Windows 11 PC内のデータを自動で暗号化する機能［設定＞プライバシーとセキュリティ＞デバイスの暗号化］

設定の開き方

画面下の「スタートボタン（Windows アイコン）」をクリックし、画面内の「設定」をクリックします。

左メニュー「プライバシーとセキュリティ」を選択し、右側の「デバイスの暗号化」を選択します。

デバイスの暗号化

オンにすることにより、PC全体のデータを自動で暗号化する、Windows標準のシンプルな機能。

• 主に 家庭向け・一般ユーザー向け の暗号化機能
• スイッチをオンにするだけで、PC 内のデータが自動的に暗号化される
• Microsoft アカウントにサインインしていれば、回復キーも自動的にクラウドへ保存される
• 設定が簡単で、特別な知識は不要

「とりあえずデータを守りたい」人は、このスイッチをオンにするだけでOK。

デバイスの暗号化とは

デバイスの暗号化とは、1個1個のファイルを暗号化する機能ではなく、Windows が入っているドライブ全体をまとめて暗号化する仕組みです。
そして、そのドライブを抜き取って別のPCにつないでも、中身は読めないというタイプの「ディスク暗号化」の機能です。
中身としては、BitLocker の簡易版・自動版みたいなものになっています。

そもそも「デバイスの暗号化」項目が出ない場合もある

「デバイスの暗号化」という項目がそもそも出てこないのは、そのPCが「デバイスの暗号化」という“簡易自動BitLocker機能”の対応条件を満たしていないから。

主な理由としては、

• 主な理由① エディションやメーカー設計の違い
  ・Windowsエディションの違い
  ・メーカーの設計・プリインストール構成
• 主な理由② ハードウェア要件を満たしていない
  「デバイスの暗号化」が出るためには、ざっくり以下が必要です（代表例）：
  ・TPM 2.0 が搭載され、有効になっていること
  ・UEFI + セキュアブート有効
  ・Modern Standby（モダンスタンバイ）対応であること
  ・暗号化に必要なセキュリティ機能（PCR7バインディングなど）がOK判定であること
  これらの条件のどれかを満たしていないと、Windows は「このPCでは自動デバイス暗号化はやらない」と判断し、そもそも「デバイスの暗号化」という項目を表示しません。
• 主な理由③ サインイン方法や管理ポリシーの影響
  ・Microsoft アカウントでサインインしていない
  ・会社管理（ドメイン参加／Intune管理など）

何がどう暗号化されるのか、どの範囲が暗号化される？

対象はWindows が入っている「オペレーティングシステム ドライブ」＋固定ドライブ

＜𝐶:ドライブ（＋条件次第で𝐷:などの固定ドライブ）＞

Windows の説明では、「デバイス暗号化はオペレーティングシステムドライブと固定ドライブに対して BitLocker 暗号化を自動で有効にする機能」とされています。
つまり：

• 「デスクトップ」「ドキュメント」「ピクチャ」など、Cドライブ上のデータは丸ごと暗号化の対象
• 特定のフォルダだけ・特定のファイルだけを選んで暗号化するものではない

暗号化したドライブを別のPCにつないだらどうなる？

ここが一番イメージしやすい。

• ケース1：普通に電源オンして、自分のPCでWindowsを起動した場合
  → いつも通りファイルを開ける（裏で自動的に復号されている）
• ケース2：PCが壊れて、SSDだけ取り出して、別のPCにUSB接続した場合
  → 暗号化されているので、そのままでは中身を読むことはできない
  → 暗号を解くための「鍵（復号キー／回復キー）」が必要

つまり、「PCごと盗まれた」「ドライブだけ抜き取られた」という状況でも、鍵がなければ中のデータは読めない設計になっています。

中身はBitLockerベース（でも操作は超シンプル）

実は中身はBitLocker。
Microsoft の公式説明だと、「デバイス暗号化は BitLocker 暗号化を自動的に有効にする Windows 機能」とされています。
裏側のエンジンは BitLocker（ビットロッカー） で、ただし操作はすごく簡略化されています。

デバイスの暗号化：

• Homeエディションなどでも利用可能
• 条件を満たすPCでは、自動的に有効になることもある
• ユーザー側の設定項目は少なく、「オン／オフ」が基本

BitLocker（ドライブ暗号化）：

• Pro / Enterprise など向け
• 起動時のPIN、USBキー、ドライブごと設定、外付けの暗号化など細かく制御できる

ざっくりいうと、「デバイスの暗号化」＝ BitLocker の家庭向け仕様。

鍵（回復キー）が非常に重要な理由

ドライブをまるごと暗号化する、ということは：

• 鍵がないと「正規の持ち主であっても」データを読めない
• OSが起動しなくなったときは、回復キーがないと中身にアクセスできない

Windows のデバイス暗号化では、条件を満たしていれば：

• Microsoft アカウントで初回サインインしたときに自動的に有効化
• そのタイミングで 回復キーがアカウントに紐づいて保存される

という動きになっています。なので、暗号化をオンにしているなら：

• 自分の Microsoft アカウントにログインして、回復キーが保存されているか一度確認しておく
• スクリーンショット、紙に印刷、パスワードマネージャなどでバックアップしておく

これをしておかないと、「PCが壊れた＋回復キーがない＝データに永久にアクセスできない」という状態になりかねません。

同じMicrosoft アカウントでサインインしていれば他のPCのドライブの中身を開けるか？

AのPCで暗号化したCドライブを、BのPCにUSB接続した場合、BのPCはこう判断します。

「これは暗号化されたドライブだ。 回復キーを入力しない限り開かせない」。つまり、

• 同じMicrosoft アカウントでサインインしていても
• 同じユーザー本人であっても
• Windowsは自動で鍵を使って復号しない

Microsoft アカウントにログインして回復キーを確認する

手順 1：回復キー確認ページを開く

まず、以下の公式ページにアクセスします：

https://aka.ms/myrecoverykey
（Microsoft の BitLocker 回復キー確認ページ）

手順 2：Microsoft アカウントでサインイン

• PCで使っているMicrosoft アカウントでログインします。
• パスワード入力を求められたら入力します。

手順 3：紐づいている PC の一覧が表示される

ログインすると、あなたの Microsoft アカウントに紐づいた PC が一覧で表示されます。

• PC 名（例：DESKTOP-XXXXXX）
• デバイスの種類
• 登録日 など

手順 4：確認したい PC を選ぶ

目的のPC（暗号化をオンにした PC）をクリックします。

手順 5：「回復キーの管理」を開く

PCの詳細画面にある 「BitLocker データ保護」→「回復キーの管理」 をクリックします。

手順 6：回復キーが表示される

48 桁の回復キーが一覧で表示されます。

• 複数のキーがある場合は、キーIDで判別できます。
• 必要ならコピーして保存しておきましょう。

OSVとFDVの違い

見るべきは “OSV（オペレーティングシステムボリューム）” の方。

• OSV = Windows が入っている C ドライブ（起動ドライブ）
• FDV = 固定データボリューム（Dドライブなどのデータ用）

知りたいのはPCのCドライブの回復キーなので、OSV の方だけ見ればOK です。

同じデバイス名が複数あるのは何？

これもよくある現象で、理由は以下のどれかです。

• Windows を再インストールした
  → 新しい回復キーが発行され、古いキーも残る
• デバイスの暗号化がオンになったタイミングが複数回あった
  → そのたびに新しいキーが作られる
• PC 名は同じでも、内部的には別デバイスとして扱われた
  → 例えば SSD を交換した、初期化した、など

つまり、同じデバイス名でも、実際には“別の世代のキー”が複数残っているだけということです。
よって、キーの作成日を見て一番新しいOSVの回復キーを使います。

BitLocker ドライブ暗号化（関連）

より高度な設定ができる“プロ向け”の暗号化機能。

• Windows 11 Pro / Enterprise などで利用可能
• 暗号化の方式、対象ドライブ、起動時の認証方法などを細かく設定できる
• USBメモリや外付けドライブも暗号化できる
• 企業や情報管理が厳しい環境でよく使われる

「暗号化を細かく管理したい」「外付けドライブも守りたい」人向けの上位機能。

BitLocker ドライブ暗号化とは

「デバイスの暗号化」が簡易版 BitLocker的位置づけなのに対し、「BitLocker ドライブ暗号化」は本格的な BitLocker の管理画面に移動します。

BitLocker は“Windows の本格的な暗号化機能”で、ドライブ単位の暗号化・起動時認証・外付けドライブ保護・企業管理など、「デバイス暗号化」よりも細かく強力にコントロールできます。

BitLocker ドライブ暗号化でできること

ドライブを丸ごと暗号化できる

• C ドライブ（OS）
• D/E などのデータドライブ
• 外付け HDD / SSD / USB メモリ → 中身を全部まとめて暗号化できる。

暗号化されている限り、ドライブを抜き取って別PCにつないでも読めない。

起動時の認証方法を選べる（Pro 以上）

BitLocker は「起動時にどうやって本人確認するか」を細かく設定できる。

• TPM だけで自動解錠
• PIN を入力して起動
• USB キーを挿さないと起動しない
• PIN＋USB の二段階

→ 企業でよく使われる“強いセキュリティ”が実現できる。

暗号化方式を選べる

• XTS-AES 128bit
• XTS-AES 256bit など、暗号化の強度を選択可能。

一般ユーザーは気にしなくていいが、企業では要件に合わせて使い分ける。

回復キーを複数の方法で保存できる

• Microsoft アカウント
• USB メモリ
• 印刷
• ファイル保存
• Active Directory / Azure AD（企業）

→ 万が一ロックされたときの“最後の鍵”を複数の場所に保管できる。

外付けドライブだけ暗号化することもできる

USB メモリや外付け HDD を暗号化する「BitLocker To Go」も利用可能。

• 会社のデータを持ち出すとき
• USB 紛失対策 などに便利。

暗号化の進行状況を細かく管理できる

• 暗号化の一時停止
• 再開
• 解除
• ドライブごとの状態確認

「デバイスの暗号化」よりも圧倒的に細かくコントロールできる。

企業向けの管理機能が豊富

• グループポリシーで一括設定
• Azure AD / Intune で自動展開
• 回復キーの集中管理
• 暗号化必須ポリシー

家庭向けではあまり使わないけれど、企業では標準的。

BitLocker ドライブ暗号化のおおまかな手順

① BitLocker の設定画面を開く

• 設定 → プライバシーとセキュリティ → デバイスの暗号化（または BitLocker の管理）
• または コントロールパネル → システムとセキュリティ → BitLocker ドライブ暗号化

② 暗号化したいドライブを選ぶ

• 例： Windows（C:） データ（D:） USB メモリ（外付け）

③ 「BitLocker を有効にする」をクリック

• C ドライブの場合は「OS ドライブ用の設定」が自動で始まる。

④ 回復キーの保存方法を選ぶ

BitLocker の最重要ポイント。

• Microsoft アカウントに保存
• USB に保存
• ファイルとして保存
• 印刷して紙で保管

どれでも良いが、必ずどこかに保存することが大事。

⑤ 暗号化方式を選ぶ（基本はそのままでOK）

• 「新しい暗号化モード（推奨）」
• 「互換モード（外付けで使う場合）」

迷ったら 推奨のままで問題なし。

⑥ 暗号化を開始

• PC が使える状態のままバックグラウンドで進む
• 途中で再起動が必要になる場合もある

⑦ 完了したら、ドライブ名に鍵アイコンが付く

これで暗号化が有効になっている状態。

BitLocker 回復キーの検索（関連）

Windows 11 の「BitLocker 回復キーの検索」をクリックすると、設定画面ではなく Microsoft のサポートページに飛びます。一見新たな操作画面に遷移しそうですが実際にはサポートページが出ます。

デバイスの暗号化で生成される回復キーは、PC の中ではなく Microsoft アカウント側に保存されます。
そのため、Windows の設定アプリには回復キーを直接表示する機能がありません。

「検索」という言葉は“PC内を探す”という意味ではなく、「あなたの回復キーが保存されている Microsoft アカウントのページへ案内する」という意味で使われています。