セキュリティ対策の要点解説

第 2 回 もしもの時の暗号化 ~ Encrypted File System (EFS) ~

公開日: 2006年2月22日

マイクロソフト株式会社 セキュリティ レスポンス チーム 小野寺 匠 著

前回は、セキュリティを考える上で一点豪華主義よりは、幾つかの手法を重ねて用いる「多層防御」について触れましたが、今回は、第 7 層のデータ防御に属する Encrypted File System (EFS) についてです。第 7 層の意義は、すべての防壁をすり抜けてしまいデータを持ち出されても実質的な被害を軽減するのが目的です。

まずは、暗号化の設定を行ってみます。EFS を使用できるのは、Windows 2000、Windows XP および Windows Server 2003 となります。暗号化は、図 1 の通り、ファイルまたはフォルダのプロパティを開き、[詳細設定] ボタンをクリックし、図 2 の詳細設定のダイアログで、[内容を暗号化してデータをセキュリティで保護する] にチェックを入れて [OK] ボタンを何度かクリックしてプロパティを閉じるだけです。ちなみに、同じところに [内容を圧縮してディスク領域を節約する] という圧縮の設定がどちらか一方のみ使用することが可能です。

1 フォルダのプロパティ

2 フォルダの属性の詳細

フォルダに対して暗号化した場合は、そのフォルダにファイルを追加すると自動的に暗号化されます。ファイルに対して暗号化した場合は、そのファイルのみとなります。

通常暗号化されたファイルは、暗号化した本人以外が開くことはできませんが、暗号化後に、詳細設定のダイアログで、[詳細] ボタンをクリックすることで、他にアクセス可能なユーザーを追加指定することが可能です。しかし、PKI が整備された環境でない場合は証明書の管理が大変かもしれません。この様に共有も可能ですが、基本的には、個人の秘密をより強固に守る機能です。そのため、システムフォルダや一時ファイルが作成されるフォルダなどは、暗号化すると動作に支障をきたす場合もあります。また、EFS で暗号化したファイルは、鍵がシステムの再インストール等で失われた場合、2度と複合することができなくなりますので、鍵のバックアップと、回復エージェントの使用を十分に検討する必要があります。暗号化の強度としては、OS や Service Pack により異なります。Windows 2000 および Windows XP (初期出荷版) は、DESX (DES eXtension) を標準で使用し、設定により 3DES を使用することも可能です。Windows XP Service Pack 1以降または Windows Server 2003 の場合には AES-256 を標準で使用します。DES 系暗号化については、すでに解読の方法が研究され危殆化してきていますので、DES に代わる米国の暗号化標準である AES の方がより安全といえます。

EFS は、データをある程度の強度で暗号化を提供しますが、向き不向きがあります。EFS が 1 番有効に機能するのは、ノート PC の紛失や PC の盗難・紛失によるハードディスクからのデータ抜き取り行為に対してです。そのほか、暗号化したユーザー以外によるデータの不正な読み取り (たとえば、クラックされたシステムのシステムアカウントによるデータ読み取り) には、本来の力を発揮することが可能です。ディスクを直接読み取ることで、NTFS のアクセス権を無視しても、データ自体が暗号化されているため内容を読み取られることを防止できます。

しかし、昨今問題になっている P2P (または P2Pを使用するワーム) によるファイルの流出や、メールに添付されてくるワームを実行したことによるファイルの流出には、まったく効力がありません。このような場合、暗号化したユーザーの権限でユーザーの代理人として不正なプログラムや P2P ソフトウェアが動作していますから、ファイルを読み取る際には、正常に複合化されてからコピー・送信されます。

P2P によるファイル流出を防ぎたいのであれば、そもそも P2P ソフトウェアが動作しないように設定するか、境界部で通信を監視し、遮断するしかありません。後者は労力がかかる上に他の通信への影響も大きくなるため、前者の様にそもそも、悪意のあるソフトウェア (malware) を含め、望まないソフトウェアの実行を制限・管理するのが早道です。

さて、この EFS の暗号化がどの程度の安全性かというと、OS や Service Pack により違います。Windows 2000 および Windows XP (初期出荷版) は、DESX (DES eXtension) を標準で使用しますが、設定により 3DES を使用することも可能です。Windows XP Service Pack 1 以降または Windows Server 2003 の場合には AES-256 を標準で使用します。DES 系暗号化については、すでに解読の方法が研究され危殆化してきていますので、DESに代わる米国の暗号化標準である AES の方がより安全といえます。

次回は、望まないソフトを制限する方法について触れたいと思います。

関連サイト :


この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。

ページのトップへ

バックナンバー

ページのトップへ