データの保護

  • [アーティクル]

Windows 2000 への暗号化ファイル システムの実装

最終更新日: 2002年12月27日

暗号化ファイル システム (EFS) では、秘密キー暗号化メカニズムを使用して、ネットワーク上の暗号化されたディスク領域にデータを格納します。EFS は NTFS ボリュームで使用するファイル暗号化技術です。EFS はサービスとして実行され、秘密キー暗号化と公開キー暗号化の両方を使用します。

目次

ファイルまたはフォルダの暗号化
ファイルとフォルダの復号化
暗号化されたフォルダまたはファイルのコピー
暗号化されたフォルダまたはファイルの移動と名前の変更
暗号化されたフォルダまたはファイルの削除
暗号化されたフォルダまたはファイルのバックアップ
暗号化されたファイルまたはフォルダの復元
別のコンピュータへのファイルの復元
リモート サーバー上のフォルダとファイルの暗号化
スタンドアロン コンピュータ上の既定の回復キーのセキュリティ保護

ファイルまたはフォルダの暗号化

ユーザーは、権限の与えられた管理者が暗号化を有効にしたディスク領域のファイルのみ、暗号化することができます。ファイルやフォルダの暗号化を NTFS ボリューム上で行うには、次の手順で行います。

  1. 暗号化するファイルまたはフォルダを選択します。

  2. ファイルまたはフォルダを右クリックし、[プロパティ] をクリックします。

  3. [全般] タブで [詳細] をクリックします。

  4. [属性の詳細] ダイアログ ボックスの [内容を暗号化してデータをセキュリティで保護する] チェック ボックスをオンにし、[OK] をクリックします。

  5. [プロパティ] ダイアログ ボックスの [OK] をクリックします。

  6. フォルダとその内容すべてを暗号化するか、フォルダのみを暗号化するかを尋ねる [属性変更の確認] ダイアログが表示されます。フォルダが空の場合、フォルダのみの暗号化を選択し、それ以外の場合はフォルダとその内容を選択して、[OK] をクリックします。

  7. フォルダまたはファイルの暗号化状態を示すダイアログ ボックスが表示されます。再度 [OK] をクリックして変更を確定し、ダイアログ ボックスを閉じます。

フォルダを暗号化すると、そのフォルダに保存されたファイルは自動的に暗号化されます。暗号化ファイルは暗号化されていない別のフォルダに移動しても、そのまま暗号化が維持されます。ただし、ファイルの所有者がフロッピー ディスクなどの FAT パーティションまたはボリュームにファイルを移動した場合、ファイルは自動的に復号化されます。

ページのトップへ

ファイルとフォルダの復号化

暗号化ファイルはそれを暗号化した秘密キーを使用した場合にのみ復号化できます。

次の手順でファイルを復号化します。

  1. フォルダを右クリックし、[プロパティ] をクリックします。

  2. [プロパティ] ダイアログ ボックスの [全般] タブで、[詳細] をクリックします。

  3. [内容を暗号化してデータをセキュリティで保護する] チェック ボックスをオフにします。

  4. [OK] をクリックします。

  5. 再度 [OK] をクリックして、内容を確定します。

フォルダのみを復号化するか、フォルダとその内容すべてを復号化するか尋ねるダイアログ ボックスが表示されます。

注意 : 管理者は暗号化したすべてのファイルを復号化する権利を有しています。

ページのトップへ

暗号化されたフォルダまたはファイルのコピー

同一ボリュームまたは別のボリュームへ、暗号化フォルダまたはファイルをコピーする際の手順と制限を以下に説明します。

  • 同一コンピュータ上のファイルまたはフォルダを、Windows 2000 の NTFS パーティションから別の Windows 2000 の NTFS パーティションにコピーする場合。暗号化されていないファイルと同じ方法でファイルまたはフォルダをコピーします。その際 Windows エクスプローラまたはコマンド プロンプトを使用します。コピーされたファイルは暗号化されます。

  • 同一コンピュータ上のファイルまたはフォルダを、Windows 2000 の NTFS パーティションから FAT パーティションにコピーする場合。暗号化されていないファイルと同じ方法でファイルまたはフォルダをコピーします。その際 Windows エクスプローラまたはコマンド プロンプトを使用します。コピー先のファイル システムは暗号化をサポートしないため、コピーされたファイルは暗号化されません。

  • Windows 2000 の NTFS パーティションを使用している異なるコンピュータ同士でファイルまたはフォルダをコピーする場合。暗号化されていないファイルと同じ方法でファイルまたはフォルダをコピーします。その際 Windows エクスプローラまたはコマンド プロンプトを使用します。リモート コンピュータでファイルの暗号化が許可されている場合、コピーも暗号化されますが、それ以外の場合は暗号化されません。委任するには、リモート コンピュータが信頼されている必要があります。ドメイン環境のリモート暗号化は既定では有効に設定されていません。

  • 異なるコンピュータで、Windows 2000 の NTFS パーティションから Windows NT 4.0 の FAT または NTFS にファイルまたはフォルダをコピーする場合。暗号化されていないファイルと同じ方法でファイルまたはフォルダをコピーします。その際 Windows エクスプローラまたはコマンド プロンプトを使用します。コピー先のファイル システムは暗号化をサポートしないので、コピーされたファイルは暗号化されません。

注意 : 元のファイルが暗号化されている場合、[属性の詳細] ダイアログ ボックスを開いて (ファイルのプロパティ シートの [全般] タブで [詳細] ボタンをクリック)、コピー先のファイルの状態を確認することをお勧めします。

ページのトップへ

暗号化されたフォルダまたはファイルの移動と名前の変更

同一ボリューム上の暗号化フォルダまたはファイルを別のボリュームへ移動する際の手順と制限を以下に説明します。

同一ボリューム内のファイルまたはフォルダの移動または名前の変更 : 暗号化されていないファイルと同じ方法でファイルを移動または名前を変更します。Windows エクスプローラ、ショートカット メニュー、またはコマンド プロンプトを使用します。変更後のファイルまたはフォルダは、暗号化されます。

ボリューム間でのファイルまたはフォルダの移動 : 基本的にコピーの操作と同じです。先の「暗号化されたフォルダまたはファイルのコピー」を参照してください。

ページのトップへ

暗号化されたフォルダまたはファイルの削除

ファイルまたはフォルダを削除する権利を持ったユーザーは、暗号化されていないファイルと同じ方法でファイルを削除できます。

注意 : 暗号化されたフォルダまたはファイルの削除は、元のファイルを暗号化したユーザーに限定されません。

ページのトップへ

暗号化されたフォルダまたはファイルのバックアップ

暗号化されたフォルダまたはファイルをバックアップする際の手順と制限を以下に説明します。

  • コピーによるバックアップ : Copy コマンドまたはメニューの選択によって作成したバックアップは、先の「暗号化されたフォルダまたはファイルのコピー」で説明したようなクリア テキストになります。

  • Windows 2000 の「バックアップ」または Windows 2000 の機能をサポートするバックアップ ユーティリティを使用したバックアップ : 暗号化されたファイルをバックアップするには、この方法を推奨します。このバックアップ操作は、ファイルの暗号化が維持される上に、バックアップを実行するため秘密キーにアクセスする必要もありません。ファイルまたはフォルダにアクセスするだけでタスクを完了することができます。

[バックアップ] を使用し、次の手順でファイル、フォルダ、またはドライブをバックアップします。

  1. [スタート] をクリックし、[プログラム][アクセサリ][システム ツール] の順にポイントします。[バックアップ] をクリックすると、[バックアップ] ウィザードが表示されます。

  2. [バックアップ] タブをクリックします。

  3. バックアップするドライバ、ファイル、またはフォルダを選択します (この場合 My Documents\Encrypted Files)

  4. [バックアップを格納するメディア名またはファイル名] 一覧で目的のものを選択します。[参照] をクリックして、既存の事前バックアップ ファイルを探します。

  5. [バックアップの開始] をクリックします。

  6. [バックアップ ジョブ情報] ダイアログ ボックスで選択を行い、[バックアップの開始] をクリックします。

  7. バックアップ処理が完了したら、[バックアップの進行状況] ダイアログ ボックスの [閉じる] をクリックします。

[バックアップ] では、暗号化されたファイル、フォルダ、またはドライブ全体を、選択したバックアップ ファイルにバックアップします。このファイルをフロッピー ディスクなどの FAT メディアにコピーすると、内容の暗号化が維持されるので安全です。

ページのトップへ

暗号化されたファイルまたはフォルダの復元

復元の操作は、暗号化されたファイルのバックアップに使用した操作と同じです。バックアップを実行したコンピュータ、またはファイルをバックアップしたコンピュータ以外に、暗号化バックアップ ファイルを復元する際の手順と制限を以下に説明します。

  • コピーによる復元 : Copy コマンドまたはメニューの選択によって作成した復元ファイルは、先の「暗号化されたフォルダまたはファイルのコピー」で説明したようなクリア テキストになります。

  • Windows 2000 の「バックアップ」または Windows 2000 の機能をサポートするバックアップ ユーティリティを使用したバックアップ : 暗号化されたファイルをバックアップするには、この方法を推奨します。このバックアップ操作は、ファイルの暗号化が維持される上に、バックアップを実行するため秘密キーにアクセスする必要もありません。ファイルまたはフォルダにアクセスするだけでタスクを完了することができます。

[バックアップ] を使用し、次の手順でファイル、フォルダ、またはドライブをバックアップします。

  1. [スタート] をクリックして、[プログラム][アクセサリ][システム ツール] の順にポイントし、[バックアップ] をクリックします。

  2. [復元] タブをクリックします。

  3. [ファイル] を右クリックし、[ファイルのカタログ] をクリックします。

  4. バックアップ ファイルのパスを入力します (例:C:\Encryptedbackup.bkf)

  5. 復元が必要な暗号化フォルダをチェックします。その内容はすべて自動的に暗号化されます。[ファイルの復元先] 一覧の [場所の指定] を選択します。

  6. [場所の指定] ボックスに、暗号化されたマテリアルを復元するフォルダ名が表示されます。

  7. [復元の開始] をクリックします。

  8. 復元プロセスを確認したら、[OK] をクリックします。

  9. バックアップ ファイルを確認したら、[OK] をクリックします。

  10. 復元プロセスが完了したら、[閉じる] をクリックします。

[復元の進行状況] ダイアログに操作の進行状況が表示されます。フォルダの [プロパティ] を使用すると、復元されたフォルダが確かに暗号化されているか確認できます。

  1. [バックアップ] ウィンドウを閉じます。

ページのトップへ

別のコンピュータへのファイルの復元

ファイルを暗号化した以外のコンピュータで暗号化ファイルを使用するには、権限のある管理者がそのシステムで、暗号化証明書とそれに関連する秘密キーを利用できる必要があります。キーを手動で移動することでこれを実行できます。キーを手動で移動する前に、権限のある管理者は暗号化証明書と秘密キーをバックアップしておく必要があります。その後、別のシステムで証明書とキーを復元します。

暗号化証明書と秘密キーは次の手順でバックアップします。

  1. [スタート] をクリックし、[ファイル名を指定して実行] をクリックします。[開く] ボックスに mmc と入力し、[OK] をクリックします。

  2. コンソール メニューで [スナップインの追加と削除] をクリックし、[追加] をクリックします。

  3. [証明書] スナップインを探し、[追加] をクリックします。

  4. [ユーザー アカウント] を選択し、[完了] をクリックします。[閉じる][OK] の順にクリックします。

  5. 個人証明書ストアの [暗号化ファイル システム] を探します。[証明書 - 現在のユーザー] の横の + をクリックします。[個人] フォルダを展開し、[証明書] をクリックします。

    拡大表示する

  6. 証明書を右クリックし、[すべてのタスク] をクリックして [エクスポート] をクリックします。

    拡大表示する

  7. [証明書マネージャのエクスポート] ウィザードが起動します。[次へ] をクリックします。

  8. [はい、秘密キーをエクスポートします] をクリックし、[次へ] をクリックします。

  9. 利用できるエクスポート フォーマットは、Personal Information Exchange-PKCS#12 または .pfx Personal Exchange フォーマットです。[次へ] をクリックします。

  10. .pfx データを保護するパスワードを入力し、[次へ] をクリックします。

  11. .pfx データを格納するパスとファイル名を入力します。ここでは、c:\mykey と入力し、[次へ] をクリックします。

  12. エクスポートする証明書とキーの一覧が表示されます。[完了] をクリックして、内容を確認します。

  13. [OK] をクリックして、ウィザードを閉じ、さらにスナップインを閉じます。

以上で、暗号化された証明書と秘密キーが .pfx ファイルにエクスポートされ、安全にバックアップされました。

暗号化された証明書と秘密キーを別のシステムに復元するには、以下を実行します。

  1. .pfx ファイルをフロッピー ディスクにコピーし、暗号化された証明書と秘密キーをインポートするコンピュータに挿入します。

  2. [スタート][ファイル名を指定して実行] の順にクリックし、mmc と入力して、[証明書] スナップインを起動します。

  3. [コンソール] メニューで [スナップインの追加と削除] をクリックし、[追加] をクリックします。

  4. [証明書] をクリックし、[追加] をクリックします。[ユーザー アカウント] を選択し、[完了] をクリックします。[閉じる][OK] の順にクリックします。

  5. [個人ストア] を右クリックし、[すべてのタスク][インポート] の順にクリックし、.pfx ファイルをインポートします。

    拡大表示する

  6. [証明書マネージャのインポート] ウィザードが起動します。ウィザードの手順に従って、証明書と秘密キーを適切にインポートします。

  7. .pfx ファイルへのパスを入力します。この例では c:\mykey.pfx. です。

  8. .pfx データを解読するパスワードを入力します。

  9. [証明書をすべて次のストアに配置する] をクリックし、この個人証明書ストアを承認します。[次へ] をクリックします。

  10. [完了][OK] の順にクリックすると、インポート操作が開始されます。インポートが完了したら、[OK] をクリックし、ウィザードを閉じます。

同じキーを利用できるようにしておくと、別のコンピュータにバックアップされた暗号化ファイルをユーザーが透過的に使用できます。

ページのトップへ

リモート サーバー上のフォルダとファイルの暗号化

ユーザーはファイルの透過的な暗号化と復号化、およびリモート サーバーに格納された暗号化ファイルの利用が可能です。ユーザーがリモートからこのファイルにアクセスするか、別のローカル コンピュータにログオンするかに関係なく、これを実行できます。ただし、バックアップと復元メカニズムを使用して、暗号化ファイルを移動する場合、新しい移動先で暗号化ファイルを利用できるように、適切な暗号化証明書と秘密キーも移動する必要があります。適切な秘密キーがない場合、ファイルを開き、復号化することはできません。

注意 : 暗号化されたファイルをネットワーク経由で開く場合、このプロセスを通じてネットワーク経由で転送されたデータは暗号化されません。ネットワークを経由したデータを暗号化するには、Secure Sockets Layer/Personal Communication Technology (SSL/PCT) やインターネット プロトコル セキュリティ (IPSec) などの他のプロトコルを使用する必要があります。

ページのトップへ

スタンドアロン コンピュータ上の既定の回復キーのセキュリティ保護

ローカル管理者の最初のログオン時に、既定の回復ポリシーが各スタンドアロン コンピュータにセットアップされます。このポリシーによってローカル管理者がこのコンピュータの既定の回復エージェントに指定されます。

このポリシーを変更するには、以下を実行します。

  1. [スタート][ファイル名を指定して実行] の順にクリックし、[開く] ボックスに MMC と入力し、[OK] をクリックします。

  2. [コンソール] をクリックし、[スナップインの追加と削除] をクリックし、[追加] をクリックします。

  3. [グループ ポリシー] をクリックし、[追加] をクリックします。

  4. [ローカル コンピュータ] の既定の設定を承認し、[完了] をクリックします。[閉じる][OK] の順にクリックします。

  5. [ローカル コンピュータ ポリシー] の横の + をクリックし、展開します。同様に、[コンピュータの構成][Windows の設定][セキュリティの設定][公開キー ポリシー] を展開し、[暗号化されたデータの回復エージェント] をクリックします。以下のような画面が表示されます。

    拡大表示する

  6. ポリシーに自己署名入りの管理者証明書が表示されています。これで、ローカルの管理者アカウントが既定の回復エージェントに指定されます。この証明書が削除されている場合、空の回復ポリシーが表示され、EFS はオフになります。回復エージェントがセットアップされていない場合、EFS によってデータが暗号化されません。

  7. この証明書と関連付けられた回復キーを保護するには、[コンソール] をクリックし、[スナップインの追加と削除] をクリックして、[追加] をクリックします。

  8. [証明書] をクリックし、[追加] をクリックします。[現在のユーザー][完了][閉じる][OK] の順にクリックします。

  9. [証明書 - 現在のユーザー] の横の + をクリックします。同様に、[個人] フォルダを展開し、右側のウィンドウの [証明書] をクリックします。

  10. 右側のウィンドウの [管理者] をクリックして、[目的] にスクロールし、[ファイルの回復] に設定します。「別のコンピュータへのファイルの復元」の手順を使用して、.pfx ファイルの証明書と秘密キーをエクスポートします。

  11. .pfx ファイルを作成した後は、それに関連付けられた証明書と秘密キーを個人ストアから削除します。これで、キーのコピーだけを .pfx ファイルに置くことができます。それには、右側のウィンドウの [管理者] をクリックし、ツールバーの赤い X をクリックします。この証明書を使用して暗号化されたデータは復号化できないことを示す警告メッセージが表示されます。続行するには [はい] をクリックします。

  12. 安全なロックされたキャビネットの .pfx ファイルがセキュリティ保護されます。このファイルはファイルの回復が必要な場合にのみ使用します。

ドメインの既定の回復キーのセキュリティ保護 : スタンドアロン コンピュータ同様、最初にドメイン コントローラをセットアップしたときに既定の回復キーがドメインに設定されます。既定の回復ポリシーは自己署名入りの証明書を使用して、ドメインの Administrator アカウントを回復エージェントに指定します。

注意 : 既定の設定を変更するには、最初のドメイン コントローラに Administrator としてログオンし、ドメインの回復キーをセキュリティ保護する上記の手順を実行します。

ページのトップへ