特集
» 2004年09月09日 00時00分 公開

Windows運用管理:ノートPC情報漏えい対策のポイント (5/8)

[井上孝司,著]

 Windows 2000とWindows XP Professional、Windows Server 2003には、EFS(Encryption File System:暗号化ファイル・システム)という機能が用意されている。これは、ファイル・システムとしてNTFSを使用している場合のみ利用可能な機能で、ファイルあるいはフォルダに対して暗号化の指定を行い、暗号化を行ったユーザー本人以外はファイルを復号できないようにするものだ。暗号化の際に使用する鍵情報は、個々のユーザー・アカウントごとに自動作成されるデジタル証明書を利用している。

 NTFSでフォーマットされていれば、内蔵ハードディスクだけでなく、外付けハードディスクやUSBフラッシュ・メモリをはじめとする各種フラッシュ・メモリ・カードなど、さまざまな媒体でEFSを利用できる(USBフラッシュ・メモリでは、各メーカーが独自に暗号化ツールを添付している場合もある)。

 EFSでは、ハードディスクなどに保存されているファイルのデータそのものが暗号化の対象になる。このため、たとえハードディスクを取り外して別のコンピュータに接続しても、正当な鍵情報がなければ、暗号化されたファイルは復号できない。

EFSによるファイル/フォルダの暗号化
EFSでは、データが暗号化されたディスクに書き込まれる。このためディスクから強引にデータを読み出しても、内容を知ることはできない。

 

EFSによる暗号化の設定
ファイル・システムにNTFSを使用していれば、ファイル、あるいはフォルダのプロパティ画面で[全般]タブにある[詳細設定]ボタンをクリックすると表示されるダイアログで暗号化を指定できる。
 (1)このチェック・ボックスをオンにすると、このファイル/フォルダの暗号化指定が有効になる。
 (2)このチェック・ボックスによる圧縮機能は、暗号化機能とは排他的にしか使えない。両者を同時に指定することはできない。

 一般的に、ユーザーが作成した文書ファイルは[マイ ドキュメント]フォルダに置かれる場合が多い。実際の場所は、%UserProfile%\My Documentsの下である。%UserProfile%は、ユーザーごとのプロファイル・フォルダを表す環境変数で、デフォルトではC:\Documents and Settings\[ユーザー名]のフォルダになる。このフォルダを指定してEFSで暗号化すれば、アプリケーションで保存するファイルを自動的に暗号化できる。

 しかしアプリケーションによっては、これ以外のフォルダにデータを置く場合がある。具体例をいくつか示そう。

  • Outlookのメール・データが置かれるフォルダの初期値:
    %UserProfile%\Local Settings\Application Data\Microsoft\Outlook
  • Outlook Expressのメール・データが置かれるフォルダの初期値:
    %UserProfile%\Local Settings\Identities\<ランダムなID>\Microsoft\Outlook Express
  • Outlook Expressのアドレス帳データが置かれるフォルダの初期値:
    %UserProfile%\Local Settings\Application Data\Microsoft\Address Book

 冒頭で述べたとおり、メール・データやアドレス帳のデータは、機密性の高い情報である。

 それではいっそ、[マイ ドキュメント]フォルダなどといわず、ユーザー・プロファイル・フォルダ(%UserProfile%)全体や、さらに徹底してハードディスク全体をまるごと暗号化すればよいかといえば、そうもいかない。アプリケーションによっては、動作に支障をきたすものがあるからだ。アプリケーションの中には、現在ログオン中のユーザー以外の資格(LocalSystemなど)で動作しているプログラムが一時作業用ファイルなどを読み書きする場合がある。このとき、対象のフォルダがEFSで暗号化されていると、復号に必要な鍵情報がないために、読み書きができなくなってしまう場合があるからだ。

 対策としては、[マイ ドキュメント]フォルダ内に暗号化用のフォルダを1つ作成して、他人の目に触れては困るような重要なデータは、メール・データを含めてすべてそのフォルダに集約するようにし、このフォルダをEFSで暗号化するようにする。EFSによる暗号化設定はフォルダ・ツリーの下位フォルダに継承されるので、そのフォルダ内部に置かれるファイルやサブ・フォルダは自動的に暗号化される。これなら、個別のファイルごとに暗号化を指示する場合と違って、暗号化指定を忘れる心配がない。また、特定のフォルダに情報を集めることで、重要な情報が散逸せず、バックアップも容易になるという副次的な利点もある。

 Outlook/Outlook Expressをはじめ、[マイ ドキュメント]とは異なるフォルダにデータを保存するアプリケーションでも、多くの場合はオプション設定により、データの置き場所を変更できる。

キャッシュ・ログオンに注意

 Windows NTや2000、XPでは、たとえネットワークに接続されていなくても、最後のログオン資格情報を使って一時的にコンピュータにログオンすることができる(通信回線やLAN接続などが一時的に不安定になっても、コンピュータがまったく使えなくなるのを防ぐため)。デフォルトでは10回まではログオンすることができる(マイクロソフト・サポート技術情報「[NT] キャッシュされたログオン情報」)。キャッシュを使ってログオンした場合でも、EFSによる暗号化ファイルの復号は可能なので、注意が必要である。もし自動ログオンを設定していると、たとえネットワークにつながっていなくても、自動的にシステムにログオンしてしまい、暗号化したデータがアクセスされる可能性がある。自動ログオンと同時には利用しないようにしなければならない(自動ログオンが無効なら、正しいパスワードを入力する必要があるから)。もしくは上記のサポート技術情報の内容に沿って、キャッシュされたログオンの許可回数を0に設定し、キャッシュによるログオンを利用しないように設定しておく。

Column
Microsoft Officeにまつわる暗号化関連の話題

 Office XPとOffice 2003では、Word、Excel、PowerPointを対象にして、文書ファイル自体を暗号化する機能が取り入れられた。文書ファイルにパスワードを設定する機能は以前のバージョンから存在したが、これは文書を正当な手順で開けないようにするだけで、ファイルを直接バイナリ・ダンプして内容を読み出すことまでは阻止できなかった。しかしOffice XP/2003では、パスワードの指定に加え、データの暗号化を指定できるようになった(この際の暗号化アルゴリズムや鍵生成の方法は複数の種類から選択できる)。なお、Outlookについては、当初からデータ・ファイルを暗号化するのが既定値である。さらに、必要ならデータ・ファイルにパスワードを設定することもできる。
 Office 2003(Professional Edition以上)で追加されたIRM(Information Rights Management)機能を使うと、個々の文書ファイルを対象にして、ファイルのアクセス権(読み書き可能、読み取りのみ、など)を設定したり、ファイルのコピーや印刷、クリップボードの利用を制限したり、閲覧期限を設定したりといった制限を、特定のユーザーごとに指定できるようになる。IRMでは、クライアント側のファイルはすべて暗号化したうえで、制限に関する情報をサーバ側で管理し、アクセス時に各ユーザーの権限を調べて、ユーザーに与えられた操作だけを許可する。これはファイル・システムが設定する属性とは無関係なので、文書ファイルをどこに持っていっても機能する点が大きな特徴だ。従ってIRM環境にあるファイルは、たとえ外部に持ち出されたとしても第三者が読み出すことはできない。ただしIRMの機能を利用するには、Windows Server 2003上で動作するIRMサーバが必要になる。


  

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。