的にまずい!など、緊急事態となる場合を経験された方も少なくないと思います。

BitLockerで暗号化されたパソコンでもできるの?

実験の前提条件について

BitLocker暗号化は、暗号の解読(復号)に回復キーという情報が必要になります。通常この情報はパソコン本体のマザーボード(Motherboard システム基板)にも記録されていますので、普通にパソコンが利用できる間は、電源ボタンを押すだけでシステム(Windows)が起動します。

お使いのパソコンが正しく動作しなくなる(電源が入らない)と、BitLocker暗号化を解除できるのは、別に管理されている『回復キー』のみとなります。
大事な事!BitLocker暗号化が施されていて、(パソコン内部以外に)回復キー情報を控えていない場合は、パソコンのストレージからデータを救出させることが現実的に難しくなります。(※)
※ 電源ユニット故障など、マザーボード以外に原因があり、マザーボードを交換せずに修理が可能だった場合は、データが温存される可能性が残ります。

この実験の前提条件

BitLocker絡みのトラブルを解決にあたって、以下のような前提条件を設定して作業を行います。

BitLocker暗号化の回復キー情報が手元にある、参照できる状態にあること。

Windows起動時にチェックにひっかからない、同一モデルのパソコンがあること。
Windowsは、不正コピーなどを警戒してか、異なる機種・モデルにストレージを移行させて、起動させると独特な処理が開始され、最悪Windowsの動作が阻害されます。今回の実験ではこの理由でWindowsの動作が阻害されないよう、同一モデルを用意して実験しています。

実験の過程と結果について

用意したパソコン

・富士通のノートパソコンを利用しました。
型番は、A579/CX で、FMVAで始まる構成型番は末尾まで同一のものを 2台用意しました。このモデルはCPUが第8世代のもので、Windows 10でも Windows 11でも動作可能なモデルで、今回の実験ではそれぞれのOSについて(差異がないか)確認も行っています。

事前準備

それぞれの個体に、Windows 10 と Windows 11を導入し、Windows Updateを実施し最新バージョン (バージョン 22H2) にしてあります。富士通独自の修正としてはファームウェアの更新を実施し、BIOS(TPM周り)のプログラムを最新版で実験するよう意識しています。

作業の流れ

・Windows をインストールし、更新する。(10 と 11を別々の個体に)
・BitLocker暗号化を有効にして、回復キーの控えを取る。
・個人データを模したでータを、デスクトップ、ドキュメント、Cドライブ直下などに配置する。(画像と動画とエクセル文書データをサンプルで用意しています。)
・下処理が終わったパソコンから、ストレージを取り外す。
異なる個体の方にストレージを移設。接続し直す。★
・電源投入して、その後の様子を観察する。

★故障したPCのストレージを、他の(健常な)PCにストレージを移すイメージです。

パソコンで起こった振る舞い

結果として、Windows 10でも、Windows 11でも同じ流れを経て進みましたので、共通の説明として記録します。
・電源を入れると、BIOSロゴ表示のあと、見慣れない画面表示になります。
・BitLocker回復キーを入力しなさい、という画面になりますので、移設前のBitLocker設定時に控えた回復キーを入力します。
・入力が終わると、処理が進みOS(Windows)の起動画面に移ります。
・起動にかかる時間は通常よりも長いですが、当方の実測では二倍には届かない位な体感でした。
数回の再起動が入ります。
『デバイスを準備しています』『準備しています』の表示が入ります。
・最終的にサインインの画面に移行します。(※)
※当方で用意した条件では、ローカルアカウントでパスワード無しの設定に揃えましたので、いきなりデスクトップの表示まで進みました。
・表示され、操作可能となったタイミングで、テスト用の個人データを一時的にストレージにコピーして、検証用のパソコンで開けるか確認しました。(※)
※エクセルや動画再生のソフトが入っていないパソコンで実験したので、検証を別のPCで行いました。

Windows が起動するまでに時間がかかることを除けば、BitLocker暗号化の回復キーさえ入れられれば起動できそうだ、という結果になりました。

総括

総括を残す前に申し上げておきたいことは、どんなトラブル環境でも必ずこのように成功するんだ、というニュアンスを伝えたい訳ではありません。その現場で発生したトラブルの内容や原因によっては、そもそもが実施できない作業だったり、用意した環境の差異によってはうまく・いかないの結果が変わったり、もしくは状況がもっと悪くなる可能性も十分にあります。あくまでも修理事業者に頼らず自力で解決したい、緊急で何か作業が必要だという方に向けた参考情報です。
過信せず、大事なデータの保護・救出を第一優先度とされている場合は、専門のデータ復旧事業者、修理事業者の助けを借りて作業を行ってください。

BitLockerのキーがマザーボードに保管されていなかった場合は、電源投入直後に回復キーの入力を促し、ストレージにアクセス可能な状態に変える仕組みは、パソコン本体に内蔵されていました。Windows 10でも11でも同様の手順です。
そのパソコンが出荷された時点で、Windows 10以降のモデルであったなら、ほぼ同じ機能が期待できると思います。
中古パソコンなど、Windows 8以前のPCがベースになっていた機種の場合は、また状況が変わるかもしれません。

Windows の『他のPCに移されたかも?センサー』が発動しない程度の型番同士の移行なら、BitLocker導入以前でもできた、この方法がそのまま使える印象です。

この方法が使えない機種など

残念ながらすべてのパソコンで使える技とはいかないので、以下のようなパソコンを利用されている場合は、そもそも大事なデータをパソコンだけに記憶させない など、もっと抜本的な利用方法に変える必要があります。

そもそもこのような作戦が利用できない事例。

ストレージが物理的に取り外せない製品
→ タブレット製品全般。ストレージを取り外せないと他のパソコンで回復キーを入力するということ自体ができないので、最大限の注意が必要です。クラウドなどにリアムタイムでバックアップするなど、新しい仕組みを導入しないと詰んでしまいます。

同じ、もしくは近似の型番が用意できない環境
→ 型番が違いすぎるとWindows起動時に別のトラブルが発生する。
※この場合は、無理せず普通に『データ復旧サービス』を利用すべき。回復キーがあって、ストレージに故障がなければ、だいたいデータは救出できるはずです。

ストレージ自身が故障している事例
この事例も意外に多くて・・・SSDなどは客観的に故障しているか証拠が得られにくい変わった症状が含まれるので、一般的な検査ツールで【正常】となっていても、実はストレージ故障ということがあり得ます。