ファイルの暗号化

下は私が送ったメールです。

件名: ファイルの暗号化
送信日時: 2005/05/11 17:53
----------------------------------------------------------------
BBSの皆様

本日のBBSにて、PCの盗難に関連して話に出た「Windowsでのファイルの
暗号化」について簡単にご説明します。

Windows 2000/XP を使っていて、ディスクフォーマットがNTFSのバージョ
ン5以上の場合(Windows 2000/XPが最初からインストールされていたマ
シンならほぼ間違いなくこれです)、暗号化ファイルシステム(EFS)と
いう機能が利用できます。
http://www.atmarkit.co.jp/icd/root/31/11152331.html
これを適用すると、ファイルが自動的に暗号化されてハードディスクに
書き込まれ、ユーザは何も気にせず普通のファイルを扱うのと同じよう
にその暗号化ファイルを操作できる、というスグレモノです。ファイル
システムレベルの暗号化なので諸々のアプリケーションソフトウェア
(MS Officeなど)の動作には一切影響ありません。(暗号化ファイル
に対しては多少ファイルアクセスが遅くなる可能性はありますが。)

この機能を用いてファイルが暗号化されていれば、ハードディスクを盗
まれたとしても、ファイルを中身を見ることができません。暗号化して
いなければ、たとえファイルアクセス権限を設定していても、盗難にあっ
た場合はファイルの中身を容易に見られてしまい、個人情報なども流出
してしまいます。よって、大切な情報を含んだファイルには、暗号化を
かけておくことをお勧めします。

やり方はいたって簡単です。
1) ファイルやフォルダの「プロパティ」を開きます。
2) 最初に表示されている「全般」タブの下のほうにある「詳細設定」
のボタンを押します。
3) 「属性の詳細」ダイアログが出ますので、下のほうの「内容を暗号
化してデータをセキュリティで保護する」にチェックを入れます。
4) OKボタンを押していってダイアログを全部閉じれば操作完了です。
これでそのファイル/フォルダは暗号化されています。
フォルダを暗号化しようとした場合は、そのフォルダのみか、それに含
まれるファイル・サブフォルダも暗号化するか、の選択肢が表示される
と思います。Microsoftは個々のファイルでなくフォルダごと暗号化す
ることを推奨しています。
また、Windows 2000の場合はEFS利用に加えてSYSKEYという機能の設定
を変更することが推奨されます。面倒くさいのでできるだけXPを。

この暗号化ファイルシステムを使うにはいくつか条件があります。
1) OSにWindows 2000/XPを使っていること。
2) 記憶媒体のフォーマットがNTFSバージョン5以上であること。
3) 暗号化操作をするアカウントにパスワードが設定されていること。
まあ、どれも満たしているでしょうから、皆さんは普通にこの機能を使
えると思います。

注意事項。
1) 暗号化を解くことは暗号化操作をしたアカウントでしかできません
(厳密にはEFS回復エージェントというのがありますがここでは無視)。
よって、ポータブル記憶デバイスなんかに暗号化ファイルを作って家に
持って帰っても開けません。
2) いかに暗号化していようともパスワードを破られれば閲覧可能です。
推測しやすいパスワードを避ける、定期的に更新する、など、よく言わ
れるパスワード関係のガイドラインを守りましょう。
3) 暗号化されていてもファイルを削除することはできます。

補足。
zipなどの圧縮ファイルでもパスワードをかけることができます。これ
は、圧縮時に設定したパスワードを入力しなければ展開できず中身が見
れなくなる、というものです。これならばほぼすべての環境で使えます
ので、ファイルのセキュリティにこちらを利用する手もあるでしょう。
EFSよりは面倒ですけど。

中西 政志 <nak@...>

ファイルの暗号化自体は,EFSに頼らなくてもできます。 たとえばPGPなんかを使えば。ただ,EFSのようなunderlyingなシステムで暗号化を提供するようなものでなければ, ファイルの復号化,暗号化にいちいち手作業が必要だったり,キーを自分で管理しなければならなかったりして, いろいろ大変です。 しかし,そのような別の暗号化手段にも利点はあるでしょうから,やっぱりここでも,用途に応じて選択,という話になりますね。

  1. first published on 2005-05-15