モバイル・IoT セキュリティ

デバイス暗号化

約 4 分で読めます

最終更新: 2026-02-12

デバイス暗号化とは

デバイス暗号化 (Device Encryption) とは、スマートフォン、PC、タブレットなどのデバイスに保存されたデータを暗号化し、正当な認証 (パスワード、PIN、生体認証) なしにはデータを読み取れないようにする技術です。

デバイスを紛失したり盗難に遭ったりした場合、暗号化されていなければストレージを取り出して別のデバイスに接続するだけでデータを読み取れます。デバイス暗号化が有効であれば、ストレージ上のデータは暗号化された状態で保存されているため、認証情報なしには解読できません。

データ暗号化が通信中や保存中のデータを広く対象とするのに対し、デバイス暗号化はデバイスのストレージ全体を対象とする「フルディスク暗号化」または「ファイルベース暗号化」を指します。

OS ごとの暗号化の仕組み

  • iOS: iPhone は初期設定時から自動的にハードウェアベースの暗号化が有効。AES-256 暗号化が使用され、パスコードを設定するだけで暗号化キーが保護される。パスコードなしでは FBI でさえデータにアクセスできなかった事例 (2016 年サンバーナーディーノ事件) がある。
  • Android: Android 10 以降のデバイスではファイルベース暗号化 (FBE) がデフォルトで有効。デバイスの起動直後でも一部の機能 (アラーム、電話の着信) が動作する「Direct Boot」に対応。古い Android デバイスではフルディスク暗号化 (FDE) が使用されていた。
  • Windows: BitLocker が Windows Pro / Enterprise エディションで利用可能。TPM (Trusted Platform Module) チップと連携して暗号化キーを安全に保管する。Windows Home エディションでは「デバイスの暗号化」という簡易版が利用可能だが、TPM 2.0 と UEFI セキュアブートが必要。
  • macOS: FileVault 2 がフルディスク暗号化を提供。Apple Silicon (M1 以降) の Mac では、ハードウェアレベルの暗号化が常時有効で、FileVault は復旧キーの管理と追加の保護層を提供する。

デバイス暗号化が保護する範囲と限界

デバイス暗号化は強力な保護を提供しますが、万能ではありません。保護できる範囲と限界を正確に理解することが重要です。

保護できるケース

  • デバイスの紛失・盗難時に、第三者がストレージからデータを直接読み取ることを防止
  • デバイスを廃棄・売却する際に、暗号化キーを破棄するだけでデータを復元不可能にする (安全なデータ消去と組み合わせるとより確実)
  • 法執行機関や攻撃者がデバイスを物理的に入手した場合のデータ保護

保護できないケース

  • デバイスがロック解除された状態での攻撃 (マルウェア、不正アプリ)
  • ユーザーが許可したアプリ権限を通じたデータアクセス
  • クラウドにバックアップされたデータ (iCloud、Google Drive のバックアップは別途暗号化設定が必要)
  • 通信中のデータ (TLS/SSLE2EE で別途保護が必要)

特にクラウドバックアップは見落としがちなポイントです。デバイス上のデータが暗号化されていても、バックアップが暗号化されていなければ、クラウド側からデータにアクセスされる可能性があります。iOS の「高度なデータ保護」や Android の暗号化バックアップ機能を有効にしてください。

暗号化を最大限に活かすための設定

デバイス暗号化の効果を最大化するために、以下の設定を確認してください。

  • 強力なパスコード / パスワード: 暗号化の強度はパスコードの強度に依存します。4 桁の数字 PIN では総当たり攻撃に対して脆弱です。6 桁以上の PIN、または英数字のパスワードを設定してください。生体認証 (指紋、顔認証) を併用すると利便性を維持できます。
  • 自動ロックの設定: デバイスを一定時間操作しないと自動的にロックされるよう設定する。ロック解除されている間は暗号化の保護が効かないため、自動ロックまでの時間は短く (1〜2 分) 設定することを推奨。
  • リモートワイプの有効化: iOS の「iPhone を探す」、Android の「デバイスを探す」を有効にしておくと、紛失時にリモートでデバイスのデータを消去できる。暗号化と組み合わせることで、物理的な紛失に対する二重の保護になる。
  • 復旧キーの安全な保管: BitLocker や FileVault の復旧キーは、パスワードを忘れた場合の最後の手段。紙に印刷して金庫に保管するか、パスワードマネージャーに保存する。復旧キーを紛失するとデータに永久にアクセスできなくなる。

よくある誤解

デバイス暗号化を有効にするとパフォーマンスが大幅に低下する
現代のデバイスはハードウェアアクセラレーションによる暗号化処理を搭載しており、パフォーマンスへの影響はほぼ体感できません。iPhone や最近の Android デバイスでは暗号化がデフォルトで有効になっていますが、速度低下を感じるユーザーはほとんどいません。
画面ロックを設定していればデバイス暗号化は不要
画面ロックはデバイスの操作を防ぐだけで、ストレージを物理的に取り出してデータを読み取る攻撃は防げません。デバイス暗号化はストレージ上のデータ自体を暗号化するため、物理的なアクセスに対しても保護を提供します。

フルディスク暗号化とファイルベース暗号化の比較

フルディスク暗号化 (FDE)

ストレージ全体を単一の暗号化キーで暗号化する方式。デバイス起動時にパスワードを入力するまで一切のデータにアクセスできない。シンプルだが、起動直後にアラームや着信が動作しないなどの制約がある。

ファイルベース暗号化 (FBE)

ファイルごとに異なる暗号化キーを使用する方式。デバイスロック中でもアラームや着信など一部の機能が動作する (Direct Boot)。iOS と Android 10 以降が採用。柔軟性が高いが、実装が複雑。

関連用語

データ暗号化 平文のデータを暗号アルゴリズムで変換し、正当な鍵を持つ者のみが復号できる状態にする技術。保存時暗号化 (at rest) と転送時暗号化 (in transit… モバイルアプリ権限管理 スマートフォンアプリがカメラ、マイク、位置情報、連絡先などのデバイスリソースにアクセスする際に必要な許可の管理。iOS と Android はともに細粒度の権限… TLS/SSL インターネット通信を暗号化するプロトコル。SSL は旧称で、現在は TLS が標準。Web サイトの HTTPS 接続、メール送受信、VPN 通信など幅広く利用… エンドツーエンド暗号化 (E2EE) 送信者と受信者の間でのみデータを復号できる暗号化方式。サービス提供者を含む第三者が通信内容を閲覧できない。Signal、WhatsApp などのメッセージアプリ… データ消去 (安全な削除) ストレージ上のデータを復元不可能な状態にする技術。通常のファイル削除ではデータ本体が残存するため、専用ツールによる上書き消去や暗号化消去が必要。SSD ではウェ…

関連記事

デバイス暗号化の基礎:PC・スマートフォンのデータを守る デバイスの暗号化が必要な理由と、Windows・macOS・iOS・Android それぞれの暗号化設定方法を解説します。… スマートフォンのプライバシー設定:見落としがちな 8 つの項目 スマートフォンから漏れる個人情報のリスクと、iOS・Android それぞれで確認すべきプライバシー設定を解説します。…
← 用語集