暗号化仮想ドライブで手軽にファイルを暗号化Security&Trust ウォッチ(44)

» 2007年01月27日 10時00分 公開
[上野宣@IT]

 重要な情報の入ったノートPCや、USBメモリなど、持ち運びが簡単なものは紛失や盗難の可能性も高い。万が一、誰かの手に渡ってしまったときを想定し、その情報を利用されてしまうことを防ぐ効果的な手段がある。それは、情報を暗号化して保存しておくことだ。

 ファイルなどを暗号化するには、いくつかの方法や、それを実現するソフトウェアがある。ここでは、重要な情報の保存や、持ち運びの際に便利な「暗号化仮想ドライブ」について紹介する。

暗号化仮想ドライブを使おう

 「仮想ドライブ」は、物理的なディスクドライブに対して、ソフトウェアで実現した仮想的なディスクドライブという意味である。CD-ROMのISOイメージなどをマウントして、あたかも実際にドライブがあるかのように利用することができるものだ。暗号化仮想ドライブは、その名が表すとおり、暗号化された仮想ドライブである。

 暗号化仮想ドライブは、以下の特徴を備えている。

  • 仮想ドライブとしてマウント可能
  • 自動で即時暗号化するボリュームを備える

 前者は、仮想ドライブとしての特徴である。後者の自動で即時暗号化するボリュームというのは、通常のドライブにあるファイルを、マウントされた暗号化仮想ドライブのボリュームへコピーすると、即時に自動的に暗号化されるというものだ。逆に、通常のドライブへコピーした場合には、即時に自動的に復号される。マウントする際にはパスワードなどを求められるが、一度マウントしてしまえば、後は通常のドライブのように使うことができるため、利便性も良い。

図1 自動で即時暗号化・復号される 図1 自動で即時暗号化・復号される

 暗号化仮想ドライブを実現するソフトウェアや手段には、以下のようなものがある。

  • PGPDisk
  • TrueCrypt
  • BitLocker/EFS

 “PGPDisk”は、暗号化メールを利用する際に使われるPGP(Pretty Good Privacy)の技術を使用した暗号化仮想ドライブだ。“TrueCrypt”は、使い勝手の良い暗号化仮想ドライブで、オープンソースで提供されている。後にこのソフトウェアを紹介する。

 また“BitLocker”は、仮想ドライブの仕組みはないが、Windows Vista EnterpriseとUltimateで標準機能として使うことができるドライブ暗号化機能である。ただし、OSがインストールされたドライブのみが暗号化の対象となる。Windows 2000/XPでも使える暗号化ファイルシステムには、“EFS”(Encrypting File System)がある。これはドライブを対象としたものではなく、フォルダやファイルが対象となる。また、NTFS専用で、FATのファイルシステムでは利用することができない。

TrueCryptのインストールと日本語化

 TrueCryptはオープンソースで提供されている暗号化仮想ドライブのソフトウェアで、Windows XP/2000/2003、Linux版がある。以下のWebサイトの「Downloads」ページから入手することができる。

【TrueCrypt - Free Open-Source On-The-Fly Disk Encryption Software for Windows XP/2000/2003 and Linux】 http://www.truecrypt.org/


 執筆時点での最新版は「TrueCrypt 4.2a」である。ここでは、Windows版で解説する。

【編集部注】

Linuxでのインストール手順はLinux Tipsの記事をご参照ください


 Webサイトは英語であるが、日本語の言語パックが用意されていて日本語化することができる。言語パックはこちらから入手可能だ。

 TrueCryptを指示に従ってインストールし、言語パックを解凍して、“Language.ja.xml”をTrueCryptをインストールしたフォルダにコピーする。そして、TrueCryptを起動し、メニューの“Settings > Language”を開き、“日本語”を選択すれば日本語環境になる。

図2 TrueCryptの画面 図2 TrueCryptの画面

暗号化仮想ドライブの作り方と使い方

 TrueCryptで、暗号化仮想ドライブを作るには、“TrueCryptボリューム作成ウィザード”を使用する。

  1. TrueCryptボリューム作成ウィザードの起動
    メニューの“ボリューム > 新規ボリューム作成”、または“ボリューム作成”ボタンで起動する。

  2. ボリュームの種類
    “標準TrueCryptボリュームの作成”を選択し、“次へ”をクリックする。

  3. ボリュームの位置
    任意のファイルまたは、指定したパーティション/デバイスを丸ごと暗号化仮想ドライブとして扱うことができる。指定されたデバイスはフォーマットされるので気を付けよう。

  4. 暗号化オプション
    ボリュームを暗号化する暗号化アルゴリズムと、鍵などに使われるハッシュアルゴリズムを選択する。特に理由がない限りは、標準で選択されている“AES(Advanced Encryption Standard)”と“RIPEMD-160”で問題がないだろう。

  5. ボリュームのサイズ
    ボリュームの位置にファイルを指定した場合には、そのサイズを指定する。デバイスを指定した場合には、サイズを変更することはできない。

  6. ボリュームのパスワード
    マウントする際に必要なパスワードを設定する。短いパスワードを入力すると、「パスワードは20文字以上にすることを推奨します。」という警告文が出る。また、パスワード以外に、任意のファイルを鍵(キーファイル)として指定することもできる。

  7. ボリュームのフォーマット
    ファイルシステムのフォーマットをFATかNTFSから選択し、フォーマットを実行する。

 以上でボリューム作成は完了する。

 作成したボリュームを仮想ドライブとして利用するには、ボリュームをマウントする必要がある。マウントするためには、ドライブを選択し、ボリュームファイルまたはドライブを指定して、“マウント”を実行する。その際には、作成時に設定したパスワードやキーファイルが必要になる。マウントが完了すると、選択したドライブが仮想ドライブとして利用可能になる。

 もし、パスワードを忘れてしまったり、キーファイルをなくしたり破損してしまうと、暗号化されたボリュームをマウントすることができなくなってしまうので注意が必要である。

 暗号化仮想ドライブがNTFSで作成できることを利用して、通常はFATにしか対応していないUSBメモリや、CD-R、FATしか使えないファイルサーバなどにボリュームを作成し、NTFSドライブとしてマウントさせることもできる。

 USBなどで持ち歩く場合には、TrueCryptをインストールしていない端末のための、トラベラーモードが便利だ。“ツール > トラベラーディスクのセットアップ”で必要なファイルをフォルダにコピーしておけば、TrueCryptをインストールすることなく、暗号化仮想ドライブを利用することができる。

マウント中は無防備な状態

 暗号化仮想ドライブをマウントしていない状態であれば、ボリュームの内容は暗号化されているため、内容を知ることはできない。しかし、マウントしている間は、通常のドライブと同様にアクセスすることができる。

 例えば、ノートパソコンに暗号化仮想ドライブを作成し、それをマウントしたまま盗難などに遭ってしまったとき、せっかくの暗号化仮想ドライブとしての恩恵を受けることができない。ドライブを利用しない場合には、アンマウントしておくことが望ましい。

 こういう場合には、TrueCryptの“自動アンマウント”機能を活用するとよい。これは、ユーザーがログオフしたときや、スクリーンセーバー起動時、省電力モードに入ったとき、設定した時間が経過したときなどで、自動的にアンマウントさせることができる。この機能によって、うっかりマウントしたままという状態を防ぐことができる。

Profile

上野 宣(うえの せん)

株式会社トライコーダ代表取締役

ネットワーク・セキュリティ監査、セキュリティ対策・運用改善コンサルティングを主な業務としている。

情報セキュリティを世に広げるべく、講演や執筆活動とさまざまな方面で活動中。近著に「今夜わかるメールプロトコル」、「今夜わかるTCP/IP」、「今夜わかるHTTP」(共に翔泳社)がある。個人ブログは「うさぎ文学日記


●修正履歴

【2007/1/29】

BitLockerの説明にて、「Windows Serverで標準機能として」と記載しておりましたが、Windows Server2003には含まれませんので記述を削除いたしました。


「SecurityTrust ウォッチ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。