Windowsでファイルやフォルダを暗号化する方法Tech TIPS

ファイルシステムでアクセス制限を加えても、ディスクごと盗難されたらデータは保護できない。そこでファイルやフォルダを暗号化してディスクに書き込んでおけば、盗難時でも第三者によるデータの読み出しを阻止しやすい。EFS(暗号化ファイルシステム)というWindows 2000のNTFSの新機能で暗号化するには?

» 2000年03月19日 05時00分 公開
[打越浩幸デジタルアドバンテージ]
「Tech TIPS」のインデックス

連載目次

対象OS:Windows 2000



解説

 パーソナル コンピュータが広く普及した現在、電子メールやスケジュール情報、契約書など、機密性の高い情報をコンピュータ上で扱う機会が増えてきた。この点、基本的に1人のユーザーが、自宅など安全な場所で使うことを前提としているWindows 9xでは、OSとしてこうしたファイルを第三者の不正なアクセスから守る機能は用意されていない(Windows 9xのFATファイルシステムでは、ファイルやフォルダに対するアクセス権を設定することはできないので、事実上誰でも、ファイルを自由に読み書きすることができる)。これに対しWindows 2000(Windows NT)のネイティブなファイルシステムであるNTFS(NT File System)なら、アクセス管理機能が組み込まれているので、特定のファイルやフォルダにアクセスできるユーザーを制限することが可能だ。この機能を利用して、重要なファイルにアクセスできるユーザーを制限すれば、そのユーザーとして認証された人(そのユーザーの正しいユーザー名とパスワードを入力した人)だけがそのファイルを読み書きできるようになる。

 しかしNTFSのアクセス管理機能を使用してアクセス制限を加えても、例えばデータを記録したハードディスクが物理的に盗まれ、低レベルなディスク解析ツールなどで情報が読み出されるようなケースには対応できない。NTFSのアクセス管理は、ファイル アクセスが発生したときに、それを行っているユーザーがアクセス権を持っているかどうかを評価し、アクセス権がなければそれを禁止しているだけで、物理的なファイルは通常の方法で書き込まれているからだ。ハードディスクの盗難などというと、あまり起こりそうにないことのように思えるかもしれないが、ノート型PCをうっかり置き忘れてしまったり、盗難にあったりする場合などもこれにあたる。

●物理的なファイル情報の読み出しも阻止できるEFS

 これに対しWindows 2000で新たに機能が拡張されたNTFS 2000(従来はNTFS 5.0と呼んでいたが、マイクロソフトの新しい文献などではこのように呼称を変更したようだ)では、EFS(Encrypting File System:暗号化ファイルシステム)という新機能が追加され、データを暗号化してディスクに書き込み、前述のようなケースでも、第三者が情報を読み出せないようにすることが可能になった。暗号化されて記録されたファイルは、暗号化を行ったユーザー本人か、管理者でなければディスクから読み出せない。EFSはNTFS 2000の機能として組み込まれているので、ファイルの暗号化(ディスクへの書き込み時)や復号(ディスクからの読み出し時)は、アプリケーションからはまったく透過的に行われる。EFSでは、単独のファイルを暗号化することも、フォルダを暗号化することも可能である。このうちフォルダを暗号化した場合、そのフォルダ内に作成されたファイルや、別の場所からそのフォルダにコピーされたファイルなどは、自動的に暗号化が実行されるようになる。

 ただし、EFSの機能はWindows 2000に付属するNTFS 2000でフォーマットされたボリュームでのみ利用可能であり、またすでに圧縮属性が指定されているファイルや、一部のシステム ファイルなどは暗号化できない。

操作方法

 それでは、暗号化属性を実際に設定する方法について説明しよう。今回は、テスト用として「C:\testfolder\efs_test1」というフォルダを作成し、この中にあるexceltest.xlsというファイルを暗号化することにする。まず始めは、エクスプローラでこのフォルダを表示し、exceltest.xlsファイルをマウスで選択して、右ボタンをクリックしてポップアップ メニューを表示させる。

暗号化したいファイルを選択し、マウスの右ボタンからポップアップ メニューを表示させる 暗号化したいファイルを選択し、マウスの右ボタンからポップアップ メニューを表示させる
最初にエクスプローラで暗号化したいファイルを選択し、マウスの右ボタンをクリックしてポップアップ メニューを表示し、[プロパティ]を実行する。
  [A]暗号化を行うには、この項目を実行して、ファイルのプロパティ ダイアログを表示させる。→[A]

 ここで[プロパティ]を実行すると、次のようなファイルのプロパティ ダイアログが表示される。

[A]

ファイルのプロパティ ダイアログ ファイルのプロパティ ダイアログ
このプロパティ ダイアログでは、ファイル サイズや作成日時などの情報参照、アクセス権設定([セキュリティ]タブ)などを行える。
  [B]暗号化設定を行うには、このボタンをクリックする。→[B]

 すると次の[属性の詳細]ダイアログが表示される。ファイルの圧縮や暗号化は、ここで設定することができる。

[B]

[属性の詳細]ダイアログ [属性の詳細]ダイアログ
ファイルの圧縮や暗号化はここで設定する。圧縮と暗号化は同時には行えず、暗号化を指定すると、[内容を圧縮して〜]は自動的にオフとなる。
  (1)ファイル/フォルダを暗号化するにはこのチェック ボックスをオンにする。
  (2)設定が完了したらこのボタンをクリックする。

 ファイル/フォルダの暗号化を行うには、このダイアログで[内容を暗号化してデータをセキュリティで保護する]チェック ボックスをオンにし、[OK]ボタンをクリックする。すると[A]のファイルのプロパティ ダイアログに戻るので、ここでも[OK]ボタンをクリックする。すると次のような警告ダイアログが表示される。

暗号化に関する警告]ダイアログ 暗号化に関する警告]ダイアログ
暗号化が指定されていないフォルダ中のファイルに対して暗号化を指定すると、このダイアログが表示される。
  (1)今回指定したフォルダだけでなく、それを含む親フォルダを併せて暗号化する場合にはこちらを選択する。より安全な運用を考えるなら、フォルダごと暗号化することが望ましい。デフォルトではこちらが選択されている。
  (2)今回指定したファイルのみを暗号化する場合にはこちらを選択する。
  (3)今後、この警告ダイアログを表示しないようにする場合にはこのチェック ボックスをオンにする。

 警告文を読むと、「ここでファイルを暗号化しても、それを含む親フォルダを暗号化しておかないと、ファイルに変更を加えたときに暗号化が解除されてしまう」と説明されている。これについては、別稿の「TIPS「暗号化はフォルダごと行う」にまとめたので参照されたい。結論からいえば、ファイル単体ではなく、それを含む親フォルダごと暗号化しておくことをお勧めする。この警告ダイアログでも、デフォルトは[ファイルとその親フォルダを暗号化]が選択されており、この状態で[OK]ボタンをクリックすると、今回指定したファイルだけでなく、それを含む親フォルダも同時に暗号化が行われる。一方、[ファイルだけを暗号化]を選択すれば、今回指定したファイルだけが暗号化され、フォルダは暗号化されない。なお、以後この警告メッセージを表示させずに、常にファイルだけを暗号化するようにするには、[常にファイルだけを暗号化]チェック ボックスをオンにして[OK]ボタンをクリックする。

 今回のテストでは、対象となっているexceltest.xlsファイルだけを暗号化してみた。ファイルが暗号化されているかどうかは、ファイルのプロパティを表示させ、[B]の[属性の詳細]で[内容を暗号化して〜]がチェックされているかどうかを確認してもよいが、エクスプローラの詳細表示を行い、[属性]を表示すれば、複数のファイルの状態をまとめて確認できるようになる([属性]を表示するには、エクスプローラの[表示]−[列の選択]で表示されるダイアログで[属性]をチェックする)。

暗号化の有無の確認 暗号化の有無の確認
ファイルやフォルダが暗号化されているかどうかを確認するには、エクスプローラの詳細表示で[属性]を表示するとよい。こうすれば、複数のファイルの状態をいっぺんに確認できるようになる。
  (1)今回暗号化を行ったファイル。[属性]部分に「E」が表示されていることから、暗号化が行われていることが分かる。EはEncryption(暗号化)の略。

 ここで[属性]に「E」が表示されていれば、そのファイルやフォルダは暗号化されている。EはEncryptionの略である。

「Tech TIPS」のインデックス

Tech TIPS

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。