5 ミニッツ セキュリティ アドバイザ
暗号化ファイル システムを使用する
コンピュータの近くに居ない場合、ファイルが安全であるということがどのように分かるのでしょうか? 1 つのアプローチとして、コンピュータを金庫室に入れ、鍵をかけ、そして武装した警備員を外に配置することもできるでしょうが、ホワイト ハウスにでも勤務していない限り、法外な費用がかかります。しかし、お客様もファイルを安全にすることができます。また、それが必要です。NTFS ファイル システムを使用して、同じコンピュータ上のそのほかのユーザーによる無断アクセスに対し、お客様のファイルを保護して下さい。しかし、これはお客様のコンピュータに物理的なアクセスを取得できる攻撃者に対する防御の手助けとはなりません。攻撃者はいつでも、ディスクを抜き取り、ファイルの所有権を盗み、攻撃者が望むものを読み取ることができます。よりよいソリューションがあります。ファイルを暗号化すると、コンピュータ全体が盗難にあっても、ファイルは読み取られません。これはラップトップ ユーザーにとって、大きな安心です。Windows 2000 Professional (英語) および Windows XP Professional (英語) には暗号化ファイル システム (EFS: Encrypting File System) のサポートが含まれており、これにより、NTFS のボリュームの個々のファイルやフォルダを暗号化することができます。
トピック
 | EFS はどのように機能するか |
| データを暗号化する |
| 暗号化されたファイルを共有する |
EFS はどのように機能するか
EFS を使用している場合、暗号化した各ファイルまたはフォルダは一意の暗号化キーで保護されます。また、そのキーはユーザー証明書で保護され、そのほかのユーザーの証明書がファイル/フォルダの特定のキーのロックを解除できる場合を除き、そのファイルに誰もアクセスを持たないようにします。このようにして読み取りができないようにします。ファイルはいつでもディスクで暗号化されます。許可されているユーザーがそのファイルを暗号化された形式でコピーまたは移動することができます。許可されているユーザーがファイルを開こうとする時、Windows は自動的にそれをメモリで解読し、解読された各データの部分をリクエストしているアプリケーションに渡します。Windows は暗号化されていないデータをディスクに書き込みません。(アプリケーションは書き込む場合がありますが、マイクロソフトのガイドラインに従い、一時ファイル フォルダを暗号化している場合、保護されています。) ファイルは Windows にファイルを解読させない限り、またはファイルを暗号化されないフォルダに移動させない限り、暗号化された状態のままです。
多くのビジネスが持続性とアクセスについて懸念していますが、データを暗号化するスタッフを雇い、そのスタッフが退職した場合、どうでしょうか? EFS の暗号化は ATM トラフィックを保護する銀行により使用されているアルゴリズムと同じものを使用するため、これは当然の懸念です。EFS は、暗号化されたアイテムの所有権を持ち、これらを解読できる回復エージェントをサポートします。回復エージェントが暗号化されたファイルを回復すると、そのファイルはもう暗号化されていないことが、元の所有者はわかります。これにより、データは回復エージェントの動作に対し、保護されます。
Windows XP Professional はいくつかの新しい機能を Windows 2000 の EFS に追加します。まず、追加のユーザーに暗号化されたファイルへのアクセスを許可することができます。これにより、EFS のセキュリティとデータが共有可能となるという利便性との間でのよいバランスが提供されます。Windows XP EFS により、Web フォルダのファイルおよびオフライン フォルダを暗号化することができます。つまり、セキュリティをあきらめずに、データの共有や転送ができます。
データを暗号化する
EFS を使用するために唯一必要であるものは Windows 2000 Professional (またはそれ以降) または Windows XP Professional そして NTFS ボリュームです。コンピュータが Windows または Active Directory ドメインに存在しているかどうか、またネットワークで証明機関を所有しているかどうかに関わらず、EFS は動作します。ファイルやフォルダの暗号化は Windows XP では極めて簡単です。(Windows 2000 でも簡単ですが、ステップが若干異なります。)
1. | Windows エクスプローラを開きます。 |
2. | 暗号化したいフォルダを見つけ、そのプロパティ ダイアログを開きます。(注 : マイクロソフトの EFS の最善の使用方法は、誤ってディスクのファイルのコピーを暗号化されていないままにしないようにするために、ファイルではなく、フォルダのみを暗号化することを推奨します。) |
3. | [全般] タブで属性グループを見つけます。[詳細設定] ボタンをクリックします。[属性の詳細] ダイアログ ボックスが表示されます。 ![[属性の詳細] ダイアログ ボックス](http://img.microsoft.com/japan/technet/community/columns/5min/images/min20201.gif) |
4. | [内容を暗号化してデータをセキュリティで保護する] チェックボックスを選択します。フォルダを暗号化する場合、Windows はそのフォルダのすべてのファイルおよびサブフォルダを暗号化するか、またはフォルダ自体のみを暗号化するかを確認します。 |
5. | [OK] をクリックし [属性の詳細]ダイアログ ボックスを閉じます。次に再度 [OK] をクリックし、そのアイテムのプロパティ ダイアログ ボックスを閉じます。 |
以上の作業です。Windows とアプリケーションはユーザーの資格情報を使用してアイテムを解読できるため、そのアイテムを暗号化すると、何の相違点も気が付かないでしょう。しかし、同じコンピュータのそのほかのユーザーがそのファイルを開こうとすると、「アクセスが拒否されました」 というメッセージが表示されます。
ファイルやフォルダを解読することもまた容易です。プロパティ ダイアログを開き、[内容を暗号化してデータをセキュリティで保護する] チェックボックスをオフにします。Windows は自動的に指定されたアイテムを解読し、これで解読が完了します。
そのほかのフレキシビリティについて、コマンドライン cipher ツールを使用し、ファイルやフォルダの暗号化および解読ができます。またそれが使用され、解除されるとディスクの空き容量を上書きします。興味をお持ちであれば、これらの説明をご覧下さい。
暗号化されたファイルを共有する
Windows XP を使用している場合、そのほかのユーザーと暗号化されたファイルを共有することができます。これはデータを、コンピュータまたはファイル サーバーでそのほかの許可されたユーザーと共有しながら、そのデータを保護する最善の方法です。許可されたユーザーをさらにファイルに追加することができますが、フォルダには追加できません。また、個人の追加のみで、グループの追加はできません。このプロセスは非常に簡単です。
1. | ユーザーを追加したいファイルのプロパティ ダイアログ ボックスを開きます。次に [属性の詳細] ダイアログ ボックスを開きます。 |
2. | まだ暗号化されていない場合、それを暗号化します。ファイルの暗号化が正常に完了するまで、ユーザーを追加することはできません。 |
3. | [詳細] ボタンをクリックします。[暗号化の詳細] ダイアログが、現在そのファイルを開くことを許可されているユーザーを表示します。 |
4. | [追加] ボタンをクリックします。アクセスを与えるユーザーを選択し、[OK] をクリックします。必要であれば、[ユーザーの検索] ボタンを使用し、ローカル マシンまたは Active Directory でユーザーとその関連する証明書を検索できます。 |
![[暗号化の詳細] ダイアログ ボックス](http://img.microsoft.com/japan/technet/community/columns/5min/images/min20202.gif)