はじめに
Windows 11 では、PCの条件が整っていると初期設定の流れ(OOBE)で自動的に暗号化が開始され、Microsoft アカウント(以下 MSA)でサインインすると回復キーがアカウント側に自動保存されます。普段は意識せず使えますが、UEFI/TPM の変更や大型アップデート後に突然「回復キーの入力」を求められることがあります。回復キーにアクセスできない場合、原則としてデータ復旧はできません。
本記事では、2025年の最新事情と最近の出来事を前提に、いますぐ確認すべき点、正しい保管方法、更新前後の安全運用、そして“いざという時”対処法をくわしくご案内します。
1. いま改めて備えるべき理由(2025年アップデート状況)
2025年10月に配信された更新プログラム KB5066835 の影響で、一部環境のWindows 回復環境(WinRE)で USB キーボードやマウスが反応しない不具合が発生し、Microsoft は緊急の OOB アップデート(KB5070773)を配信しました。
復旧作業の要である WinRE が操作不能だと、トラブル時の対処が難しくなります。
2. まずは現状確認:あなたのPCは暗号化中?回復キーはどこ?
画面のルートだけ押さえておけば、迷いません。
暗号化状態の確認
- 設定を開きます。
- [プライバシーとセキュリティ] → [デバイスの暗号化](または [BitLocker の管理])を開き、有効/無効の状態を確認します。
- PCによっては「デバイスの暗号化」という簡易表示、または従来の「BitLocker ドライブ暗号化(コントロール パネル)」で表示されます。自動暗号化の概念はDevice Encryptionとして案内されます。
回復キーの所在を確認
- MSA 連携の個人 PC:MSA に回復キーが紐付いている可能性が高いので、「BitLocker 回復キーの検索」公式ページにサインインして確認します。表示されたキーの中から、後述の Key ID で突き合わせると迷いません。
重要:Microsoft は失われた回復キーを再発行できません。 公式サポートでも「取得・再作成は不可」と明示されています。必ず自分でバックアップを確保しましょう。
3. 回復キーの“正しい”保管術(印刷・オフライン保存・照合のコツ)
印刷とオフライン保存はセットで
- 設定 → デバイスの暗号化/BitLocker の管理から、回復キーの表示/バックアップを開きます。
- 表示された48桁の回復キーを紙に印刷します。合わせて、USB メモリにもテキストで保存しておきましょう。
- 用紙/ファイル名にPC 名・取得日を書き添えると、複数台管理でも迷いません。
Key ID で「どのキーがこのPCか」を見分ける
- 回復画面にはKey ID(短い識別子)が表示されます。MSA 側に複数の回復キーがある場合、同じ Key ID を持つエントリを選べば正解にたどり着けます。手元の印刷物の余白にも Key ID を控えておくと安心です。
4. 大型更新・UEFI/TPM 変更前の「予防整備」
BitLocker はブート構成やファームウェアの変化に敏感です。BIOS 更新やTPM のリセット、大きな機能更新の前には、一時中断(Suspend)→再開の流れにしておくと、不意の回復キー要求を避けやすくなります。
手順(コントロール パネル派)
- コントロール パネルを開き、[BitLocker ドライブ暗号化]へ。
- システム ドライブ(C:)の[保護の一時停止]を実行。
- 再起動してから BIOS/ファームウェア更新や大規模アップデートを行います。
- 正常起動を確認後、[保護の再開]を選んで元に戻します。
手順(PowerShell 派)
- 管理者として PowerShell を開き、次のコマンドを順に実行します。
- 一時停止:
Suspend-BitLocker -MountPoint "C:" -RebootCount 1 - 更新後に保護は自動再開、または
Resume-BitLocker -MountPoint "C:"で手動再開。
- 一時停止:
補足:TPM をクリアする操作は影響範囲が大きいので、実施前に回復キーの入手と保管が必須です。
5. 突然「回復キー入力」画面が出たときの落ち着いた対処
青い回復画面は焦りがちですが、手順はシンプルです。
- 画面に表示されているKey ID(英数字の短い識別子)を紙に書き写します。
- 別の端末やスマホで MSA の回復キー検索ページにサインインし、同じ Key ID を持つエントリを探して48桁の回復キーを表示します。
- PC に戻って、48桁の数字をハイフン込みで正確に入力します。桁区切りごとに声に出して確認するとミスが減ります。
それでも起動が安定しない場合の観点
- 直前に BIOS/UEFI 更新や設定変更、TPM の操作をしていないか振り返ります。必要に応じてBitLocker の PCR 設定や保護状態を確認し、保護の無効化→再構成で安定するケースがあります。
- 例:
manage-bde -protectors -get C:で現在の保護者(TPM/PIN/回復キーなど)と PCR 情報を確認。
- 例:
6. 「無効化」はアリ?――用途別の現実解
- ノート PC・外出用途・機密データ:盗難時の情報漏えい対策として、BitLocker を基本オンで運用するのが現実的です。
- 据え置きデスクトップ・物理的に安全・オフライン運用:自己責任で無効化という選択も理屈としてはあり。ただし、後で方針変更したくなるケースが多いので、まずは運用を整備(回復キー保管/更新前の一時中断)してから判断するのがおすすめです。
ポイント:自動暗号化は MSA でのサインイン時に保護が有効化(armed) されます。ローカル アカウントのみで運用する場合は自動暗号化が有効にならず、手動で有効化が必要です。運用方針とトレードオフ(OneDrive 連携など)を理解した上で選びましょう。
7. よくある質問
Q. Home エディションでも暗号化されますか?
A. 条件を満たす PC では、Device Encryption により自動で暗号化が開始されます。画面上は「デバイスの暗号化」と表示されることがあります。
Q. 回復キーはどこに保存されていますか?
A. 多くの個人 PC は MSA 側に自動保存されています。まずは公式の回復キー検索ページを確認しましょう。
Q. 回復キーを失くしました。Microsoft に再発行してもらえますか?
A. できません。 公式に「取得・提供・再作成は不可」と明記されています。必ず印刷や USB などで複製を保管してください。
Q. アップデート後に回復キーを求められました。なぜ?
A. UEFI/TPM の更新・設定変更、ブート構成の変化などが引き金になります。更新前に一時中断してから作業すると回避しやすくなります。
Q. 2025年10月の WinRE 不具合は関係ありますか?
A. 直接は BitLocker そのものの不具合ではありませんが、復旧操作の難易度を上げた出来事でした。回復キーを事前に手元で管理し、復旧経路を複線化しておく重要性を示しています。
8. まとめ:今日からできる“失わない”ための三か条
- 現状確認:暗号化の有効/無効と回復キーの所在を確かめ、Key ID まで控える。
- 手元保管:印刷+USBでオフライン管理。用紙・ファイルにPC 名/取得日/Key IDを追記。
- 予防整備:大型更新や UEFI/TPM 操作の前に一時中断→更新→再開の習慣化。
BitLocker は、適切に運用すれば万一のときに“守ってくれる側”の機能です。「仕組みの理解」×「回復キーの徹底保管」×「更新前の一手間」で、日々を安心してお使いください。
あなたの大切なデータを、しっかり守っていきましょう。
【おすすめ記事】
▶︎Windowsのセキュリティ設定を見直そう!Defenderとファイアウォールの違いと正しい設定方法
