暗号化ファイル システムの最善の使用方法

文書翻訳 文書翻訳
文書番号: 223316 - 対象製品
この記事は、以前は次の ID で公開されていました: JP223316
すべて展開する | すべて折りたたむ

目次

概要

Microsoft Windows には、NTFS ファイル システムを使用しているボリューム上でデータを直接暗号化し、他のユーザーがデータを使用できないようにする機能が含まれています。オブジェクトの [プロパティ] ダイアログ ボックスで属性を設定することによって、ファイルおよびフォルダーを暗号化できます。

暗号化および暗号化解除の処理はユーザーに対して透過的であるため、ファイルの暗号化を最大限に使用することを計画している組織では、必ずその使用法について強固なガイドラインを浸透させるようにしてください。

詳細

以下は標準的な使用方法です。
  • 証明書や秘密キーはリムーバブル メディアにエクスポートし、使用しないときはメディアを安全な場所に保管するようにユーザーに指示します。最大限のセキュリティを確保するには、コンピューターを使用していないときは常に、秘密キーをコンピューターから削除しておく必要があります。これは、コンピューターを物理的に持ち去って秘密キーにアクセスしようとする攻撃者に対する防御となります。暗号化ファイルへのアクセスが必要な場合には、秘密キーをリムーバブル メディアから簡単にインポートできます。
  • すべてのユーザーの [マイ ドキュメント] フォルダーを暗号化します (User_profile\My Documents)。これにより、ほとんどのドキュメントが格納されている個人用フォルダーが既定で暗号化されます。
  • 個々のファイルは暗号化せず、フォルダーのみを暗号化するようユーザーに指示します。プログラムはファイルに対してさまざまな方法でアクセスします。フォルダー レベルで一貫してファイルを暗号化することにより、ファイルの暗号化が予期せず解除されることを防止できます。
  • 回復証明書に関連する秘密キーの扱いには細心の注意が必要です。物理的にセキュリティ保護されているコンピューターで生成するか、または強力なパスワードで保護されている .pfx ファイルに証明書をエクスポートし、保存先のディスクを物理的に安全な場所に保管する必要があります。
  • 回復エージェント証明書は、他の目的に使用されることのない特殊な回復エージェント アカウントに割り当てる必要があります。
  • 回復エージェントの変更は定期的に発生しますが、このときに回復証明書や秘密キーを破棄しないでください。該当する回復証明書や秘密キーを使用して暗号化されたファイルがすべて更新されるまでは、すべて保存しておきます。
  • 組織単位 (OU) ごとに、2 つ以上の回復エージェント アカウントを OU の規模に応じて指定します。指定された回復エージェント アカウント 1 つにつき 1 台ずつ、2 台以上のコンピューターを回復用に指定し、回復エージェント アカウントを使用する権限を適切な管理者に与えます。ファイル回復用の冗長性を持たせる回復エージェント アカウントは、2 つ用意することをお勧めします。これらのキーを保持するコンピューターを 2 台用意すれば、消失したデータを回復可能にする冗長性がさらに高まります。
  • 回復エージェント アーカイブ プログラムを実装し、暗号化されたファイルを古い種類の回復キーで回復できるようにします。回復証明書と秘密キーのエクスポートおよび保存は、制御され、セキュリティで保護された方法で行う必要があります。理想的には、セキュリティで保護されたすべてのデータについて、アーカイブは制御されたアクセス先に保存し、マスターとバックアップの 2 つのアーカイブを用意しておく必要があります。マスターはいつでも使用できる場所に保存し、バックアップはセキュリティ保護された離れた場所に保存しておきます。
  • プリント サーバー アーキテクチャでは印刷スプール ファイルの使用を避けるか、または印刷スプール ファイルが暗号化されたフォルダーで生成されるようにします。
  • 暗号化ファイル システムでは、ユーザーがファイルの暗号化および暗号化解除を行うたびに、CPU にある程度のオーバーヘッドが生じます。サーバーで多数のクライアントによって EFS が使用される場合は、サーバー負荷が分散されるように、慎重にサーバー使用の計画を立ててください。

暗号化ファイル システムのファイル共有を有効にする方法

Windows XP の EFS は、暗号化ファイルの複数ユーザー間での共有をサポートしています。この機能を使用すると、暗号化されたファイルへのアクセス許可を個々のユーザーに与えることができますが、ユーザーを追加する機能は個々のファイルに対してだけで、フォルダーに対する複数ユーザーのサポートは、Microsoft Windows 2000 や Windows XP では提供されません。また、暗号化ファイルに対するグループの使用は、EFS ではサポートされていません。

ファイルを暗号化した後、ユーザー インターフェイスの新しいボタンを使用してファイル共有を有効にします。ユーザーを追加する前に、まずファイルを暗号化してから、保存する必要があります。ユーザーが EFS の有効な証明書を持っている場合、ローカル コンピューターからでも Active Directory ディレクトリ サービスからでもユーザーを追加できます。

フォルダーやファイルに対する EFS 暗号化を有効にする方法については、この資料の「暗号化ファイル システムを使用した暗号化と暗号化解除の方法」を参照してください。

複数ユーザー用のファイルを暗号化する方法

: この手順は Windows XP にのみ適用されます。Windows 2000 では、複数ユーザー用にファイルを暗号化することはできません。

これを行うには、次の手順を実行します。
  1. エクスプローラーを起動し、ユーザーを追加する暗号化ファイルをクリックします。
  2. 暗号化ファイルを右クリックし、[プロパティ] をクリックします。
  3. EFS の設定にアクセスするには、[詳細設定] をクリックします。
  4. ユーザーを追加するには、[詳細] をクリックします。
  5. [追加] をクリックします。個人ストアにある EFS 対応の証明書、または "他の人" および "信頼されたユーザー" の各証明書ストアにある EFS 対応の証明書が、[ユーザーの選択] ダイアログ ボックスに表示されます。

    追加対象のユーザーが表示されない場合は、[ユーザーの検索] をクリックして、Active Directory を検索します。[ユーザーの選択] ウィンドウが表示されます。指定した検索条件に基づいて、Active Directory 内の有効な EFS 証明書がダイアログ ボックスに表示されます。そのユーザーに対する有効な証明書が見つからない場合は、選択したユーザーに対する適切な証明書が存在しないことを通知するメッセージが表示されます。この場合は、対象となるユーザーから、インポートするための証明書のコピーを送ってもらう必要があります。その後、その証明書を暗号化ファイルに追加できます。
  6. 追加するユーザーの証明書を選択し、[OK] をクリックします。[ファイル名 の暗号化の詳細] ダイアログ ボックスに、暗号化ファイルにアクセスできる複数のユーザーとそのユーザーの EFS 証明書が表示されます。
  7. 対象となるユーザーをすべて追加するまで、この操作を繰り返します。[OK] をクリックし、変更を登録して先に進みます。
: ファイルの暗号化を解除できるユーザーが、ファイルに対して書き込みのアクセス許可も持っている場合、そのユーザーは別のユーザーを削除することもできます。

暗号化ファイル システムを使用した暗号化と暗号化解除の方法

次の手順では、暗号化ファイル システムを使用して、ファイルやフォルダーの暗号化と暗号化解除を行います。

: これらの指針は、Windows 2000 と Windows XP に適用されます。

フォルダーの暗号化

ファイルは個別に暗号化できますが、暗号化データを格納するための専用フォルダーを用意することを強く推奨します。

フォルダーとその内容を暗号化する


ファイルは個別に暗号化できますが、一般的には、暗号化ファイルを格納する専用フォルダーを指定し、そのフォルダーを暗号化することをお勧めします。これを行うと、このフォルダーに作成または移動したファイルは、暗号化属性を自動的に取得します。

フォルダーとその現在の内容を暗号化するには、次の手順を実行します。
  1. 暗号化するフォルダーを右クリックし、[プロパティ] をクリックします。
  2. [プロパティ] ダイアログ ボックスで、[詳細設定] (または [詳細]) をクリックします。
  3. [属性の詳細] ダイアログ ボックスに、圧縮と暗号化の属性オプションが表示されます。このダイアログ ボックスには、アーカイブとインデックスの属性も含まれています。

    : NTFS ファイル システムは圧縮と暗号化の両方をサポートしていますが、同時に両方を使用することはできません。つまり、選択できるのはいずれか一方のみです。ファイルやフォルダーの暗号化と圧縮を同時に行うことはできません。

    フォルダーを暗号化するには、[内容を暗号化してデータをセキュリティで保護する] チェック ボックスをオンにし、[OK] をクリックします。
  4. [OK] をクリックして、[プロパティ] ダイアログ ボックスを閉じます。
  5. 暗号化のために手順 1. 〜 3. で選択したフォルダーに既にファイルが含まれていた場合、[属性変更の確認] ダイアログ ボックスが表示されます。

    フォルダーのみを暗号化するように選択すると、これ以降、このフォルダーに移動または作成したすべてのファイルが暗号化されます。このフォルダーの内容もすべて暗号化する場合は、[このフォルダー、およびサブフォルダーとファイルに変更を適用する] をクリックして、[OK] をクリックします。

フォルダーの暗号化解除

フォルダーの暗号化を解除するには、基本的に同じ手順を逆の順序で実行します。
  1. 暗号化を解除するフォルダーを右クリックし、[プロパティ] をクリックします。
  2. [詳細設定] をクリックします。
  3. [内容を暗号化してデータをセキュリティで保護する] チェック ボックスをオフにして、データの暗号化を解除します。
  4. [OK] をクリックして、[プロパティ] ダイアログ ボックスを閉じます。
  5. [OK] をクリックして [プロパティ] ダイアログ ボックスを閉じます。
  6. フォルダーの中にファイルが含まれていた場合は、[属性変更の確認] ダイアログ ボックスが表示されます。フォルダーのみの暗号化を解除することもできます。ただし、この場合は、現在フォルダーに入っているファイルの暗号化は解除されません。

    このフォルダーの内容すべての暗号化を解除する場合は、[このフォルダー、およびサブフォルダーとファイルに変更を適用する] をクリックして、[OK] をクリックします。

関連情報

ファイルの暗号化方法

ファイルの暗号化には、基本的にデータの再配置、スクランブル、エンコードを行うアルゴリズムが使用されます。最初のファイルを暗号化すると、キーのペアがランダムに生成されます。このキーのペアが公開キーと秘密キーになります。このキーのペアは、暗号化ファイルのエンコードとデコードに使用します。

キーのペアをなくしたり破損したりした場合、回復エージェントを指定していなければ、データを回復する方法はありません。

証明書のバックアップが必要な理由

証明書を破損したりなくしたりした場合、暗号化データを回復する方法は存在しないため、証明書のバックアップを取り、安全な場所に保管しておくことが重要です。回復エージェントを指定することもできます。このエージェントを使用してデータを復元できます。回復エージェントの証明書は、ユーザーの証明書とは別の目的で使用されます。

証明書をバックアップする方法

証明書をバックアップするには、次の手順を実行します。
  1. Microsoft Internet Explorer を起動します。
  2. [ツール] メニューの [インターネット オプション] をクリックします。
  3. [コンテンツ] タブの [証明書] グループにある [証明書] をクリックします。
  4. [個人] タブをクリックします。

    : 他の目的で証明書をインストールした場合は、複数の証明書が存在することもあります。
  5. [証明書の目的] に "暗号化ファイル システム" と表示されるまで、1 つずつ順に証明書をクリックしていきます。このように表示される証明書が、最初にフォルダーを暗号化したときに生成された証明書です。
  6. [エクスポート] をクリックして、証明書のエクスポート ウィザードを起動し、[次へ] をクリックします。
  7. 秘密キーをエクスポートするには、[はい、秘密キーをエクスポートします] をクリックし、[次へ] をクリックします。
  8. [強力な保護を有効にする] チェック ボックスをオンにし、[次へ] をクリックします。
  9. パスワードを入力し、[次へ] をクリックします (秘密キーを保護するためのパスワードが必要です)。
  10. キーを保存する場所のパスを指定します。キーは、フロッピー ディスク、ハード ディスク上の別の場所、または CD に保存できます。ハード ディスクで障害が発生したり再フォーマットが行われたりした場合、キーとバックアップしたキーの両方が失われることになります (キーをフロッピー ディスクや CD にバックアップした場合は、そのディスクや CD を安全な場所に保管する必要があります)。
  11. 保存先を指定し、[次へ] をクリックします。
暗号化ファイル システム (EFS) の関連情報については、次のマイクロソフト Web サイトを参照してください。
Windows 2000 の暗号化ファイル システム
http://technet.microsoft.com/ja-jp/library/dd277413.aspx

Windows XP および Microsoft Windows Server 2003 の暗号化ファイル システム
http://technet.microsoft.com/ja-jp/library/cc700811.aspx

プロパティ

文書番号: 223316 - 最終更新日: 2009年12月17日 - リビジョン: 13.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Server
キーワード:?
kbproductlink kbhowto kbenv kbinfo KB223316
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com