暗号化ファイル システムの最善の使用方法

Microsoft Windows には、NTFS ファイル システムを使用しているボリューム上でデータを直接暗号化し、他のユーザーがデータを使用できないようにする機能が含まれています。オブジェクトの [プロパティ] ダイアログ ボックスで属性を設定することによって、ファイルおよびフォルダを暗号化できます。

暗号化および暗号化解除の処理はユーザーに対して透過的であるため、ファイルの暗号化を最大限に使用することを計画している組織では、必ずその使用法について強固なガイドラインを浸透させるようにしてください。

以下は標準的な使用方法です。

• 証明書や秘密キーはリムーバブル メディアにエクスポートし、使用しないときはメディアを安全な場所に保管するようにユーザーに指示します。最大限のセキュリティを確保するには、コンピュータを使用していないときは常に、秘密キーをコンピュータから削除しておく必要があります。これは、コンピュータを物理的に持ち去って秘密キーにアクセスしようとする攻撃者に対する防御となります。暗号化ファイルへのアクセスが必要な場合には、秘密キーをリムーバブル メディアから簡単にインポートできます。
• すべてのユーザーの [マイ ドキュメント] フォルダを暗号化します (User_profile\My Documents)。これにより、ほとんどのドキュメントが格納されている個人用フォルダがデフォルトで暗号化されます。
• 個々のファイルは暗号化せず、フォルダのみを暗号化するようユーザーに指示します。プログラムはファイルに対してさまざまな方法でアクセスします。フォルダ レベルで一貫してファイルを暗号化することにより、ファイルの暗号化が予期せず解除されることを防止できます。
• 回復証明書に関連する秘密キーの扱いには細心の注意が必要です。物理的にセキュリティ保護されているコンピュータで生成するか、または強力なパスワードで保護されている .pfx ファイルに証明書をエクスポートし、保存先のディスクを物理的に安全な場所に保管する必要があります。
• 回復エージェント証明書は、他の目的に使用されることのない特殊な回復エージェント アカウントに割り当てる必要があります。
• 回復エージェントの変更は定期的に発生しますが、このときに回復証明書や秘密キーを破棄しないでください。該当する回復証明書や秘密キーを使用して暗号化されたファイルがすべて更新されるまでは、すべて保存しておきます。
• 組織単位 (OU) ごとに、2 つ以上の回復エージェント アカウントを OU の規模に応じて指定します。指定された回復エージェント アカウント 1 つにつき 1 台ずつ、2 台以上のコンピュータを回復用に指定し、回復エージェント アカウントを使用する権限を適切な管理者に与えます。ファイル回復用の冗長性を持たせる回復エージェント アカウントは、2 つ用意することをお勧めします。これらのキーを保持するコンピュータを 2 台用意すれば、消失したデータを回復可能にする冗長性がさらに高まります。
• 回復エージェント アーカイブ プログラムを実装し、暗号化されたファイルを古い種類の回復キーで回復できるようにします。回復証明書と秘密キーのエクスポートおよび保存は、制御され、セキュリティで保護された方法で行う必要があります。理想的には、セキュリティで保護されたすべてのデータについて、アーカイブは制御されたアクセス先に保存し、マスタとバックアップの 2 つのアーカイブを用意しておく必要があります。マスタはいつでも使用できる場所に保存し、バックアップはセキュリティ保護された離れた場所に保存しておきます。
• プリント サーバー アーキテクチャでは印刷スプール ファイルの使用を避けるか、または印刷スプール ファイルが暗号化されたフォルダで生成されるようにします。
• 暗号化ファイル システムでは、ユーザーがファイルの暗号化および暗号化解除を行うたびに、CPU にある程度のオーバーヘッドが生じます。サーバーで多数のクライアントによって EFS が使用される場合は、サーバー負荷が分散されるように、慎重にサーバー使用の計画を立ててください。

暗号化ファイル システムのファイル共有を有効にする方法

Microsoft Windows XP の EFS は、暗号化ファイルの複数ユーザー間での共有をサポートしています。この機能を使用すると、暗号化されたファイルへのアクセス許可を個々のユーザーに与えることができますが、ユーザーを追加する機能は個々のファイルに対してだけで、フォルダに対する複数ユーザーのサポートは、Microsoft Windows 2000 や Windows XP では提供されません。また、暗号化ファイルに対するグループの使用は、EFS ではサポートされていません。

ファイルを暗号化した後、ファイルまたはフォルダの [プロパティ] ダイアログ ボックスの [詳細] ボタンまたは [詳細設定] ボタンを使用してファイル共有を有効にします。ユーザーを追加する前に、まずファイルを暗号化してから、保存する必要があります。ユーザーが EFS の有効な証明書を持っている場合、ローカル コンピュータからでも Active Directory ディレクトリ サービスからでもユーザーを追加できます。ただし、ユーザーを追加する機能は、個々のファイルに制限されます。EFS 暗号化フォルダに対する複数ユーザーのサポートは提供されません。また、個々のユーザーだけがファイルに対して追加可能です。暗号化ファイルに対するグループの使用は、EFS ではサポートされません。

フォルダやファイルに対する EFS 暗号化を有効にする方法については、この資料の「暗号化ファイル システムを使用した暗号化と暗号化解除の方法」を参照してください。

複数ユーザー用のファイルを暗号化する方法

注 : この手順は Windows XP にのみ適用されます。Windows 2000 では、複数ユーザー用にファイルを暗号化することはできません。

これを行うには、次の手順を実行します。

1. エクスプローラを起動し、ユーザーを追加する暗号化ファイルをクリックします。
2. 暗号化ファイルを右クリックし、[プロパティ] をクリックします。
3. EFS の設定にアクセスするには、[詳細設定] をクリックします。
4. ユーザーを追加するには、[詳細] をクリックします。
5. [追加] をクリックします。個人ストアにある EFS 対応の証明書、または "ほかの人" および "信頼されたユーザー" の各証明書ストアにある EFS 対応の証明書が、[ユーザーの選択] ダイアログ ボックスに表示されます。
   
   追加対象のユーザーが表示されない場合は、[ユーザーの検索] をクリックして、Active Directory を検索します。[ユーザーの選択] ウィンドウが表示されます。指定した検索条件に基づいて、Active Directory 内の有効な EFS 証明書がダイアログ ボックスに表示されます。そのユーザーに対する有効な証明書が見つからない場合は、選択したユーザーに対する適切な証明書が存在しないことを通知するメッセージが表示されます。この場合は、対象となるユーザーから、インポートするための証明書のコピーを送ってもらう必要があります。その後、その証明書を暗号化ファイルに追加できます。
6. 追加するユーザーの証明書を選択し、[OK] をクリックします。[ファイル名 の暗号化の詳細] ダイアログ ボックスに、暗号化ファイルにアクセスできる複数のユーザーとそのユーザーの EFS 証明書が表示されます。
7. 対象となるユーザーをすべて追加するまで、この操作を繰り返します。[OK] をクリックし、変更を登録して先に進みます。

注 : ファイルの暗号化を解除できるユーザーが、ファイルに対して書き込みのアクセス許可も持っている場合、そのユーザーは別のユーザーを削除することもできます。

暗号化ファイル システムを使用した暗号化と暗号化解除の方法

次の手順では、暗号化ファイル システムを使用して、ファイルやフォルダの暗号化と暗号化解除を行います。

注 : これらの指針は、Windows 2000 と Windows XP に適用されます。

フォルダの暗号化

ファイルは個別に暗号化できますが、暗号化データを格納するための専用フォルダを用意することを強く推奨します。

フォルダとその内容を暗号化する

ファイルは個別に暗号化できますが、一般的には、暗号化ファイルを格納する専用フォルダを指定し、そのフォルダを暗号化することをお勧めします。これを行うと、このフォルダに作成または移動したファイルは、暗号化属性を自動的に取得します。

フォルダとその現在の内容を暗号化するには、次の手順を実行します。

1. 暗号化するフォルダを右クリックし、[プロパティ] をクリックします。
2. [プロパティ] ダイアログ ボックスで、[詳細設定] (または [詳細]) をクリックします。
3. [属性の詳細] ダイアログ ボックスに、圧縮と暗号化の属性オプションが表示されます。このダイアログ ボックスには、アーカイブとインデックスの属性も含まれています。
   
   注 : NTFS ファイル システムは圧縮と暗号化の両方をサポートしていますが、同時に両方を使用することはできません。つまり、選択できるのはいずれか一方のみです。ファイルやフォルダの暗号化と圧縮を同時に行うことはできません。
   
   フォルダを暗号化するには、[内容を暗号化してデータをセキュリティで保護する] チェック ボックスをオンにし、[OK] をクリックします。
4. [OK] をクリックして、[属性の詳細] ダイアログ ボックスを閉じます。
5. 暗号化のために手順 1. 〜 3. で選択したフォルダに既にファイルが含まれていた場合、[属性変更の確認] ダイアログ ボックスが表示されます。
   
   フォルダのみを暗号化するように選択すると、これ以降、このフォルダに移動または作成したすべてのファイルが暗号化されます。このフォルダの内容もすべて暗号化する場合は、[このフォルダ、およびサブフォルダとファイルに変更を適用する] をクリックして、[OK] をクリックします。

フォルダの暗号化解除

フォルダの暗号化を解除するには、基本的に同じ手順を逆の順序で実行します。

1. 暗号化を解除するフォルダを右クリックし、[プロパティ] をクリックします。
2. [詳細設定] をクリックします。
3. [内容を暗号化してデータをセキュリティで保護する] チェック ボックスをオフにして、データの暗号化を解除します。
4. [OK] をクリックして、[属性の詳細] ダイアログ ボックスを閉じます。
5. [OK] をクリックして [プロパティ] ダイアログ ボックスを閉じます。
6. フォルダの中にファイルが含まれていた場合は、[属性変更の確認] ダイアログ ボックスが表示されます。フォルダのみの暗号化を解除することもできます。ただし、この場合は、現在フォルダに入っているファイルの暗号化は解除されません。
   
   このフォルダの内容すべての暗号化を解除する場合は、[このフォルダ、およびサブフォルダとファイルに変更を適用する] をクリックして、[OK] をクリックします。

関連情報

ファイルの暗号化方法

ファイルの暗号化には、基本的にデータの再配置、スクランブル、エンコードを行うアルゴリズムが使用されます。最初のファイルを暗号化すると、キーのペアがランダムに生成されます。このキーのペアが公開キーと秘密キーになります。このキーのペアは、暗号化ファイルのエンコードとデコードに使用します。

キーのペアをなくしたり破損したりした場合、回復エージェントを指定していなければ、データを回復する方法はありません。

証明書のバックアップが必要な理由

証明書を破損したりなくしたりした場合、暗号化データを回復する方法は存在しないため、証明書のバックアップを取り、安全な場所に保管しておくことが重要です。回復エージェントを指定することもできます。このエージェントを使用してデータを復元できます。回復エージェントの証明書は、ユーザーの証明書とは別の目的で使用されます。

証明書をバックアップする方法

証明書をバックアップするには、次の手順を実行します。

1. Microsoft Internet Explorer を起動します。
2. [ツール] メニューの [インターネット オプション] をクリックします。
3. [コンテンツ] タブの [証明書] グループにある [証明書] をクリックします。
4. [個人] タブをクリックします。
   
   注 : 他の目的で証明書をインストールした場合は、複数の証明書が存在することもあります。
5. [証明書の目的] に "暗号化ファイル システム" と表示されるまで、1 つずつ順に証明書をクリックしていきます。このように表示される証明書が、最初にフォルダを暗号化したときに生成された証明書です。
6. [エクスポート] をクリックして、証明書のエクスポート ウィザードを起動し、[次へ] をクリックします。
7. 秘密キーをエクスポートするには、[はい、秘密キーをエクスポートします] をクリックし、[次へ] をクリックします。
8. [強力な保護を有効にする] チェック ボックスをオンにし、[次へ] をクリックします。
9. パスワードを入力し、[次へ] をクリックします (秘密キーを保護するためのパスワードが必要です)。
10. キーを保存する場所のパスを指定します。キーは、フロッピー ディスク、ハード ディスク上の別の場所、または CD に保存できます。ハード ディスクで障害が発生したり再フォーマットが行われたりした場合、キーとバックアップしたキーの両方が失われることになります (キーをフロッピー ディスクや CD にバックアップした場合は、そのディスクや CD を安全な場所に保管する必要があります)。
11. 保存先を指定し、[次へ] をクリックします。

暗号化ファイル システム (EFS) の関連情報については、次のマイクロソフト Web サイトを参照してください。