連載
» 2017年03月16日 05時00分 UPDATE

Tech TIPS:暗号化ファイルシステムEFSを読み出すために証明書をエクスポート/インポートする (1/2)

暗号化ファイルシステムEFSで暗号化したファイルを他のPCで読み出すためには、暗号化に使用した証明書と秘密鍵の情報も必要となる。それらの情報をエクスポート/インポートする方法を紹介する。

[打越浩幸,デジタルアドバンテージ]
「Tech TIPS」のインデックス

連載目次

対象OS:Windows 7/Windows 8/Windows 8.1/Windows 10/Windows Server 2008 R2/Windows Server 2012/Windows Server 2012 R2/Windows Server 2016


暗号化ファイルシステムEFSを読み書きするためには?

 TIPS「Windows 10でUSBメモリに書き込んだファイルが読めない場合の原因と対策(FATのEFS暗号化編)」では、USBメモリに保存したファイルが「暗号化ファイルシステムEFS」で暗号化されていると、別のPCでは読み出せなくなる、という症状を紹介した。

暗号化によるアクセス拒否の例 暗号化によるアクセス拒否の例
これはWindows 10上で暗号化されたファイルを開こうとした場合の例。暗号化されているファイルを開こうとしても、復号のための証明書情報などが不足しているとアクセス拒否となる。
  (1)暗号化されているファイルには、このような鍵マークが表示される。
  (2)アクセスできない場合はこのようなエラーメッセージが表示される。

 この原因は、EFSで暗号化されたファイルだけを別のPCに移動させても、暗号化を解除するための情報が不足しているからである。

 EFSでは暗号化のために公開鍵暗号システムを使っている。そのため復号するには、読み出したいPC上にその秘密鍵情報と、それに対応するユーザー証明書を別途インストールしておく必要がある。

 復号に必要な証明書は各ユーザーにひも付いている。だからといって、たとえ2台のPC上に同じ名前のユーザーアカウントを用意しても、一方のPC上で作成した暗号化ファイルは、別のPC上で復号することはできない(非Active Directory構成のPCの場合)。Windows OSの内部では、たとえ同じユーザー名でも、まったく別のユーザーとして扱われているからだ。

 本TIPSでは、EFSで暗号化されたファイルを復号するための秘密鍵と証明書をエクスポートし、それを対象PCにインポートする手順についてまとめておく。Windows 10以外のEFSでも、この手順で読み書きできるようになる。

 なおこの方法は、EFSファイルの復号のための証明書情報が不足している場合にのみ有効な手段である。暗号化されたファイルの拡張子が「〜.PFILE」になってしまっている場合は(Windows 10で書き込んだFAT/FAT32/exFAT形式のUSBメモリを、Windows 10以外でアクセスしようとしている場合)、証明書情報をインポートしても読み出せるようにはならない。

手順1――証明書をエクスポートする

 EFSで暗号化されたファイルを復号するためには、暗号化を行ったユーザーの「秘密鍵」と「暗号化ファイルシステム用の証明書」をあらかじめエクスポートしておく。

 このためにはまず、暗号化を行ったPC上で、暗号化したファイルのプロパティ画面を表示させる。

ファイルのプロパティ画面 ファイルのプロパティ画面
暗号化のための証明書をエクスポートするにはいくつか方法があるが、暗号化したファイルのプロパティ画面からエクスポートするのが一番簡単である。
  (1)暗号化したファイルを右クリックして、プロパティ画面を表示させる。
  (2)[詳細設定]ボタンをクリックする。

 「属性の詳細」画面が表示されるので、[詳細]ボタンをクリックする。

「属性の詳細」画面 「属性の詳細」画面
ファイルが暗号化されているかどうかはこの画面で確認できる。
  (1)このチェックボックスがオンだとファイルがEFSで暗号化されている。オフの場合は通常ファイル。オンにすれば自動的に暗号化される。
  (2)暗号化の情報を得るには[詳細]をクリックする。

 [詳細]ボタンをクリックすると暗号化に関する情報を確認できる。

暗号化に関する情報の表示 暗号化に関する情報の表示
この画面では、ファイルを復号できるユーザーの情報が表示される。EFSでは、1つのファイルやフォルダに対して、複数のユーザーにアクセス権(復号する権利)を与えることができる。
  (1)復号できるユーザーのアカウント。通常は、暗号化を行ったユーザーにのみ権利が与えられているが、他のユーザーを追加したり、削除したりできる。
  (2)暗号化に使用したユーザーの証明書を識別するための「拇印(フィンガープリント)」情報。同じユーザー名であってもPCが異なるとこの拇印が異なり、別のユーザーとして扱われ、復号できない。
  (3)これをクリックして、証明書情報をエクスポートする。

 ユーザー名を選んで[キーのバックアップ]をクリックすると、証明書のエクスポートウィザードが起動する。

証明書のエクスポートウィザード 証明書のエクスポートウィザード
このウィザードで、PIX(.PFXファイル)の情報をエクスポートする。
  (1)これを選択する(デフォルトで選択されているはず)。
  (2)これをオンにする。これもデフォルトで設定されているはずである。他のチェックボックスはオフのままでよい。

 この画面では、デフォルトで選択されている「Personal Information Exchange - PKCS #12 (.PFX)」を選んで次へ進める。その下にあるチェックボックスは、一番上((2))だけオンにしておけばよい。

パスワードの入力 パスワードの入力
EFSの復号に利用する秘密鍵情報を安全に対象PCにインポートさせるため、パスワードで保護する。EFSで利用する証明書は公開鍵なので特に保護する必要はないが、秘密鍵は漏えいしないように注意すること。
  (1)このチェックボックスをオンにしてパスワードを入力しないとエクスポートできない。
  (2)十分長くて複雑なパスワードを付けること。

 この画面では、暗号化したファイルの復号に利用する秘密鍵を保護するためのパスワードを指定する。秘密鍵情報が漏えいすると、いくらEFSで暗号化していてもまったく意味がなくなる。なので秘密鍵は厳重に保護して対象のPCへインポートさせなければならない。簡単には解読されないように、十分長くて複雑なパスワードを付けておくこと。

 パスワードを入力したら、次の画面では保存先を指定する。

保存先の指定 保存先の指定
証明書情報を保存するファイル名を指定する。
  (1).pfxファイルのファイル名。

 保存先を指定したら[次へ]をクリックして証明書のエクスポートを完了させる。終了後は、指定した場所に「〜.pfx」というファイルが作成されているはずである。

D:\>dir MyEfsKey.* ……作成されたファイルの確認
 ドライブ D のボリューム ラベルは DATAVOLUME です
 ボリューム シリアル番号は 0344-EE00 です

 D:\ のディレクトリ

2017/03/14  13:07    2,508 MyEfsKey.pfx ……エクスポートされた.pfxファイル。この中にユーザーの証明書と秘密鍵情報が保存されている
     1 個のファイル        2,508 バイト
     0 個のディレクトリ  1,209,791,463,424 バイトの空き領域

D:\>



       1|2 次のページへ

Copyright© 1999-2017 Digital Advantage Corp. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

Focus

- PR -

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。