Windows 11の更新プログラム適用後に、BitLockerの回復キー入力を求められる事例が報告されている。場合によってはPCがロックされ、業務が停止する可能性もあるため注意が必要だ。
今回の問題はすべてのユーザーに影響するものではないが、特定のセキュリティ設定を行っている環境では発生しやすいとされる。とくに企業で管理されているPCでは条件が重なりやすく、影響が広がる懸念がある。
本稿では、この問題が発生する原因と対象環境、企業にとってのリスクを整理する。
-
Windows Update後にBitLockerの回復キー入力が求められるケースが報告されている(イメージ) 出典:Microsoft
なぜWindows UpdateでBitLocker回復が求められるのか?
Microsoftによると、この更新プログラムをインストールした後、最初の再起動時にBitLocker回復キーの入力が求められる場合があるという。マイクロソフトによると、キーの入力は一度だけで済むとのことだ。
対象となるのは、BitLockerのグループポリシーが完全に適用(コミット)されていない状態の一部デバイスだ。
この問題は、一定の条件が満たされたシステムにのみ影響する。具体的には、企業などでBitLockerの設定をグループポリシーで厳密に管理している環境で発生しやすく、IT部門の管理下にない個人向けデバイスで発生する可能性は低いとされる。
これは、Windows Updateによる起動構成の変更をBitLockerが異常と検知することが原因とみられる。
どの環境で発生するのか?
- OSドライブでBitLockerが有効
- グループポリシー「ネイティブUEFIファームウェア構成用のTPMプラットフォーム検証プロファイルの構成」が構成され、PCR7が検証プロファイルに含まれている(または同等のレジストリキーが手動で設定されている)
- セキュアブート状態のPCR7バインディングが「不可能」な状態
- 2023年版のWindowsブートマネージャーが未インストール
企業にとって何が問題なのか?
この問題が企業にとって深刻なのは、「一部のPCが突然利用できなくなる」可能性がある点にある。
BitLockerはディスク暗号化機能であり、回復キーがなければデータにアクセスできない。そのため、以下のようなリスクが想定される。
- 回復キーが適切に管理されていない場合、PCが事実上ロックされる
- ユーザーでは対応できず、IT部門の介入が必要になる
- 更新タイミングが重なれば、複数端末で同時に問題が発生する可能性がある
特に、全社的にWindows Updateを適用する運用を行っている企業では、影響が広範囲に及ぶ恐れがある。
事前に回避する方法はあるのか?
Microsoftは、この問題の回避策としていくつかの方法を提示している。
1つは、更新プログラム適用前にBitLockerのグループポリシー設定を見直す方法だ。具体的には、TPMの検証プロファイル(PCR7)に関するポリシーを「未構成」に変更することで、回復キー要求の発生を防げる可能性がある。
もう1つは、「既知の問題ロールバック(KIR)」の適用だ。これは問題のある変更を無効化する仕組みで、更新前に適用することでBitLockerの回復トリガーを回避できるとされる。
ただし、これらの対応はいずれも管理者による事前対応が前提となるため、企業環境では更新前の検証と設定確認が重要になる。
管理者はどう対応すべきか?
こうしたリスクを踏まえ、企業のIT管理者にはいくつかの対応が求められる。
まず重要なのは、BitLocker回復キーの管理状況を確認することだ。Active Directoryやクラウド管理基盤に回復キーが適切に保存されているかを事前にチェックしておく必要がある。
次に、更新プログラムの適用前に検証環境で影響を確認することも重要だ。特にBitLockerのポリシー設定やTPM関連の構成を変更している場合は、慎重なテストが求められる。
さらに、問題発生時の対応手順を整理し、利用者への周知を行っておくことで、トラブル時の混乱を最小限に抑えることができる。
Windows Updateは日常的な運用の一部だが、環境によっては重大な影響を及ぼす可能性がある。企業は“更新前提”の運用から一歩進み、“検証前提”の運用へとシフトすることが求められている。
Windows 11更新プログラム「KB5083769」で何が変わる?4月アップデートの変更点まとめ
