高速なPCコンポーネントにお金をかけているのに、ソフトウェアのせいでシステムの速度が落ちてパフォーマンスが犠牲になるほどイライラすることはありません。残念ながら、Windows 11 Proのデフォルト設定では、ソフトウェアによるBitLocker暗号化が有効になっていますが、プロセッサがすべてのデータを暗号化・復号化するため、SSDの速度が最大45%も低下する可能性があります。当社のテストによると、PC全体のパフォーマンスに影響を与えるランダム書き込みと読み取りが最も影響を受けますが、大容量のシーケンシャル転送にも影響があります。
多くのSSDにはハードウェアベースの暗号化機能が搭載されており、すべての処理がドライブ上で直接行われますが、Windows 11 Proはインストール時にBitLockerのソフトウェア版を強制的に有効化します。無効化の明確な方法は提供されていません。(Rufusなどのツールを使えばこれを回避できますが、これはMicrosoftの意図を回避できるため、公式の解決策ではないことは明らかです。)Windows 11 Pro搭載のプレビルドPCを購入した場合、ソフトウェア版BitLockerが既に有効化されている可能性が高いです。Windows 11 HomeはBitLockerをサポートしていないため、暗号化は有効化されません。
ソフトウェアBitLockerがパフォーマンスにどの程度影響を与えるかを調べるため、暗号化なし(BitLockerなし)、ソフトウェアBitLocker(Windows 11 Proのデフォルト)、ハードウェアBitLocker(OPAL)有効の3つのシナリオで一連のテストを実施しました。ソフトウェア暗号化ではレイテンシが増加し、転送速度が低下しましたが、ハードウェア暗号化と暗号化なしの場合はほぼ同等でした。ソフトウェアBitLockerを有効にしている場合は、設定を変更することをお勧めします(詳細は後述)。
BitLockerが有効になっているかどうかを確認する方法
ここでは、「変換ステータス」と「暗号化方式」の2つのフィールドを確認する必要があります。「変換ステータス」では暗号化が有効になっているかどうか、「暗号化方式」ではハードウェア暗号化かソフトウェア暗号化かがわかります。上の画像のように「XTS-AES」と表示されている場合、ソフトウェアBitLockerです。「ハードウェア暗号化」と表示されている場合、ハードウェア暗号化です。
ドライブが「完全に復号化されました」かつ「保護がオフ」というメッセージが表示される場合、現在BitLockerは使用されていません。家庭用PCであればおそらく問題ありませんが、紛失や盗難の危険性が高いノートパソコンの場合は、再検討することをお勧めします。BitLockerを有効にすることには十分な理由があります。
Windows 11 BitLocker のパフォーマンステスト
テストにはSamsung 990 Pro 4TBを使用し、Windows 11 Proの最新リリース(22H2、最新のアップデートを適用済み)を使用しました。テストベッドには、32GBのDDR4メモリを搭載したCore i9-12900Kを搭載し、標準的なストレージテストPCとして使用しました。
Windows 11をインストールした後、Iometerを使用してドライブのコンディショニングを行い、再現性のある結果を得るための持続的な書き込みワークロードも実行しました。SSDは4TBなので、すべてのフラッシュメモリがアクセスされていることを確認するために、1MiBの書き込みを4時間連続で実行しました。その結果、各テストシナリオで約30TB相当のデータが書き込まれました。
振り返ってみると、これから示す結果はパフォーマンスの著しい低下を示唆しています。特にランダムIOへの影響が大きく、シーケンシャルIOへの影響はそれほど大きくありません。しかし、その一部は、使用したハイエンドデスクトップPCによるものと思われます。Core i9-12900Kはパフォーマンスに関しては決して劣っていません。最速のチップではないものの、ソフトウェアベースのBitLocker暗号化は、処理能力がそれほど高くない低性能CPUほど大きな問題にはならない程度には高速です。とはいえ、このハイエンドプロセッサでさえもその影響は驚くべきものであり、Windows 11 Proを導入する多くの企業が利用しているであろうノートパソコンは、さらに大きな影響を受けると予想されます。
SSDレビューで使用しているテストよりも若干限定的なテストを実施しました。また、Windows 11 Proのクリーンインストールが必要だったため、結果は通常のSSDベンチマークと完全に直接比較できるものではありません。また、BitLockerが他のSSD(ハードウェアOPAL暗号化対応の有無にかかわらず)にどのような影響を与えるかは正確にはわかりません。しかし、Samsung 990 Proについて得られたデータを確認してみましょう。
画像
1
の
3
PCMark 10のストレージベンチマークは、一般的なアプリケーションとタスクのトレーステストを使用してストレージパフォーマンスを測定します。これにより、予想される影響の概要と、今後の展望を垣間見ることができます。
興味深いことに、ハードウェアベースの暗号化(OPAL)は、暗号化なし(BitLockerなし)モードよりもわずかに高いパフォーマンスを示しました。テストを複数回繰り返しましたが、結果はほぼ一貫していました。OPALハードウェア暗号化では約620MB/秒(±10MB/秒)のスコアを記録しましたが、暗号化なしの場合は607MB/秒(これも±10MB/秒)と、これとほぼ同等の速度でした。
しかし、ソフトウェアベースのBitLockerを使用した場合、速度は490MB/秒(±10MB/秒)に低下しました。これはパフォーマンスが21%低下する可能性があることを意味します。ドライブ自体は依然として十分な速度だと感じましたが、最高級のハードウェアを購入しても、潜在的パフォーマンスの20%を諦める人はいません。言い換えれば、Samsung 990 ProはPCMark 10におけるクラス最高のパフォーマンスから、十分なパフォーマンスにまで落ちてしまったということです。ソフトウェアBitLockerを使用すると、Netac NV7000とほぼ同等の速度になります。
画像
1
の
10
次に、CrystalDiskMark 8という合成ストレージパフォーマンステストを紹介します。より高いキュー深度での結果もありますが、実環境ではQD1の数値の方がはるかに意味を持ちます。これは、一般的なオペレーティングシステム環境で最も一般的なファイルアクセスの種類であり、ソフトウェアBitLockerがパフォーマンスに最も影響を与えたのはQD1だからです。
ランダム読み取りIOPSは、ハードウェアBitLockerおよび暗号化なしの結果と比較して、再び20%低下しました。読み取りレイテンシも40マイクロ秒強から51マイクロ秒近くにまで上昇し、25%増加しました。レイテンシが低いほど、日常的な使用においてよりスムーズなパフォーマンスが得られ、業界全体が低速回転のハードドライブから高速SSDに移行した主な理由となっています。このレイテンシの層は、程度の差はあれ、QLCや低速ドライブなどの低速タイプのSSDにも追加されることを考えると、一部のシステムでは、実環境への影響がはるかに大きくなる可能性があります。
興味深いことに、QD1への書き込みIOPSは、OPALありの方がOPALなしよりもわずかに高くなりました。おそらく、Samsungコントローラーで何らかのキャッシュまたはコマンドのバッチ処理が行われているのでしょう。しかし、重要なのは、ソフトウェアBitLockerではハードウェアBitLockerと比較してランダム書き込みパフォーマンスが45%低下したことです。
これは大きな変化です。BitLockerを有効にすると、QD1のランダム書き込み速度はほぼ半分になりました。ストレージにそれほど大きな負担をかけない方法は他にもたくさんありますが、繰り返しになりますが、必要がない限りSSDの潜在的なパフォーマンスの大部分を犠牲にしたくないでしょう。
他の結果は必ずしもそれほど悪くはなく、少なくとも1つのケース(QD256ランダム4K書き込み)では、ソフトウェアBitLockerが一貫して優れた結果を出しました。Windows 11のディスクキャッシュが要因となっている可能性はありますが、QD256はストレージワークロードにとって基本的に空想の世界(低いキュー深度が最も一般的であることに留意してください)であるため、あまり重視していません。さらに、ランダム読み取りはランダム書き込みよりも重要であり、読み取りパフォーマンスの低下は依然として30%でした。
シーケンシャルリードとライトの速度は大幅に接近し、QD1のリードはソフトウェアBitLocker使用時に最も高速でした。一方、QD1のライトではソフトウェアBitLockerが再び20%遅れをとりました。全体的に見て、CrystalDiskMarkはPCMark 10の結果を裏付けており、パフォーマンスの大幅な低下が見られます。
画像
1
の
2
DiskBenchを用いて50GBのデータの読み取りとコピーを行うという実際のワークロードでは、暗号化されていないドライブの読み取りとコピーのパフォーマンスが最も高く、次いでハードウェア暗号化が優れていました。この場合、実行間のばらつきを考慮する必要があるため、5回の実行の中央値を報告しています。読み取り速度はより安定していましたが、コピー速度は依然としてばらつきが見られました。
その理由の一部は、DiskBenchのテストオプションの性質によるものです。フォルダ全体の書き込みテストやフォルダ全体のコピーテストは可能ですが、読み取りテストでは単一のファイルしか使用しません。今回のコピーテストは、50GiB(53,738,970,410バイト、ディスク容量53,798,830,080バイト)のデータで構成され、31,241個のファイルと3,607個のフォルダが含まれています。データの約半分は100MiB以上の大容量ファイルで、残りの半分は主に数千個の小さな画像で構成されています。2つのテストのうち、コピー結果に重点を置きました。
全体的に、ソフトウェアBitLockerは、ハードウェアBitLocker暗号化と比較して、ファイルコピーのパフォーマンスが11%低下しました。読み取り速度(50GBの大容量ファイル1つあたり)はわずか3%低下しましたが、多数の小さなファイルを読み取る場合は、その差は大幅に大きくなると予想されます。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
画像
1
の
2
パフォーマンス結果をまとめると、ATTOの読み取りおよび書き込み速度を様々なブロックサイズで測定しました。ブロックサイズが大きい場合のピークスループットへの影響はそれほど大きくありませんが、ブロックサイズが小さい場合、ソフトウェアBitLockerはハードウェアBitLockerや暗号化されていないものよりも常に遅れています。990 Proでは、読み取り速度に関して以前から指摘している奇妙な「隆起」が見られますが、書き込みパフォーマンスは256KiBのブロックサイズまでソフトウェアBitLockerが追随する滑らかな曲線を示しています。
ソフトウェアBitLockerはSSDのパフォーマンスに深刻な悪影響を与える可能性がある
ストレージを頻繁に使用しない方であれば、上記の点の多くは大したことではないように思えるかもしれません。問題は、Microsoftが多くのWindows 11 Proユーザーにパフォーマンスの低下を強制しており、レイテンシの増加がシステムの応答性に影響を与えることです。会社支給のノートパソコンでWindows 11 Proを使用している場合、この決定のせいでパフォーマンスが低下している可能性が高いでしょう。
最高のパフォーマンスを求めるPC愛好家にとって、状況はさらに悪化する可能性があります。すべてのSSDがハードウェア暗号化に対応しているわけではありませんが、たとえ対応していたとしても、Windows 11をインストールする前に特別な手順を踏んで有効化しない限り、ストレージパフォーマンスは低下するでしょう。Samsung 990 Pro、あるいは前世代のSamsung 980 Proのようなドライブを購入する人は、最大パフォーマンスの20%以上を犠牲にする覚悟で購入したわけではないはずです。しかし、PCでBitLockerを有効にする適切な設定をしている場合、あるいはセキュリティ上の理由から手動で有効化したい場合、まさにそれが現実のものとなります。
ハードウェアベースの暗号化が利用可能であるにもかかわらず、ソフトウェアベースのBitLockerをデフォルトオプションとして有効にするというMicrosoftの決定は、やや複雑です。簡単にまとめると、過去(2019年以降)に、一部のハードウェア暗号化ストレージソリューションで暗号化キーの復元が可能になる問題がありました。これらの欠陥は修正されましたが、将来的に新たな欠陥が発見される可能性があります。問題の核心は、MicrosoftがBitLockerのハードウェア暗号化ソリューションのコードと実装を完全に管理していないことにあるようです。ソフトウェアBitLockerでは、Microsoftがキーとセキュリティを管理しており、どうやらその状態を維持することを好んでいるようです。
しかし、MicrosoftがBitLockerをデフォルトで有効化し始めたのはいつからでしょうか?これは少し複雑です。実際には2016年のWindows 8.1 ProとWindows Server 2012 R2から始まっています。問題は、システムがTPM、セキュアブート、モダンスタンバイ/HSTIをサポートしている場合にのみ有効化されていたことです。そして、これらはすべて有効化する必要がありましたが、Windows 11でTPMが必須になるまでは、通常は有効化されていませんでした。また、Microsoftアカウントではなくローカルアカウントを使用する場合(つまり、ネットワーク接続がアクティブでない状態でPCをセットアップした場合)、BitLockerは無効化されます。つまり、BitLockerによるソフトウェア暗号化の自動有効化がWindows 11で実際に一般的になったのは、ここ数年のことです。
現在でも、当社のテストでは、BitLocker が自動的にオンにならないマザーボード(すべてエンスージアスト向け)が多数存在します。しかし、Microsoft の見解は明確です。Windows Pro ユーザーには BitLocker がデフォルトでオンになっているべきだと考えているのです。今後のアップデートで、より多くの PC でこの機能が有効になっても驚かないでください。
SSD 暗号化は必要ですか?
ストレージドライブを暗号化すると盗難防止に非常に効果的で、特にノートパソコンには効果的です。盗難犯がパソコンを入手し、Windowsを起動できない場合でも、SSDを取り外して別のパソコンに接続し、データの読み取りを試みることができます。
ドライブが暗号化されていても、窃盗犯が暗号化キーを持っていなければ、ドライブの内容を読み取ることはできません。暗号化されていない場合は、SSDエンクロージャを使って外付けストレージドライブに変え、ファイルにフルアクセスできるようになります。自宅でデスクトップPCを使用していて、誰も不正に物理的にアクセスすることはないと確信できる場合は、暗号化をしない方が良いでしょう。
BitLocker暗号化を無効にする
暗号化が必要ない場合は、BitLocker をオフにするのが最も簡単です。ハードウェア暗号化に切り替えるには(後述します)、Windows とすべてのアプリケーションを完全に再インストールする必要があり、非常に面倒です。
BitLocker をオフにするには、管理者特権でのコマンド プロンプト (管理者として CMD を起動) を起動し、「manage-bde -off C:」と入力するだけです。暗号化されたドライブが C: でない場合は、C: を別のドライブ文字に置き換えます (個々のドライブに対して、BitLocker コントロール パネル ([コントロール パネル] -> [システムとセキュリティ] -> [BitLocker ドライブ暗号化]) からこの操作を行うか、[スタート] メニューの検索ボックスに「manage BitLocker」と入力します)。
ハードウェアBitLocker暗号化への切り替え
本当に残念なのは、既にWindows 11 Proをインストール済みの場合、ソフトウェアBitLockerの有効化の有無に関わらず、残念ながらもう使えないということです。ハードウェア暗号化に対応したSSDをお持ちで、それを使いたい場合は、新しいOSをインストールし直す必要があります。Microsoftが壊してしまったものは、イメージ作成などの方法では修復できません!
まず、Windows 2 Goを起動し(またはSSDをPCのセカンダリドライブとしてインストールします。OSドライブにはできません)、Samsung Magician(または他のSSD用の同様のユーティリティ)をインストールし、ドライブの暗号化を有効にします。次に、ドライブのセキュア消去を行い、新しいブロックIDを生成し、BitLockerを有効にせずにWindows 11インストールデバイスを作成し(Rufus USBを使用)、Windows 11 Proをインストールします。インストールが完了したら、グループポリシーエディターを開き、BitLockerのハードウェア暗号化サポートを有効にします。
再起動後、BitLockerを有効にすると、すべて正常に動作し、SSDのハードウェア暗号化が実行されます。確認する最も簡単な方法は、管理者権限でコマンドプロンプトを開き(スタートメニューで「CMD」と入力し、右クリックして「管理者として実行」を選択)、manage-bde -statusと入力することです。
すべてが正常に完了すると、ハードウェア暗号化が有効になっていることを示すスクリーンショット(下図参照)が表示されます。XTS-AES 128 など、他の表示が出ている場合は、まだソフトウェア BitLocker モードになっています。新規インストールでもう一度お試しください。
ハードウェアBitLockerを動作させるための手順は、Samsung 980 Proおよび990 Pro(おそらく他のSamsung製SSD)で動作するため、私たちが使用した完全な手順を以下に示します。また、追加情報を得るために、このページの下部にある参照PDFも使用しました。Samsung製以外のドライブでハードウェア暗号化を動作させる場合も、ドライブメーカーのソフトウェアに固有の変更をいくつか加えるだけで、同様の手順で動作するはずです。
結論
複数のOEMに問い合わせたところ、Dell、HP、Lenovoは、ユーザーがハードウェアベースの暗号化に対応したSSDを注文しない限り、Windows 11 Pro搭載システムをソフトウェアベースの暗号化付きで出荷すると回答しました。ハードウェア暗号化をサポートするすべてのSSDで常にハードウェア暗号化が有効になっているかどうかは不明ですが、そのようなドライブに追加料金を支払わない限り、ストレージパフォーマンスが低下する可能性があります。他のOEMからはまだ回答を得ていませんが、ほとんどのOEMが同様のポリシーを導入していると思われます。
Windows 11 Pro オペレーティングシステムを新規にインストールするユーザーにとって、パフォーマンスを低下させるソフトウェアベースの暗号化がデフォルトのポリシーとなっていますが、多くのマザーボードは依然として Microsoft の要件に準拠していないようです。ローカルアカウント、インストール時のネットワーク接続の欠如、セキュアブートの不適切な設定、その他の BIOS オプションやハードウェアなどにより、少なくとも当社のテストでは、BitLocker が無効になる可能性があります。BitLocker が有効になっていない場合でも、後で有効にしたい場合、 Windows 11 Pro のインストール前に何らかの対策を講じていない限り、ソフトウェア暗号化を強制的に使用する必要があります。
現在ソフトウェアBitLockerをご利用の場合、ストレージパフォーマンスを回復させる簡単な方法は、BitLockerを無効にすることです。ドライブの空き容量によっては、すべての暗号化を解除するのに時間がかかる場合があります。もちろん、その場合、ファイルは第三者の目に触れないように保護されなくなります。
ハードウェアBitLocker対応ドライブをお持ちで、それを使用したい場合は、まず保存しておきたいファイルをすべてバックアップドライブにコピーし、その後、新しいWindows 11インストールでハードウェアBitLocker対応を有効にするための必要な手順を実行してから、すべてのファイルをコピーし直し、ゲームやその他のアプリケーションを再インストールする必要があります。確かに面倒ですが、ソフトウェア暗号化の使用によるストレージパフォーマンスの低下を避けたいのであれば、これが唯一の現実的な選択肢です。ハードウェア暗号化を搭載したSSDがBitLockerソフトウェア暗号化と同等の安全性を備えているかどうかは別の問題であり、どのドライブに問題が発生する可能性があるかは、時間の経過とともに明らかになるでしょう。
ジャレッド・ウォルトンは、Tom's Hardwareのシニアエディターで、GPU全般を専門としています。2004年からテクノロジージャーナリストとして活躍し、AnandTech、Maximum PC、PC Gamerなどで執筆活動を行っています。初代S3 Virgeの「3Dデセラレータ」から最新のGPUまで、ジャレッドは最新のグラフィックストレンドを常に把握しており、ゲームパフォーマンスに関する質問は彼にお任せください。
