◆ 情報の流出経路と対策>盗難・紛失・持出>EFS ~ ファイルの暗号化
情報漏洩対策の一つに効果的なアプローチとして "情報(データ)の暗号化" という考え方があります。ここでは 暗号化による情報漏洩対策について考えます。
暗号化方式には 公開鍵方式 と 共通鍵方式 がありますが、いずれも暗号化されたデータを複合化するには、鍵が必要になります。つまり、暗号化されたデータが何らかの理由で外部に流出しても、鍵も一緒に流出しない限りデータを復元する事は出来ません。
"鍵" の管理方法によっては、盗難や紛失、ウイルスによるファイルの流出(ウイルスによる)といった幅広い流出経路に対応できる可能性があります。
つまり、「暗号化を復元するための鍵の管理が重要なポイントになる」と言う点に着目すると、一般の方は理解し易いのではないかと思います。
仮に暗号化されたデータが流出したとしても、暗号化されたデータのソースを直接開くとそこには意味不明の暗号化されたコードがつらつらと表示されているだけです。
EFS (Encrypting File System)は、マイクロソフトの暗号化ファイルシステムのことでWindows 2000 からビジネス向け Windows に標準で実装されています。暗号化は RSA 公開鍵暗号方式 を利用しています。
EFS が利用可能な Windows クライアント OS に、Windows 2000 / XP Professional / Vista Business / Windows Vista Ultimate があり、それぞれの環境で作成された EFS暗号化 ファイル・ディレクトリは、適切に証明書を管理する事でデータを開く事が可能です。
2000 (DES) → XP (DES/3DES) → Vista (AES/3DES) とバージョンが上がる度にセキュリティ(アルゴリズムや管理など)が改善 されていますが、互いの環境で EFS 暗号化ファイルのやり取りは行えます。
上記 EFS 利用可能な Windows であっても、ファイルシステムが NTFS でフォーマットされている必要があり、NTFS フォーマットを利用できない記憶装置については EFS による暗号化を行う事は出来ません。
暗号化が可能なのは、通常のフォルダとファイルのみに対して行う事が出来ますが、システムやシステム関連ファイルは EFS 暗号化を行う事は出来ません。行うとシステムが破壊される恐れがあります。
マイドキュメントを丸ごと EFS 暗号化で保護する事は可能で、推奨されています。
また、パーテーションやドライブごと、EFS 暗号化を行う事は出来ません。
ビジネス向け Windows VISTA の上位ラインナップである Windows Vista Ultimate や 企業向けボリュームライセンス Windows Vista Enterprise (一般販売されない) で実装されたシステム ボリュームの暗号化機能(BitLocker) とは全く異なります。
家庭向けである Windows XP Home Edition / Vista Home Basic / Vista Home Premium は、EFS (ファイル暗号化システム) は実装されていません。そのため、これらの OS へ EFS を利用して安全にデータを移動する事は出来ません。
この他にも、セキュリティ上重要な機能が省かれており、家庭向けとされる Windows はセキュリティが重視されるビジネス分野での利用はお勧めできませんが、これらの機能を活用するためには、一定の知識が必要でパソコン初心者には難しいかも知れません。
EFS により暗号化されたファイルは、通常のファイルと同様に扱う事が出来ます。ファイルを開くのも保存するのも特別な事は必要ありません。また、フォルダに対して暗号化することで、それ以降フォルダ内に保存されたデータは自動的に暗号化されます。
以下は SOHO や小規模ビジネス用途に多いと思われる Windows Server を導入してい、つまり、スタンドアロンで Windows 2000 Professional / マイクロソフトの暗号化ファイルシステム を利用し、システム権限を持たない一般ユーザを対象にしています。つまり、認証機関(CA)を使用しない 自己署名型証明書を利用するケースになります。
EFS は簡単に利用する事が出来ます。Windows 2000 を例に説明します。
1.暗号化したファイル、又はフォルダを右クリックし "プロパティ" を表示します。
2.全般タブの【詳細】 ボタンをクリックして 属性の詳細ウインドを表示します。
□ 内容を暗号化してデータをセキュリティで保護する
にチェックを入れ OK とします。
3.フォルダ内に複数ファイル、フォルダがある場合は、以下のメッセージ表示されるので属性変更を指定します。
これで、フォルダ内に保存された情報は次回から暗号化される事になります。この作業で EFS 証明書 が作成されます。
パーテーション、及びドライブは、NTFSでフォーマットされている必要があります。また圧縮ファイルは暗号化されません。EFS 暗号化されたデータを圧縮するとその地点で複合されます。
システム管理者から提供されたパソコンが Windows ドメインに参加しているか判断できない、または、システム管理者が適切に複合化に必要な鍵(証明書)をバックアップしているか分からない場合は自分で複合化に必要な鍵をバックアップしておきます。
以下は Windows 2000 の Internet Explorer 6 の環境ですが、Windows XP Professional も場所は同じです。比較すれば分かると思います。
 |
1. 以下の証明書をリスト表示するウインドが表示され、EFS 証明書 が作成されている事を確認します。
|
 |
2. 【エクスポート】 ボタンを押すと 証明書のエクスポートウィザード が始まります。 . この証明書は暗号化ファイルを作成したユーザーに対して発行される証明書です。そのため、他のユーザーが暗号化されたファイルを復元する事は出来ないようになっています。 |
次回から、EFS による ファイルの暗号化を行うとこの鍵(証明書)を利用される事になります。Windows 2000/2003 Server のドメインに参加していない環境では、この証明書を必ずバックアップする必要があります。
|
3. |
セキュリティを重視する場合は、パスワードを設定してください。(PKCS12 形式)忘れると二度とファイルの復元は出来なくなる点に注意して下さい。
 |
4. |
パスワードが要求されるので任意のパスワードを入力します。このパスワードは、証明書を取り込む際に必要となるので忘れてはいけません。ノートのメモして下さい。保存する場所を指定して終わりです。後は安全な場所にバックアップして下さい。
EFS は最初に設定を行うとその後の作業は必要なくなります。そのため、暗号化している事実を忘れてしまい取り返しの付かない事態も発生します。
例えば、ドメインに参加しないスタンドアローン 環境でシステムの再インストールを行った場合、システムが管理する鍵(証明書)も消滅してしまう事になります。複合化に必要な鍵を失ったファイルは二度と開くことは出来なくなる事に注意する必要があります。
つまり、暗号化されたファイルだけをバックアップしても意味がなく、複合化に必要な鍵も、同時に他の場所へバックアップする必要がある事を決して忘れないで下さい。
EFS 暗号化を行うたびに鍵が必要になる訳ではありません。秘密鍵を含む証明書のバックアップを行うのは最初の一度だけです。安全な場所に保存してください。
上記例は、システム管理権限を持たない一般ユーザーが EFS 暗号化を利用する場合を想定していますが、ドメインに参加しないスタンドアローン環境では、システム管理者が証明書のバックアップを行う必要があります。
例えば、システムの再インストールの必要が求められた場合、ユーザーが暗号化されたファイルしかバックアップを取っていなかった場合は、暗号化を復元する方法はなくなってしまいます。
ドメインに参加しないスタンドアローンで利用しており、システムの再インストールが必要になった場合は、システム管理者側で個々のユーザーが EFS 暗号化に使用している証明書をバックアップする必要があります。
Windows 2000 では Administrator が回復エージェントとなっており一括して証明書のバックアップを行います。
Administrator権限を持つユーザーでは、複合化に必要な秘密鍵をバックアップできません。 Administrator としてログオンする必要があります。
 |
【コントロールパネル】 → 【管理ツール】 → 【ローカル セキュリティ ポリシー】 を開きます。 左画像をクリックしてください。 "公開キーのポリシー" → "暗号化されたデータの回復エージェント" を展開し、Administrator を 右クリックします。
|
ポップアップから "全てのタスク" → "エクスポート" を実行すると 証明書のエクスポートウィザード が開始されます。 手順は同じです。必ず、秘密鍵を含み "証明書のパスにある証明書を可能であれば全て含む" をチェックして下さい。
システムの再インストールを行った場合、Administrator ユーザーでこちらの手順でインポートすれば、ユーザーの暗号化されたファイルを回復する事が出来ます。
ここでの説明はスタンドアローンでWindows 2000 を利用するケースです。Windows 2003 Server のドメインに参加しているケースでは、Windows 2003 Server が回復エージェントとなります。
Windows 2000 は、Administrator が 回復エージェントとなっていますが、 Windows XP Professional では、回復エージェントを追加する必要があります。(セキュリティ向上に伴う仕様変更) 以下を参照して下さい。
参照 => Windows XP Professional で EFS 回復エージェントを追加する方法
このような対応は管理するパソコンが増えると対応が難しくなります。Windows 2003 Server の Active Directory を利用する事で EFS 証明書の一元管理が可能になります。
次のページで一般ユーザーが USBメモリなどの リムーバブル デバイス を利用して安全にデータを持運ぶ簡単な例を紹介します。
この標題のトップへ 2 / 5 
情報漏洩 ~ 盗難・紛失・持出
メーカー直営ショップ(準備)
スカイプ 対応フォン(USB)
![SONY インターネットテレフォン 「マウストーク」 ブルー[VN-CX1/L]](http://images-jp.amazon.com/images/P/B000E6FZ0A.09.MZZZZZZZ.jpg){kind=small}
![SONY インターネットテレフォン 「マウストーク」 ブライトレッド[VN-CX1/R]](http://images-jp.amazon.com/images/P/B000E6FZ0K.09.MZZZZZZZ.jpg){kind=small}
個人情報漏洩
保護・監視ツール
自分のパソコンから流出する個人情報を未然に防ぐセキュリティソフトです。特定のコードを含む情報が特定のサイト以外へ流れるのをブロックします。ウイルスチェックツールだけでなく、このような機能を持ったセキュリティソフトは必須でしょう。
クレジットカードによるオンライン決済を良く利用される方、サーバをレンタルされているネットショップオーナーの方は、利用中のパソコン経由でもれてしまう個人情報は自分で守る必要があります。
プライバシーサービスは、上記、インターネットセキュリティスイートに含まれます。
